Pare-feu REJECT vs DROP

[zargos]

Je te retourne l'argument. En quoi REJECT poserait plus de problème que DROP sur une connexion légitime ? A part bien sur faire chier quand on a besoin de déboguer...

Aucun justement, car si c'est une connexion ,légitime tu n'as pas à la bloquer.

Pour ce qui est du proxy il est ouvert sur le port du proxy coté LAN mais fermé coté Internet (les connexion sont DROP coé Internet). Donc si un parfefeu est utile.

[lol]

...
Pour ce qui est du proxy il est ouvert sur le port du proxy coté LAN mais fermé coté Internet (les connexion sont DROP coé Internet). Donc si un parfefeu est utile.

Le proxy est simplement mal configuré.
Aucun intérêt d'avoir un programme qui écoute sur une interface si c'est pour bloquer le trafic derrière.

A quoi bon ouvrir intentionnellement une brèche si c'est pour mettre une rustine dessus ?

[zargos]

...
Pour ce qui est du proxy il est ouvert sur le port du proxy coté LAN mais fermé coté Internet (les connexion sont DROP coé Internet). Donc si un parfefeu est utile.

Le proxy est simplement mal configuré.
Aucun intérêt d'avoir un programme qui écoute sur une interface si c'est pour bloquer le trafic derrière.

A quoi bon ouvrir intentionnellement une brèche si c'est pour mettre une rustine dessus ?

On ne s'est pas bien compris
Tu ouvres le port 3128 (pour un Squid) coté LAN en entrant vers le proxy uniquement pour les accès utilisateurs.
Tu bloques tous les ports entrant coté Internet, mais tu laisse ouvert en sortie du proxy vers Internet.

[lol]

Ok j'ai compris.

Dans ce cas particulier, je n'utilise pas de pare-feu sur la partie externe (WAN).
A quoi bon puisqu'aucun service n'est à l'écoute. Les requêtes finissent en timeout de toute façon.

Quand je mets en place un pare-feu je ne filtre que les ports ouverts, soit pour réserver l'accès à certaines IP (Avec un REJECT pour les IP non autorisées ) soit pour exemple éviter les tentatives de flood.