Forum Linux.général ShoreWall et autorisations temporaires

Posté par  .
Étiquettes : aucune
0
27
oct.
2008
Sur un firewall paramétré avec ShoreWall, je cherche à pouvoir autoriser temporairement l’accès à un service réseau pour des clients ayant été identifiés par ailleurs.

L’identification est basée uniquement sur l’adresse IP, (il s’agit uniquement d’une première vérification, le service sous-jacent dispose d’une vérification plus forte).

ShoreWall met à disposition un mécanisme de liste noire temporairement par les commandes shorewall drop et shorewall allow.
Je n’ai pas trouvé d’équivalent pour une liste blanche permettant d’autoriser temporairement un couple adresse+port (voir même seulement une adresse).

Quelqu’un a-t-il déjà réalisé un tel montage avec ShoreWall ?
Merci
  • # Demi-solution trouvée

    Posté par  . Évalué à 1.

    Il faut créer une règle ShoreWall à base de (pour SSH par exemple) :
    run_iptables -A $CHAIN -p tcp --dport 22 -m recent --name CheckAddr --rcheck --seconds 60 -j ACCEPT
    run_iptables -A $CHAIN -j DROP


    Puis ajout d’adresse :
    echo xx.xx.xx.xx > /proc/net/ipt_recent/CheckAddr
    ou suppression d’adresse :
    echo -xx.xx.xx.xx > /proc/net/ipt_recent/CheckAddr

    Ce n’est pas terrible, mais pour le moment, je n’ai pas mieux.
  • # Un serveur SOCKS?

    Posté par  (site web personnel) . Évalué à 2.

    C'est old school mais cela fonctionne parfaitement : http://fr.wikipedia.org/wiki/SOCKS
    • [^] # Re: Un serveur SOCKS?

      Posté par  . Évalué à 1.

      Il y a de l’idée.

      Pour le moment, il s'agit d'une maquette, je cherche donc une solution à basse de ShoreWall, car c’est le Firewall utilisé sur le serveur.

      Mais à terme, quand l’architecture sera repensée pour être extensible (scalable), je compte mettre en place une sorte de proxy inverse pour le protocole utilisé.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.