IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Option iptables -i eth0


Sujet :

Sécurité

  1. #1
    Membre à l'essai
    Profil pro
    Développeur Web
    Inscrit en
    Septembre 2010
    Messages
    13
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Septembre 2010
    Messages : 13
    Points : 18
    Points
    18
    Par défaut Option iptables -i eth0
    Bonjour,

    Sur les tutos, généralement pour les règles d'iptables telles que :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    # on bloque le nombre de connexion simultannée à 4 par secondes
    iptables -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 1 --hitcount 5 -j DROP
    souvent, on vise l'interface etho. Pourquoi ?

    En faisant lspci | grep -i eth, ça m'en liste deux.

    Faut-il virer cette instruction : -i eth0 dans ce cas là ?

    Merci

  2. #2
    Membre à l'essai
    Profil pro
    Développeur Web
    Inscrit en
    Septembre 2010
    Messages
    13
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Septembre 2010
    Messages : 13
    Points : 18
    Points
    18
    Par défaut eth0 / eth1 ?
    J'ai trouvé une partie de la solution :

    Pour connaitre les différentes carte ethernet présentes sur son serveur :
    lscpi | grep Ethernet

    Ensuite, pour savoir à quoi elles correspondent chacune des cartes ethernet :
    ifconfig eth0
    ifconfig eth1

    Si dans mon cas, seule l'une des deux possède une adresse IP, alors celle ci est la carte ethernet dédiée au réseaux externe (web).

    Dans le cas de cette instruction, pour mon serveur, il faut bien que je pointe sur l'interface eth0

    iptables -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 1 --hitcount 5 -j DROP

  3. #3
    Modérateur
    Avatar de Obsidian
    Homme Profil pro
    Développeur en systèmes embarqués
    Inscrit en
    Septembre 2007
    Messages
    7 360
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Développeur en systèmes embarqués
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2007
    Messages : 7 360
    Points : 23 600
    Points
    23 600
    Par défaut
    Bonjour,

    Citation Envoyé par ariden Voir le message
    souvent, on vise l'interface etho. Pourquoi ?
    Parce que c'est, par défaut, le nom que prend la première interface Ethernet reconnue par le système. En général, on nomme les interfaces en utilisant un mnémonique de quelques lettres désignant le type de médium (ici Ethernet, donc) suivi éventuellement d'un numéro commençant à zéro s'il peut techniquement y en avoir plusieurs. C'est généralement toujours le cas, à l'exception de « lo » qui désigne la boucle locale. Donc, s'il n'y a qu'une seul carte réseau sur ta machine, ce qui est souvent le cas sur les PC individuels, c'est à travers cette interface que tout ton trafic réseau va circuler.

    À noter que qu'une nouvelle convention de nommage a été proposée et commence à être mise en place : http://en.wikipedia.org/wiki/Consist..._Device_Naming

    En faisant lspci | grep -i eth, ça m'en liste deux. Faut-il virer cette instruction : -i eth0 dans ce cas là ?
    Ce n'est pas lspci qu'il faut faire, mais surtout « ifconfig », voire « ifconfig -a » pour voir si elles sont reconnues par le système, et donc utilisables.

    Après tout dépend de ce que tu veux faire. Chacune de ses règles est une contrainte supplémentaire à honorer avant d'atteindre la cible. Retirer l'interface revient à appliquer cette règle sur toutes les interfaces, y compris « lo ». D'autre part, avec iptables en particulier (et contrairement à TCPDump, par exemple), « -i » ne signifie pas « Interface » mais « Input Interface ». Comme tu travailles sur la règle INPUT, ça ne changera pas grand chose mais si tu te trompes, tu risques de limiter tes propres connexions, même en interne ! Et comme, bien souvent, on utilise DROP abusivement et à toutes les sauces, tu n'obtiendras aucun message d'erreur et provoquer des timeouts un peu partout qui ralentiront considérablement toutes tes applications réseau.

Discussions similaires

  1. Réponses: 9
    Dernier message: 14/03/2012, 15h49
  2. Ports forwarding avec iptables
    Par Iced Earth dans le forum Réseau
    Réponses: 6
    Dernier message: 19/11/2002, 22h24
  3. [propriétés]Option Checked
    Par psl dans le forum Composants VCL
    Réponses: 6
    Dernier message: 22/08/2002, 09h07
  4. Parametrage des options de projet
    Par ares7 dans le forum EDI
    Réponses: 7
    Dernier message: 22/07/2002, 16h33
  5. Vous gerez comment les options d'un programme?
    Par n0n0 dans le forum C++Builder
    Réponses: 5
    Dernier message: 17/05/2002, 14h21

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo