> Non Compos Mentis wrote in message
> <pan.2004.07.17.15.36.44.210210@spam.free.fr>:
> > $IPT -A LOG_DROP -j DROP
> > $IPT -P INPUT DROP
> > $IPT -P OUTPUT DROP
> > $IPT -P FORWARD DROP
>
> Aargh ! <couic>
PAN !@# :-)
Plus sérieusement quoi qui va pas ? :)
(et merci d'avoir lu)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nicolas George
Non Compos Mentis wrote in message :
Plus sérieusement quoi qui va pas ? :)
Quand Jon Postel a inventé les ICMP et TCP RST pour faire remonter les erreurs de connexions importunes, il avait certainement de bonnes raisons.
Dès lors que les ports sont fermés, la sécurité est là, peu importe la manière dont ils sont fermés. Et dans presque tous les cas, un blocage respectueux des standards (-j REJECT) est bien plus efficace pour tout le monde qu'un DROP.
Un exemple : un quidam se trompe en tapant l'adresse IP de son partenaire pour un quelconque jeu en réseau. Cas 1, le destinataire utilise DROP : le destinataire reçoit 6 demandes de connexion, le quidam attend deux minutes pour être informé que la connexion a écouhé. Cas 2, le destinataire utilise REJECT : le destinataire reçoit une seule demande de connexion, et y répond par un seul message de rejet, le quidam est informé immédiatement de l'échec de la connexion.
J'ai connu des cas largement bien pires : en UDP, un port en DROP est indistinguable, de l'extérieur, d'un port _ouvert_. J'ai connu quelqu'un qui s'était probablement retrouvé dans une liste de serveurs eDonkey à cause de ça.
Personnellement, je n'utilise DROP que dans le cas où quelqu'un essaie délibérément de contourner le routage (j'ai un tunnel 6to4 (sans adresse IP, d'ailleurs)).
Non Compos Mentis wrote in message
<pan.2004.07.17.15.53.04.356937@spam.free.fr>:
Plus sérieusement quoi qui va pas ? :)
Quand Jon Postel a inventé les ICMP et TCP RST pour faire remonter les
erreurs de connexions importunes, il avait certainement de bonnes
raisons.
Dès lors que les ports sont fermés, la sécurité est là, peu importe la
manière dont ils sont fermés. Et dans presque tous les cas, un blocage
respectueux des standards (-j REJECT) est bien plus efficace pour tout
le monde qu'un DROP.
Un exemple : un quidam se trompe en tapant l'adresse IP de son
partenaire pour un quelconque jeu en réseau. Cas 1, le destinataire
utilise DROP : le destinataire reçoit 6 demandes de connexion, le quidam
attend deux minutes pour être informé que la connexion a écouhé. Cas 2,
le destinataire utilise REJECT : le destinataire reçoit une seule
demande de connexion, et y répond par un seul message de rejet, le
quidam est informé immédiatement de l'échec de la connexion.
J'ai connu des cas largement bien pires : en UDP, un port en DROP est
indistinguable, de l'extérieur, d'un port _ouvert_. J'ai connu quelqu'un
qui s'était probablement retrouvé dans une liste de serveurs eDonkey à
cause de ça.
Personnellement, je n'utilise DROP que dans le cas où quelqu'un essaie
délibérément de contourner le routage (j'ai un tunnel 6to4 (sans adresse
IP, d'ailleurs)).
Quand Jon Postel a inventé les ICMP et TCP RST pour faire remonter les erreurs de connexions importunes, il avait certainement de bonnes raisons.
Dès lors que les ports sont fermés, la sécurité est là, peu importe la manière dont ils sont fermés. Et dans presque tous les cas, un blocage respectueux des standards (-j REJECT) est bien plus efficace pour tout le monde qu'un DROP.
Un exemple : un quidam se trompe en tapant l'adresse IP de son partenaire pour un quelconque jeu en réseau. Cas 1, le destinataire utilise DROP : le destinataire reçoit 6 demandes de connexion, le quidam attend deux minutes pour être informé que la connexion a écouhé. Cas 2, le destinataire utilise REJECT : le destinataire reçoit une seule demande de connexion, et y répond par un seul message de rejet, le quidam est informé immédiatement de l'échec de la connexion.
J'ai connu des cas largement bien pires : en UDP, un port en DROP est indistinguable, de l'extérieur, d'un port _ouvert_. J'ai connu quelqu'un qui s'était probablement retrouvé dans une liste de serveurs eDonkey à cause de ça.
Personnellement, je n'utilise DROP que dans le cas où quelqu'un essaie délibérément de contourner le routage (j'ai un tunnel 6to4 (sans adresse IP, d'ailleurs)).
Licence IV
Le Sat, 17 Jul 2004 17:53:04 +0200, après mûre réflexion, Non Compos Mentis a écrit:
PAN !@# :-)
rien à voir avec le sujet, mais il semble que ton logiciel de news (pan) n'utilise pas le champ 'References:' (du moins il l'efface à chaque fois!), ce qui est assez troublant pour suivre les fils de discussion.
C'est peut être une option à activer (ou un bug de pan).
Merci d'y jeter un oeuil.
-- Nicolas de Ferrières Mail: _______________________________________________________________ Si l'alcool ne me tue pas... Les femmes auront ma peau
Le Sat, 17 Jul 2004 17:53:04 +0200, après mûre réflexion,
Non Compos Mentis <noncomposmentis@spam.free.fr> a écrit:
PAN !@# :-)
rien à voir avec le sujet, mais il semble que ton logiciel de news (pan)
n'utilise pas le champ 'References:' (du moins il l'efface à chaque
fois!), ce qui est assez troublant pour suivre les fils de discussion.
C'est peut être une option à activer (ou un bug de pan).
Merci d'y jeter un oeuil.
--
Nicolas de Ferrières Mail: ferriere@efrei.fr
_______________________________________________________________
Si l'alcool ne me tue pas... Les femmes auront ma peau
Le Sat, 17 Jul 2004 17:53:04 +0200, après mûre réflexion, Non Compos Mentis a écrit:
PAN !@# :-)
rien à voir avec le sujet, mais il semble que ton logiciel de news (pan) n'utilise pas le champ 'References:' (du moins il l'efface à chaque fois!), ce qui est assez troublant pour suivre les fils de discussion.
C'est peut être une option à activer (ou un bug de pan).
Merci d'y jeter un oeuil.
-- Nicolas de Ferrières Mail: _______________________________________________________________ Si l'alcool ne me tue pas... Les femmes auront ma peau
