Bonjour, question toute simple : quand on possède un dédié low cost
est-il généralement protégé par un firewall externe sur lequel chaque
client peut pendre la main pour définir les règles qui le concernent ?
Parce que sinon ça signifie Iptables sur le dédié lui même (pas super
pratique si on a plusieurs serveurs, et pas super sécure non plus) et en
cas de fausse manip on peut se retrouver avec une machine injoignable
(plus de ssh). Comment se sortir de ce mauvais pas dans ce cas ?
Quelqu'un intervient ? Coût de l'intervention ?
Pour éviter ce problème: - mettre ses règles dans un script iptables.sh - mettre les commandes d'effacement de toutes les règles dans reset_open.sh - quand on a besoin d'ajouter des règles: 1) modifier iptables.sh 2) faire: (iptables.sh; echo 'A'; sleep 1m ; echo 'B'; reset_open.sh) &
Ainsi on est assuré de récupérer la main si boulette. Et si pas de problèmes, un petit kill suffit.
Personnellement je suis partisan également du script shell pour établir les règles avec un bon flush en début de script et un bon $IPTABLES -I INPUT -s <IP_autoroisée> -j ACCEPT en fin de script qui injecte directement en tête des règles une autorisation pour un IP particulière.
Ainsi quoi qu'il se passe ensuite dans les règles, tu es assuré de garder la main sur la machine au travers de l'IP autorisée.
Evidemment ça signifie également tester les règles à partir d'une autre IP ou plutôt autoriser une autre IP que la sienne dans le script ( un second serveur par exemple )
Patrick Mevzek wrote:
Pour éviter ce problème:
- mettre ses règles dans un script iptables.sh
- mettre les commandes d'effacement de toutes les règles dans
reset_open.sh
- quand on a besoin d'ajouter des règles:
1) modifier iptables.sh
2) faire:
(iptables.sh; echo 'A'; sleep 1m ; echo 'B'; reset_open.sh) &
Ainsi on est assuré de récupérer la main si boulette.
Et si pas de problèmes, un petit kill suffit.
Personnellement je suis partisan également du script shell pour établir
les règles avec un bon flush en début de script et un bon $IPTABLES -I
INPUT -s <IP_autoroisée> -j ACCEPT en fin de script qui injecte
directement en tête des règles une autorisation pour un IP particulière.
Ainsi quoi qu'il se passe ensuite dans les règles, tu es assuré de
garder la main sur la machine au travers de l'IP autorisée.
Evidemment ça signifie également tester les règles à partir d'une autre
IP ou plutôt autoriser une autre IP que la sienne dans le script ( un
second serveur par exemple )
Pour éviter ce problème: - mettre ses règles dans un script iptables.sh - mettre les commandes d'effacement de toutes les règles dans reset_open.sh - quand on a besoin d'ajouter des règles: 1) modifier iptables.sh 2) faire: (iptables.sh; echo 'A'; sleep 1m ; echo 'B'; reset_open.sh) &
Ainsi on est assuré de récupérer la main si boulette. Et si pas de problèmes, un petit kill suffit.
Personnellement je suis partisan également du script shell pour établir les règles avec un bon flush en début de script et un bon $IPTABLES -I INPUT -s <IP_autoroisée> -j ACCEPT en fin de script qui injecte directement en tête des règles une autorisation pour un IP particulière.
Ainsi quoi qu'il se passe ensuite dans les règles, tu es assuré de garder la main sur la machine au travers de l'IP autorisée.
Evidemment ça signifie également tester les règles à partir d'une autre IP ou plutôt autoriser une autre IP que la sienne dans le script ( un second serveur par exemple )
Thomas BASSET
Zouplaz wrote:
Yves wrote:
rene-marc wrote:
Zouplaz :
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
Par exemple empêcher tout connexion TCP MySQL à partir d'un host différent du serveur lui même.
Dans ce cas, autant passer par une socket UNIX...
Je ne le désire pas, je tiens à concerver un accès TCP - Ca me permet de réaliser des opérations de maintenance (ex. manager MySQL desktop) via un tunnel SSH et un forwarding de ports.
Et de gérer finement chaque autorisation d'accés pour chaque service qui ouvre un socket tcp ? (comme les priviléges mysql dans le cas de mysql)
Que pense tu de n'ouvrir que ce que tu veut voir ouvert, en gérant les accés dans chacun des services. Puis seulement utilisé du firewalling pour compléter ces systèmes si l'un d'entre eux manque de souplesse.
