samedi, août 5 2006, 21:51
Le côté coquin d'iptables
Par Guillaume Lelarge - Linux - Lien permanent
J'adore iptables. C'est vraiment un soft très bien conçu, simple à appréhender (bien que difficile à maîtriser). En fin d'après-midi, je m'amusais à indiquer les règles et la politique d'iptables. Plutôt simple en fait : politique DROP par défaut, accès SMTP, IMAPS, HTTP{,S} et SSH autorisés. Il ne me manquait plus que l'accès FTP. Bien content de moi. Simple, en fait.
Et là, tout a basculé. J'ai supprimé les règles avec un simple « iptables -F ». Je ne me suis pas du tout posé la question de la politique appliquée (après tout, ces deux derniers mois, la politique était de tout accepter). Et voilà comment on se trouve bloqué à distance. Sans aucune règle d'acceptation de trafic et avec une politique DROP par défaut, tout était cadenassé. Dieu merci, il est possible de redémarrer sa dédibox à distance. Ce que j'ai fait, ce qui a fonctionné mais mon dieu ce que j'ai fouetté en attendant le redémarrage...
5 commentaires
Rolling On The Floor Laughing ! :D Malgré le fou rire, je compatis à ta peur
Ahhh la première fois que ça arrive de se couper la patte... Après on laisse toujours une connexion en cours pour se rattraper aux branches (enfin ça dépend des règles utilisées bien sûr 
)
J'avoue que c'est assez marrant... enfin, surtout maintenant. L'idée d'avoir à tout réinstaller... pfiou, ze galère.
Par contre, j'avais bien une session mais elle s'est bloquée.
Maintenant, tu sais que mettre un script qui remet à jour ACCEPT ALL toutes les 5 min c'est utile tant que tu n'as pas fini ton firewall ?
Tiens, c'est pas con ça. Je n'y avais pas pensé la moitié d'un quart de seconde mais c'est loin d'être stupide. Merci bien
Pour info je gére ca avec des scripts post-commit svn, qui mettent en place les nouvelles règles, envoie le diff aux différentes équipes, revient au script iptables d'avant pendant quelques minutes, et remet enfin le script que tu viens de faire.