Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

Attention, une faille de sécurité dans bash a récemment été rapportée, il est recommandé de mettre à jour son système (plus de détails) *** mise à jour 12/10/2014 ***

nombre réponses : 25

#0 -1 »  [Résolu] Protocole ICMP » Le 04/09/2014, à 13:11

Nolanux
Réponses : 12

Bonjour à tous/toutes,

Autodidacte et débutant sur la partie serveur et réseau dans le domaine de l'informatique, je suis en train de configurer un serveur qui officiera en tant que DHCP (cette partie est terminée), mais également de passerelle.  Ceci dans le cadre d'un réseau domestique.  J'utilise Ubuntu Serveur 12.04 (je dois faire la M.à.J. vers la 14 mais je préfère pour le moment, me concentrer sur la théorie afin de faire un cahier des charges valable).

Pour ce, je suis en train de d'étudier diverses documentations et tutoriels, notamment celui-ci que je trouve assez intéressant : http://olivieraj.free.fr/fr/linux/information/firewall , pour la partie sécurité/filtrage.

Je souhaite donc, sécuriser mon serveur qui, puisqu'il va officier également en tant que passerelle, ne devra pas laisser passer des paquets douteux.

J'en viens à ma question : selon vous, est il pertinent de bloquer en entrée sur la carte réseau connectée à internet les paquets ICMP de sorte à ce que le serveur ne puisse être "Pingé" ?
Je sais que, de l'extérieur, je ne pourrai contrôler si le serveur réponds ou pas, mais je me demande si cette règle pourrait être pertinente dans le cadre d'essais d'intrusion.  Evidemment, cela ne serait pas l'unique règle qui entrera en application.  J'utilise Netfilter qui me semble pour le moment un choix intéressant.

Si cette option est valable, à votre connaissance, outre le ping qui sera impossible de l'extérieur, il y aurait il d'autres fonctionnalités qui me seront refusées si je bloque ICMP ?
(je viens de m'apercevoir qu'il me sera impossible d'effectuer un Traceroute de l'intérieur vers l'extérieur, mais suivant la configuration réseau que je veux utiliser, ça ne me posera pas e problème, du moins à ma connaissance, d'en effectuer en interne).

D'avance, je vous remercie

#1 Re : -1 »  [Résolu] Protocole ICMP » Le 04/09/2014, à 13:45

Nolanux
Réponses : 12

Merci de ta réponse ssdg,

Et dans le cas ou ma box réponde à un ping, il y a t'il un quelconque moyen de remonter jusqu'au serveur ?

#2 Re : -1 »  [Résolu] Protocole ICMP » Le 05/09/2014, à 08:32

Nolanux
Réponses : 12

Tout d'abord, merci à tous pour vos réponses,

Tiramiseb a écrit :

Tu parles d'une passerelle. Mais côté public, ta passerelle aura-t-elle une adresse privée donnée par la box ou alors l'adresse publique de ta connexion ?

Côté public, je reçois mon IP de mon FAI.  Pour le moment, je n'ai pas encore les connaissances suffisantes pour savoir ce que tu entends par "adresse publique de ma connexion"

Tiramiseb a écrit :

Concernant le sujet de l'ICMP, je suis contre son blocage : cela contrevient à la norme, qui dit que tout ordinateur doit répondre au ping : c'est une "entorse au règlement" pour une raison de pseudo-sécurité.

Voilà qui est clair et précis ! Je ne suis pas du tout au courant des pratiques à appliquer en ce qui concerne les réseaux (je travaille dans la robotique, qui, chez nous est un cursus d'informaticien industriel, et je n'ai eu que peu de cours de réseaux).  Donc, merci de m'avoir indiqué la procédure !

Quand tu dis qu'un ping peut permettre de deviner l'OS qui se trouve derrière, mais que ça ne peut pas être une porte d'entrée, cela ne peut il déjà pas être une indication pour permettre d'exploiter les failles dudit OS ?

Tiramiseb a écrit :

Je te conseillerais plutôt d'utiliser un logiciel comme Shorewall : avec lui tu pourras faire des jolis trucs sans faire des erreurs idiotes...

Merci pour le renseignement ! IpTables revient le plus souvent dans les docs et les tutos que j'ai lu et (sans avoir rien configuré, je commence à avoir un aperçu global de la chose).  J'en ai déduit que c'était le standard en matière de configuration de Netfilter.  Je vais me renseigner et découvrir Shorewall. 

Encore merci !

#3 Re : -1 »  [Résolu] Protocole ICMP » Le 05/09/2014, à 10:06

Nolanux
Réponses : 12
Tiramiseb a écrit :

- ta box (ton modem) est configuré comme routeur, c'est lui qui a l'adresse IP publique et il distribue des adresses IP privées aux PC qui sont "derrière" lui, il fait office de serveur DHCP

Oui, c'est cela, ma box fait office de routeur et dhcp.  Mais, en test, j'ai monté et configuré un serveur DHCP (qui fonctionne hourra ;-) ) et désactivé le service DHCP de ma box.
PS : Pour des raisons de travaux, je n'ai pour le moment qu'un portable et ma box disponible.  Tout le réseau devrait être remis en route pour milieu, fin octobre, mais ça ne m'empêche pas de me renseigner bien sûr.

D'un autre côté (je me renseigne encore), en quoi la technique de configuration de la box en bridge est elle intéressante ?  Quels sont les avantages et les inconvénients de ce procédé ? (si tu préfères me référer vers une doc, je suis prenant aussi)

Tiramiseb a écrit :

C'est un début d'idée de commencement d'introduction de possibilité d'éventuellement trouver une hypothétique faille.

d'accord, je vois où tu veux en venir :-)

Tiramiseb a écrit :

Ce n'est pas parce que c'est le « standard » que c'est la meilleure solution dans tous les cas smile

Je suis bien d'accord avec toi.  Mais étant plus que novice dans le domaine, je ne peux malheureusement faire qu'avec les outils que je glane ça et là, et je préfère demander des infos à des personnes plus aguerries dans ce domaine, qui ont plus d'expériences que moi.  D'où l'importance de ce forum, je n'aurais jamais eu vent de Shorewall si tu ne m'avais pas indiqué que cela existait.

Pour le firewall tout dépend de tes connaissances,  si tu n'en as pas sur iptables alors effectivement prendre shorewall sera plus simple pour toi.

Euh j'ai largement les connaissances suffisantes pour faire n'importe quel pare-feu avec uniquement iptables, mais je ne suis pas fou, je préfère utiliser des outils efficaces, d'où Shorewall...

Je crois qu'en l’occurrence, il s'adressait à moi ;-)

#4 Re : -1 »  [Résolu] Protocole ICMP » Le 05/09/2014, à 10:29

Nolanux
Réponses : 12

@Tiramiseb

Ok, je comprends la différence entre le mode routeur et le mode bridge, à creuser donc !
Je te remercie pour toutes ces informations.
Je passe le sujet en résolu !

#5 Re : -1 »  [Résolu] Protocole ICMP » Le 05/09/2014, à 11:26

Nolanux
Réponses : 12

Je viens de parcourir un peu en diagonale, en effet, ça à l'air beaucoup moins compliqué qu' Iptables !

#6 Re : -1 »  50000 euros vous en faites quoi » Le 26/08/2014, à 07:46

Nolanux
Réponses : 57

J'arrête de bosser et je retourne à l'unif.

#7 Re : -1 »  50000 euros vous en faites quoi » Le 01/09/2014, à 08:43

Nolanux
Réponses : 57

@David96 : j'ai dit que j'arrêtais de bosser, certes, mais qu'ensuite, je retournais à l'unif !
les 50KEuro, vont me permettre de financer les quelques années sabbatiques nécessaire.

#8 Re : -1 »  Censure internet en France » Le 06/08/2014, à 15:38

Nolanux
Réponses : 49

@Ignus : A la conclusion de l'article, je ne peux m'empêcher de faire l'amalgame avec "Skynet" de Terminator !  Sauf qu'ici il s'agit d'une société privée et non d'un gouvernement (bien que je suppose que l'on ne sache pas tout :/ )
Si John Connor est parmis nous, qu'il se manifeste ... et vite ! :lol:

#9 Re : -1 »  [RESOLU] update-rc.d ne fonctionne pas au boot » Le 28/07/2014, à 10:33

Nolanux
Réponses : 10

Bonjour,

Dans un script le symbole "#" est utilisé pour mettre une ligne en commentaire et donc, cette ligne sera ignorée lors de l'interprétation de ton script.  Par rapport à l'en-tête que tu nous montres, c'est normal que rien ne s'exécute puisque tout est suivi de "#", donc, tout est en commentaire.

Edit : Voilà voilà

#10 Re : -1 »  [Résolu] Voyez-vous correctement mon site? » Le 24/07/2014, à 09:51

Nolanux
Réponses : 26

Suis au boulot sous vista/chrome, pas de soucis ...

#11 Re : -1 »  [resolue]Option "Do not fork." quesako ?? » Le 14/07/2014, à 09:19

Nolanux
Réponses : 27

@Tiramiseb : ce qui voudrait dire, dans l'exemple de comptes, c'est que la dite commande ne pourrait pas fonctionner comme un sous processus ?