"Mieux vaut condamner toutes les portes et toutes les fenetres qui ne servent pas que de placer un garde devant toute les ouvertures."
-- Thomas BASSET
Zouplaz wrote:
Yves wrote:
rene-marc wrote:
Zouplaz <user@domain.invalid> :
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une
machine de ce type ?
Par exemple empêcher tout connexion TCP MySQL à partir d'un host
différent du serveur lui même.
Dans ce cas, autant passer par une socket UNIX...
Je ne le désire pas, je tiens à concerver un accès TCP - Ca me permet de
réaliser des opérations de maintenance (ex. manager MySQL desktop) via
un tunnel SSH et un forwarding de ports.
Et de gérer finement chaque autorisation d'accés pour chaque service qui
ouvre un socket tcp ? (comme les priviléges mysql dans le cas de mysql)
Que pense tu de n'ouvrir que ce que tu veut voir ouvert, en gérant les
accés dans chacun des services. Puis seulement utilisé du firewalling
pour compléter ces systèmes si l'un d'entre eux manque de souplesse.
"Mieux vaut condamner toutes les portes et toutes les fenetres qui ne
servent pas que de placer un garde devant toute les ouvertures."
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
Par exemple empêcher tout connexion TCP MySQL à partir d'un host différent du serveur lui même.
Dans ce cas, autant passer par une socket UNIX...
Je ne le désire pas, je tiens à concerver un accès TCP - Ca me permet de réaliser des opérations de maintenance (ex. manager MySQL desktop) via un tunnel SSH et un forwarding de ports.
Et de gérer finement chaque autorisation d'accés pour chaque service qui ouvre un socket tcp ? (comme les priviléges mysql dans le cas de mysql)
Que pense tu de n'ouvrir que ce que tu veut voir ouvert, en gérant les accés dans chacun des services. Puis seulement utilisé du firewalling pour compléter ces systèmes si l'un d'entre eux manque de souplesse.
"Mieux vaut condamner toutes les portes et toutes les fenetres qui ne servent pas que de placer un garde devant toute les ouvertures."
-- Thomas BASSET
Étienne Labaume
Le Wed, 30 Nov 2005 11:52:42 +0100, Zouplaz nous disait:
responsabilité que ca implique. Tu testes tes règles et si c'est bon, tu sauves, au pire tu demandes un reboot et si tu n'as pas enregistré tes règles, elles ne seront pas restaurées. C'est un peu porc et ca ne vaut pas des tests sur une machine de pré-production, mais bon...
Pfff, des fois j'me demande... C'est tellement évident que j'y même pas pensé. Merci
Pour éviter de me faire avoir avec une règle qui couperait la connexion avec laquelle je travaille sur la machine, j'ai pris l'habitude de lancer un atjob qui vide la table de NetFilter et restaure une configuration kimarche quelques minutes après avoir lancé mon script.
-- Tinou
Le Wed, 30 Nov 2005 11:52:42 +0100, Zouplaz nous disait:
responsabilité que ca implique. Tu testes tes règles et si c'est bon, tu
sauves, au pire tu demandes un reboot et si tu n'as pas enregistré tes
règles, elles ne seront pas restaurées. C'est un peu porc et ca ne vaut
pas des tests sur une machine de pré-production, mais bon...
Pfff, des fois j'me demande... C'est tellement évident que j'y même pas
pensé. Merci
Pour éviter de me faire avoir avec une règle qui couperait la connexion
avec laquelle je travaille sur la machine, j'ai pris l'habitude
de lancer un atjob qui vide la table de NetFilter et restaure une
configuration kimarche quelques minutes après avoir lancé mon script.
Le Wed, 30 Nov 2005 11:52:42 +0100, Zouplaz nous disait:
responsabilité que ca implique. Tu testes tes règles et si c'est bon, tu sauves, au pire tu demandes un reboot et si tu n'as pas enregistré tes règles, elles ne seront pas restaurées. C'est un peu porc et ca ne vaut pas des tests sur une machine de pré-production, mais bon...
Pfff, des fois j'me demande... C'est tellement évident que j'y même pas pensé. Merci
Pour éviter de me faire avoir avec une règle qui couperait la connexion avec laquelle je travaille sur la machine, j'ai pris l'habitude de lancer un atjob qui vide la table de NetFilter et restaure une configuration kimarche quelques minutes après avoir lancé mon script.
