[quote=“MattOTop”]en fait, c’est au démarrage ET à chaque fois que tu affines en ajoutant une règle à la volée (c à d pas dans ton script d’init), que c’est long.
Mais le ralentissement arrive surtout quand on met en place des centaines de règles.
Par ailleurs, au démarrage, c’est beaucoup plus rapide de restorer l’état de ton pare feu avec iptables-restore que de faire l’ajout une à une des règles: chaque execution d’un iptables -A provoque un recalcul, alors qu’iptavbles-restore ne fait qu’un seul calcul.
Par ailleurs, ta stratègie est correcte: tout bloquer, et n’ouvrir que ce dont tu as besoin.
Si tu veux vraiment blacklister des IP, il y a un outil (fail2ban) qui permet d’en blacklister automatiquement en cas d’echec répèté de connection ssh (et dwebmin, aussi, je crois). Il y a aussi un module pam qui fait le même genre de chose, mais il est encore au stade experimental.
Sinon, blacklister “à priori” des IPs, ca me parait plutot inutile, AMHA.
Sinon, tu as vu cette contrib de Ricardo:
forum.debian-fr.org/viewtopic.php?t=1901[/quote]
OUi j’avais vu pour iptable qu’on peut save et restore, ce qui amene une question dans mon petit cerveau en manque de cafeine, est-ce utile pour un serveur, ce que je veux dire c’est a priori mon script se lencera au demarrage du serveur et c’est tout.
Bon ok si j’ajoute une regle la il recalcul tout, mais n’est-ce pas la meme chose si on fait un save avant, meme si on rajoute une regle il les recalcul toutes non ?( ma question peu paraitre con désolé mais je prefère etre sur)
SI j’ai rien compris vous pouvez me taper dessus ca rentrera plus facilement dans mon ciboulo.
Pour blacklister les ip j’avais aussi pensé que ca pouvais aider un antispam. Je m’explique. En blaclistant les ip reconnue de certain emetteur de spam j’avais penser que ca bloquerais direct le courier venant de ses ip, et donc que ca allegerais le boulo de l’antispam. Mais si je me trompe pas de soucis la blackliste je vire