#12 Re : -1 »  [resolue]Option "Do not fork." quesako ?? » Le 14/07/2014, à 12:48

Nolanux
Réponses : 27

@Tiramiseb : je comprends mieux.  Merci pour les éclaircissements.

#13 Re : -1 »  fonctionnement de * et detournement commandes » Le 14/07/2014, à 09:16

Nolanux
Réponses : 23

voilà l'article dans son intégralité développez.com
Ce qui me conforte dans l'idée de bien comprendre les mécanismes et la syntaxe d'une commande avant de l'exécuter.

#14 Re : -1 »  [Moulu]Finaliser ce courrier! Faire plaisir et faites vous plaisir. » Le 24/06/2014, à 11:34

Nolanux
Réponses : 13

clair !
j'ai abandonné après le 4ème paragraphe.
Va à l'essentiel, il y a beaucoup trop de fioritures dans le texte, il faut que ça percute en un minimum de temps de lecture !

Mais sinon, l'intention est super bonne !

#15 Re : -1 »  problème script surveillance dernier fichier » Le 29/05/2014, à 15:16

Nolanux
Réponses : 26

Et si tu essaie ceci ?

ls -Rltc 

D'après le man, il semblerait que tu doives ajouter l'option -lt avec -c pour pouvoir trier en utilisant le paramètre Ctime, si tu utilise uniquement l'opion -l il affiche Ctime, mais il trie par le nom

#16 Re : -1 »  problème script surveillance dernier fichier » Le 29/05/2014, à 19:29

Nolanux
Réponses : 26

bizarre oui, parce qu'ici, ça fonctionne ... Je viens d'essayer de nouveau.
tu n'aurais pas créé un alias entre temps ?

#17 Re : -1 »  [Résolu]find + -exec + rm » Le 11/06/2014, à 11:43

Nolanux
Réponses : 14

et si tu essaies ceci ?

$ find . -type d -name "build" -exec rm -r {}/* \;

#18 Re : -1 »  Fin de l'humanité ? » Le 26/05/2014, à 11:23

Nolanux
Réponses : 82

Ce topic est doucement en train de détruire l'humanité ... big_smile

#19 Re : -1 »  problème de variable » Le 19/05/2014, à 13:16

Nolanux
Réponses : 8

je ne suis pas un spécialiste, loin de là (pour tout te dire, je suis en phase d'apprentissage), mais essaie ceci :

LISTING=`ls "$CONTENANT"/*.(pdf|PDF)` 

#20 Re : -1 »  [Résolu] pb de lancement de mes scripts shell depuis Trusty 14.04 » Le 07/05/2014, à 14:09

Nolanux
Réponses : 6

De mémoire il devrait y avoir l'option : lancer le script dans un terminal.
Essaie de faire un clic droit sur le fichier et vois ce qu'il te propose.

#21 Re : -1 »  Trucs à faire pendant les vacances » Le 22/04/2014, à 15:06

Nolanux
Réponses : 18

Un petit stage de lutherie, histoire d'avoir ta propre gratte ! cool
Xavier Petit

#22 Re : -1 »  Trucs à faire pendant les vacances » Le 23/04/2014, à 09:40

Nolanux
Réponses : 18

Tu l’as fait ? C’est bien ? Que vaut l’instrument ? Tu sais si on peut faire un autre instrument ?

Je crois qu'il vaut mieux que je t'explique le contexte.
Je me trouvais dans un magasin de guitare à essayer quelques instruments, quand un type (pote avec le vendeur), explique qu'il à fait son stage chez Xavier Petit, que c"était une fabuleuse expérience et qu'enfin, il a pu s'offrir une guitare de luthier à petit prix (il faut savoir qu'en général, une guitare de luthier coûte le double du prix proposé par la formation).
De plus, le gars avait envie d'une sonorité précise et grâce à ce stage, il a pu réaliser la guitare qui correspondait complètement à ses envies/besoins. 
Il m'a cordialement fait essayer sa gratte et en effet, c'était du bon matos avec du bois de bonne facture.  Rapport qualité prix, tip top.
Maintenant, le mec était musicien et c'est une guitare qui l'accompagnera toute sa vie, c'était plutôt un investissement dans son cas.

#24 Re : -1 »  [Résolu] Distribution pour (très) vieux portable » Le 18/04/2014, à 14:23

Nolanux
Réponses : 4

ça à l'air intéressant !
je lirai le document à tête reposée.
de nouveau merci !