-- Tinou
Olivier Miakinen
Zouplaz :
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
Tu veux dire pourquoi mettre un firewall externe quand on a déjà un firewall interne ? J'ai souvent lu que pour éviter d'être vulnérable à cause d'une faille de sécurité toujours possible sur tout système il fallait avoir deux firewalls de deux constructeurs différents.
-- Olivier Miakinen Troll du plus sage chez les conviviaux : le nouveau venu, avec son clan, s'infiltre dans les groupes de nouvelles. (3 c.)
Zouplaz <user@domain.invalid> :
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une
machine de ce type ?
Tu veux dire pourquoi mettre un firewall externe quand on a déjà un
firewall interne ? J'ai souvent lu que pour éviter d'être vulnérable à
cause d'une faille de sécurité toujours possible sur tout système il
fallait avoir deux firewalls de deux constructeurs différents.
--
Olivier Miakinen
Troll du plus sage chez les conviviaux : le nouveau venu, avec
son clan, s'infiltre dans les groupes de nouvelles. (3 c.)
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
Tu veux dire pourquoi mettre un firewall externe quand on a déjà un firewall interne ? J'ai souvent lu que pour éviter d'être vulnérable à cause d'une faille de sécurité toujours possible sur tout système il fallait avoir deux firewalls de deux constructeurs différents.
-- Olivier Miakinen Troll du plus sage chez les conviviaux : le nouveau venu, avec son clan, s'infiltre dans les groupes de nouvelles. (3 c.)
Étienne Labaume
Le Fri, 02 Dec 2005 16:04:10 +0100, Olivier nous disait:
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
Tu veux dire pourquoi mettre un firewall externe quand on a déjà un firewall interne ? J'ai souvent lu que pour éviter d'être vulnérable à cause d'une faille de sécurité toujours possible sur tout système il fallait avoir deux firewalls de deux constructeurs différents.
"Deux précautiosn valent mieux qu'une", "Ceinture et bretelles", etc ... Il y a tellement d'expressions pour décrire cette bonne habitude que je suis étonné que quelqu'un pose encore la question "Pourquoi ?".
-- Tinou
Le Fri, 02 Dec 2005 16:04:10 +0100, Olivier nous disait:
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une
machine de ce type ?
Tu veux dire pourquoi mettre un firewall externe quand on a déjà un
firewall interne ? J'ai souvent lu que pour éviter d'être vulnérable à
cause d'une faille de sécurité toujours possible sur tout système il
fallait avoir deux firewalls de deux constructeurs différents.
"Deux précautiosn valent mieux qu'une", "Ceinture et bretelles", etc ...
Il y a tellement d'expressions pour décrire cette bonne habitude que je
suis étonné que quelqu'un pose encore la question "Pourquoi ?".
Le Fri, 02 Dec 2005 16:04:10 +0100, Olivier nous disait:
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
Tu veux dire pourquoi mettre un firewall externe quand on a déjà un firewall interne ? J'ai souvent lu que pour éviter d'être vulnérable à cause d'une faille de sécurité toujours possible sur tout système il fallait avoir deux firewalls de deux constructeurs différents.
"Deux précautiosn valent mieux qu'une", "Ceinture et bretelles", etc ... Il y a tellement d'expressions pour décrire cette bonne habitude que je suis étonné que quelqu'un pose encore la question "Pourquoi ?".
-- Tinou
Stephane Kanschine
On Fri, 02 Dec 2005 15:16:29 +0000, Étienne Labaume wrote:
"Deux précautiosn valent mieux qu'une", "Ceinture et bretelles", etc ... Il y a tellement d'expressions pour décrire cette bonne habitude que je suis étonné que quelqu'un pose encore la question "Pourquoi ?".
La curiosité ? Le truc qui ne demande pas un justification mais une explication pour comprendre comment certains aborde certaines questions ? :-)
-- Stephane Kanschine
On Fri, 02 Dec 2005 15:16:29 +0000, Étienne Labaume wrote:
"Deux précautiosn valent mieux qu'une", "Ceinture et bretelles", etc
... Il y a tellement d'expressions pour décrire cette bonne habitude
que je suis étonné que quelqu'un pose encore la question "Pourquoi ?".
La curiosité ? Le truc qui ne demande pas un justification mais une
explication pour comprendre comment certains aborde certaines questions ?
