Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites". Attention, le forum rencontre actuellement quelques difficultés. En cas d'erreur 502, il ne faut pas re-valider l'envoi d'un message ou l'ouverture d'une discussion, au risque de créer un doublon.

La section divers se réorganise ! De nouvelles sous-sections à venir. (plus d'infos + donner son avis)

#1 Le 31/12/2013, à 15:58

mantassir

IPTABLES sur ICMP

Bonjour,
je suis nouveaux sur l'utilisation de linux et je voudrais appliquer le Firewall (iptables) sur mon reseuax
mon reseux est comme suite:
pcinterne : 192.168.10.10
Firewall : 192.168.10.1 (eth0) et 10.21.0.1 (eth1)
pcexterne : 10.21.0.21

pcinterne--------eth0---Firewall---eth1--------pcexterne

192.168.10.10-----192.168.10.1 || 10.21.0.1---------10.21.0.21

j'utilise le Firewall iptables sur un machine linux comme suite:
-j'autorise la machine pcinterne (réseaux local) à effectuer un ping (icmp type 8) sur la machine pcexterne (réseaux distant) (qui répondra par icmp type 0).


-j'ai activer le routage:
#echo "1" > /proc/sys/net/ipv4/ip_forward

-puis DROP pour tt:
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD DROP

#iptables -A INPUT -i lo -j ACCEPT

-autoriser le ping
#iptables -A INPUT -p icmp --icmp-type 8 -s 192.168.10.10 -d 10.21.0.21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -p icmp --icmp-type 0 -s 10.21.0.21 -d 192.168.10.10 -m state --state ESTABLISHED,RELATED -j ACCEPT

je sais bien que cette config n est pas suffisant et ne marche pas, mais si je fais la meme chose pour la chaine FORWARD au lieu de INPUT et OUTPUT:

#iptables -A FORWARD -p icmp --icmp-type 8 -s 192.168.10.10 -d 10.21.0.21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -p icmp --icmp-type 0 -s 10.21.0.21 -d 192.168.10.10 -m state --state ESTABLISHED,RELATED -j ACCEPT

ca fctionne bien, dans ce cas je sais pas si j'ai securiser au max mon reseaux (ne rien laisser passer sauf le ping).
merci de me corriger l'erreur.

Hors ligne

#2 Le 31/12/2013, à 18:30

pires57

Re : IPTABLES sur ICMP

utilises les balises code pour mettre tes configs, bout de code et retour de commande !

j'utilise le Firewall iptables sur un machine linux comme suite:
-j'autorise la machine pcinterne (réseaux local) à effectuer un ping (icmp type 8) sur la machine pcexterne (réseaux distant) (qui répondra par icmp type 0).

iptables n'est pas un firewall, le firewall c'est netfilter. Iptables, c'est l'interface de configuration de netfilter.

Bon j'ai plus trop le temps de regarder tes regles (faut bien commencer a se préparer ^^ ) mais je jeterais un coup d'oeil plus tard... mais ce que tu doit savoir, c'est que si ton pc n'as pas de port ouvert a tout va, qu'il ne sert pas de serveur web ou autres ... le firewall ne te sert pas a grand chose (comme te le diront beaucoup d'autre personnes ici)


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.

Hors ligne

#3 Le 31/12/2013, à 19:44

Pierre Lhabitant

Re : IPTABLES sur ICMP

pires57 a écrit :

... le firewall ne te sert pas a grand chose (comme te le diront beaucoup d'autre personnes ici)


Sauf moi...


Salut,


Installe Gufw,

http://doc.ubuntu-fr.org/gufw

Tu règles sur "entrant deny" et "sortant allow", ne te focalise pas sur le ping, ça ne sert à rien, le plus utile serait de bloquer ICMP type 0 code 0 sortant, histoire de repousser une attaque directe possible (rare), tu peux aussi bloquer les ports 137 138 139  flux entrant both (TCP et UDP).

