Sur un firewall paramétré avec ShoreWall, je cherche à pouvoir autoriser temporairement l’accès à un service réseau pour des clients ayant été identifiés par ailleurs.
L’identification est basée uniquement sur l’adresse IP, (il s’agit uniquement d’une première vérification, le service sous-jacent dispose d’une vérification plus forte).
ShoreWall met à disposition un mécanisme de liste noire temporairement par les commandes shorewall drop et shorewall allow.
Je n’ai pas trouvé d’équivalent pour une liste blanche permettant d’autoriser temporairement un couple adresse+port (voir même seulement une adresse).
Quelqu’un a-t-il déjà réalisé un tel montage avec ShoreWall ?
Merci
Forum Linux.général ShoreWall et autorisations temporaires
27
oct.
2008
# Demi-solution trouvée
Posté par Benoit . Évalué à 1.
run_iptables -A $CHAIN -p tcp --dport 22 -m recent --name CheckAddr --rcheck --seconds 60 -j ACCEPT
run_iptables -A $CHAIN -j DROP
Puis ajout d’adresse :
echo xx.xx.xx.xx > /proc/net/ipt_recent/CheckAddr
ou suppression d’adresse :
echo -xx.xx.xx.xx > /proc/net/ipt_recent/CheckAddr
Ce n’est pas terrible, mais pour le moment, je n’ai pas mieux.
# Un serveur SOCKS?
Posté par Christophe Nowicki (site web personnel) . Évalué à 2.
[^] # Re: Un serveur SOCKS?
Posté par Benoit . Évalué à 1.
Pour le moment, il s'agit d'une maquette, je cherche donc une solution à basse de ShoreWall, car c’est le Firewall utilisé sur le serveur.
Mais à terme, quand l’architecture sera repensée pour être extensible (scalable), je compte mettre en place une sorte de proxy inverse pour le protocole utilisé.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.