Et d'ailleurs c'est gentil à toi de le dire tous les deux messages depuis que tu es sur le forum
Depuis que je suis sur le forum ? Désolé non, je n'ai pas répété ça 350 fois par mois...
D'ailleurs tu es mal placé pour parler de ce genre de choses, toi dont les comptes, totalisant moins de 100 messages, ont été créées ce mois-ci.
_Ne jamais occulter un système de sécurité permettant de renfoncer la sécurité d'un procédé, surtout quand ce système est connu, et qu'il est éprouvé (comme le parefeu iptables). Si on fait sauter cette règle, on peut peut-être se mettre en danger par rapport aux nouvelles technologies non dévoilées dans les dossiers Snowden.
Iptables est une commande permettant de manipuler le pare-feu Netfilter. Netfilter fait partie intégrante du noyau Linux. Si tu insinues que la NSA aurait mis des portes dérobées dans le noyau Linux, alors on ne peut pas faire confiance à Netfilter non plus.
mettre en route un pare-feu sur Ubuntu ne devrait plus faire partie des choses "inutiles" en 2014.....
Tu conseilles donc, afin de protéger un système qui est peut-être vérolé par la NSA, d'activer une fonctionnalité qui est peut-être vérolée par la NSA ?
Donc pour une Machine Virtuelle par exemple, il faudra mettre la politique de la chaîne FORWARD sur ACCEPT évidemment.
Faux. Les paquets sortant de VirtualBox ne circulent pas dans la la chaîne FORWARD car toute la partie réseau des machines virtuelles est également virtualisée. Un paquet sortant d'une machine virtuelle VirtualBox est en réalité un paquet sortant du logiciel VirtualBox, donc dans la chaîne OUTPUT.
D'ailleurs, la fonctionnalité "ip_foward" doit être activée dans le noyau (généralement par l'intermédiaire de sysctl) pour que le forward puisse fonctionner : cette fonctionnalité est désactivée par défaut et, quoi que tu fasses dans la chaîne FORWARD, rien n'y entrera.
Oui j'entends par là que mettre la politique de la chaîne "OUTPUT" sur "DROP" [...] est une source d'ennuis pour l'utilisateur, c'est clairement contre-productif sur une machine qui ne serait qu'un PC de bureau qui ne fait pas serveur. Maintenant cela servira sur un serveur oui, que ce soit un serveur d’entreprise ou non. Là il faudra l'utiliser probablement.
Je ne suis pas du tout de cet avis. Sur un serveur comme sur un poste de travail (dans les conditions données plus haut), on maîtrise ce qui sort et on n'a pas besoin de filtrer.
Heureusement que je ne filtre pas ce qui sort de mes serveurs, ce serait pénible sinon !!!
_Avant sur IPTABLES il fallait préciser "-t filter" pour les règles à instaurer sur la table "filter", ensuite cela a changé
Non, la table "filter" a toujours été la table par défaut (on le voit notamment dans la manpage de la version 1.0.0-alpha, disponible sur
https://git.netfilter.org/iptables/tree/iptables.8?id=v1.0.0-alpha).
Bind9 comme on le sait, permet de résoudre les requêtes DNS directement sur notre machine, comme cela, si on est derrière un VPN (Virtual Privat Network) et que celui-ci laisse fuiter nos requêtes DNS, elles ne seront visibles par personne, car nous les faisont en "interne", sur notre interface "lo" dont l'adresse est 127.0.0.1.
Et ton serveur DNS local, pour récupérer ses infos, tu crois qu'il fait quoi ? Il va contacter les autres serveurs, comme tu le ferais en utilisant un autre serveur DNS...