Pour vérifier tes règles tu tapes dans le terminal   sudo iptables -L

Dernière modification par Pierre Lhabitant (Le 31/12/2013, à 20:08)

Hors ligne

#4 Le 01/01/2014, à 17:25

pires57

Re : IPTABLES sur ICMP

Sauf moi...

Si tu n'as pas confiance aux applis que tu lances, alors ne les lances pas ...


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.

Hors ligne

#5 Le 01/01/2014, à 17:57

Pierre Lhabitant

Re : IPTABLES sur ICMP

pires57 a écrit :

Sauf moi...

Si tu n'as pas confiance aux applis que tu lances, alors ne les lances pas ...


Je ne vois pas pourquoi j'aurais éternellement confiance dans mes applications, Linux est faillible comme Windows, seul le sauve sa faible représentativité, il y a quelques années Windows était probablement moins bien fait au niveau de la sécurité (mais pas de la disponibilité), ce n'est plus le cas actuellement, Windows 8.1 est costaud.

Même sous Ubuntu, il est utile d'avoir un pare feu logiciel, faut vraiment être fana linuxien pour croire le contraire.

Hors ligne

#6 Le 01/01/2014, à 18:03

pires57

Re : IPTABLES sur ICMP

Linux est faillible comme Windows, seul le sauve sa faible représentativité

mais n'importe quoi ! Linux est plus robuste que Windows.... et le peu de faille qui existe sont supprimé quelques jours après leurs apparitions grâce notamment a la communauté, pour une mise a jours sur une faille chez Microsoft une fois qu'elle est détecté tu attends combien de temps? il y en a qui ont été résolu plus de 6 mois après leurs parution !!


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.

Hors ligne

#7 Le 01/01/2014, à 18:07

Pierre Lhabitant

Re : IPTABLES sur ICMP

pires57 a écrit :

Linux est faillible comme Windows, seul le sauve sa faible représentativité

mais n'importe quoi ! Linux est plus robuste que Windows.... et le peu de faille qui existe sont supprimé quelques jours après leurs apparitions grâce notamment a la communauté, pour une mise a jours sur une faille chez Microsoft une fois qu'elle est détecté tu attends combien de temps? il y en a qui ont été résolu plus de 6 mois après leurs parution !!


Pas exploitées les failles? avec moins de 2% du parc des PC ça se comprend, faut réfléchir un peu de temps en temps.

Une fois que le meilleur Linux aura fait son trou, beaucoup moins de monde y mettra ses pieds dans cet OS, il deviendra plus stable au niveau de la conception, les développeurs derrière, les gestionnaires devant, on ne peut pas tout avoir, la sécurité et la célébrité.

Dernière modification par Pierre Lhabitant (Le 01/01/2014, à 18:11)

Hors ligne

#8 Le 01/01/2014, à 20:35

pires57

Re : IPTABLES sur ICMP

on peut avec de la célébrité et de la stabilité, tu as beau dire ce que tu veut, les failles sont moins exploités sous nux pour la simple et bonne raison qu'il ne sert a rien d'exploité une faille qui n'existera plus dans quelques heures !


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.

Hors ligne

#9 Le 02/01/2014, à 06:42

Pierre Lhabitant

Re : IPTABLES sur ICMP

pires57 a écrit :

on peut avec de la célébrité et de la stabilité, tu as beau dire ce que tu veut, les failles sont moins exploités sous nux pour la simple et bonne raison qu'il ne sert a rien d'exploité une faille qui n'existera plus dans quelques heures !


Inutile de te répéter, des failles qui durent autant que celles de Windows, ça peut se trouver, évidemment, j'en ai expliqué les causes plus haut, un OS largement diffusé sera moins "open source", de part la volonté des utilisateurs et des gestionnaires.

Un OS ce n'est pas une religion, il faut garder son sens critique et rester rationnel.

Dernière modification par Pierre Lhabitant (Le 02/01/2014, à 07:20)

Hors ligne

Haut de page ↑