:-)
On Fri, 02 Dec 2005 15:16:29 +0000, Étienne Labaume wrote:
"Deux précautiosn valent mieux qu'une", "Ceinture et bretelles", etc ... Il y a tellement d'expressions pour décrire cette bonne habitude que je suis étonné que quelqu'un pose encore la question "Pourquoi ?".
La curiosité ? Le truc qui ne demande pas un justification mais une explication pour comprendre comment certains aborde certaines questions ? :-)
-- Stephane Kanschine
Dominique ROUSSEAU
Le ven, 02 déc 2005 at 15:16 GMT, Étienne Labaume a écrit :
Le Fri, 02 Dec 2005 16:04:10 +0100, Olivier nous disait:
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
Tu veux dire pourquoi mettre un firewall externe quand on a déjà un firewall interne ? J'ai souvent lu que pour éviter d'être vulnérable à cause d'une faille de sécurité toujours possible sur tout système il fallait avoir deux firewalls de deux constructeurs différents.
"Deux précautiosn valent mieux qu'une", "Ceinture et bretelles", etc ... Il y a tellement d'expressions pour décrire cette bonne habitude que je suis étonné que quelqu'un pose encore la question "Pourquoi ?".
On peut aussi opposer le fait que ça alourdit la maintenance des règles appliquées, et la recherche de problème.
Le ven, 02 déc 2005 at 15:16 GMT, Étienne Labaume <etienne.lab@wanadoo.fr> a écrit :
Le Fri, 02 Dec 2005 16:04:10 +0100, Olivier nous disait:
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une
machine de ce type ?
Tu veux dire pourquoi mettre un firewall externe quand on a déjà un
firewall interne ? J'ai souvent lu que pour éviter d'être vulnérable à
cause d'une faille de sécurité toujours possible sur tout système il
fallait avoir deux firewalls de deux constructeurs différents.
"Deux précautiosn valent mieux qu'une", "Ceinture et bretelles", etc ...
Il y a tellement d'expressions pour décrire cette bonne habitude que je
suis étonné que quelqu'un pose encore la question "Pourquoi ?".
On peut aussi opposer le fait que ça alourdit la maintenance des règles
appliquées, et la recherche de problème.
Le ven, 02 déc 2005 at 15:16 GMT, Étienne Labaume a écrit :
Le Fri, 02 Dec 2005 16:04:10 +0100, Olivier nous disait:
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
Tu veux dire pourquoi mettre un firewall externe quand on a déjà un firewall interne ? J'ai souvent lu que pour éviter d'être vulnérable à cause d'une faille de sécurité toujours possible sur tout système il fallait avoir deux firewalls de deux constructeurs différents.
"Deux précautiosn valent mieux qu'une", "Ceinture et bretelles", etc ... Il y a tellement d'expressions pour décrire cette bonne habitude que je suis étonné que quelqu'un pose encore la question "Pourquoi ?".
On peut aussi opposer le fait que ça alourdit la maintenance des règles appliquées, et la recherche de problème.
Sébastien Bourgasser
Olivier Miakinen wrote:
Tu veux dire pourquoi mettre un firewall externe quand on a déjà un firewall interne ? J'ai souvent lu que pour éviter d'être vulnérable à cause d'une faille de sécurité toujours possible sur tout système il fallait avoir deux firewalls de deux constructeurs différents.
Bonsoir,
C'est exact. C'est d'ailleurs comme ça sur la majorité des réseaux bancaires: au moins 2 firewalls de constructeurs différents.
A+
-- Séb
Olivier Miakinen wrote:
Tu veux dire pourquoi mettre un firewall externe quand on a déjà un
firewall interne ? J'ai souvent lu que pour éviter d'être vulnérable à
cause d'une faille de sécurité toujours possible sur tout système il
fallait avoir deux firewalls de deux constructeurs différents.
Bonsoir,
C'est exact. C'est d'ailleurs comme ça sur la majorité des réseaux
bancaires: au moins 2 firewalls de constructeurs différents.
Tu veux dire pourquoi mettre un firewall externe quand on a déjà un firewall interne ? J'ai souvent lu que pour éviter d'être vulnérable à cause d'une faille de sécurité toujours possible sur tout système il fallait avoir deux firewalls de deux constructeurs différents.
Bonsoir,
C'est exact. C'est d'ailleurs comme ça sur la majorité des réseaux bancaires: au moins 2 firewalls de constructeurs différents.
