Iptables question

PPdM · Le 11/09/2014, à 23:04

fruitsecrases a écrit :

PPdM en pleine crise somatoforme, elle est bonne celle-là ! (J'ai bien fait de repasser dis donc. Ça va chez toi ? T'aurais pas oublié une petite pillule bleue ou rose parfois non ? ) Tout énervé le bonhomme, il tappe des pieds sur terrre tout seul en s'énervant pfff...
Quand même, un peu de dignitié s'il te plaît... Des gens te regardent là..

Et puis si vous pouviez tous revenir sur le sujet ce serait super là, et ce serait aussi le bon moment

Et en plus il lit trop Wikipedia sans comprendre ce qu'il lit

Loupus11 a écrit :

Salut A Tous,
Je suis un utilisateur lambda, je n'utilise pas de par feu sous Debian ou Ubuntu.
Juste un petit lien pour notre ami fruitsecrases puisqu'il n'a pas la courtoisie suffisante pour apprécier les qualités des intervenants sur ce forum.
J'espère avec force, que ce dernier lui apportera un peu de sagesse et un minimum d'humilité.
Table des matières : Traduction en français du document de Eric S. Raymond
Bien cordialement
@Loupus11

Et quand il lit autre chose il ne comprend pas plus, un vrai de vrais

tiramiseb · Le 11/09/2014, à 23:08

C'est toi qui pollues cette discussion avec ton histoire de helpers. Cette discussion, initiée par Levy-san, a comme sujet un serveur Ubuntu, et toi tu viens parler de desktop et de tes helpers. Tu veux parler des helpers ? Crée ta discussion et essaie d'avoir un peu plus de respect que ça pour ceux qui te répondront.

fruitsecrases · Le 11/09/2014, à 23:20

PPdM a écrit :

Et en plus il lit trop Wikipedia sans comprendre ce qu'il lit

Aïe, pas vraiment, j'ai associé ce mom tout à l'heure pour sa "bouvelle" siginification et donc sa définition psychiatrique, et c'est à cette page https://fr.wikipedia.org/wiki/Hyst%C3%A9rie , ce n'est pas du tout long à lire car ce n'est qu'à quelques ligne sdu début, d'où mon utilisation des mots crise et somatoforme tou tà l'heure . Eux disent troubles ,je préfère dire crise parce que quand je t'ail lu tout à l'heure c'était plutpôt un crise

Tu lis entre deux lignes ou quoi papai ?

pires57 · Le 11/09/2014, à 23:37

Tu deviens vraiment lourd la.

fruitsecrases · Le 11/09/2014, à 23:43

tiramiseb a écrit :

C'est toi qui pollues cette discussion avec ton histoire de helpers. Cette discussion, initiée par Levy-san, a comme sujet un serveur Ubuntu, et toi tu viens parler de desktop et de tes helpers. Tu veux parler des helpers ? Crée ta discussion et essaie d'avoir un peu plus de respect que ça pour ceux qui te répondront.

Bah, le fait que j'en parle t'as intéressé en premier, en me parlant que pour toi aussi MISC est une source très sérieuse, ensuite tu as esquivé en disant que tu n'avais pas le temps de les lires mais tu as passé une grosse partie de la journée à me dire que tu n'avais pas le temps de les lires au lieu de justement les lire mdrr ! T'es quand même bizarre comme mec non ?

, et maintenant tu m'accuses d'avoir polluer le fil, alors que j'ai attendu le message #34 ici-même dans cette discussion pour parler des helpers et de ses dangers à l'initiateur de cette discussion,, qaund je faisais ça, je ne faisais pas pour toi (quoique aussi) mais en tout premier lieu pour lui, et comme on est sur son topic et qu'il essaie de copendre iptables et des risques qu'on encours sans l'utiliser, la mooindre des choses d'un utiliseur Linux et de donner les dernières failles actuelles, et c'est ce que j'ai fait, donc pour aider Levy-San sur Iptables et ses dangers, je l'ai aidé directement enf aisant cela, je ne vois du coup pas où je susi hors sujet

Je le répète les gars, passez à autre chose que moi sur cette discussion, vous n'aurez pas le dernièr mot, il vous manque quelque chose pour ça... Mais je pense que vous savez ce que c'est ptdr !!

Je termine Tiramiseb par une de tes citations (me répondant), et trouvée dans une discussio nau dessus qui dit

tiramiseb a écrit :

il doit y avoir d'autres cas où il est intéressant de mettre en route IPtables sur une machine bureau comme j'ai ici (de bureau)
Bien sûr, il y a énormément de cas où Netfilter est utile. Je n'ai jamais dit le contraire.

Du coup, est-ce que tu penses que je fais partie des utilisateurs dont tu dis qu'il y a énormément de cas où Netfilter est utile partie stp ?

@ noter aussi que tu nous rabaches depuis plusieurs messages que les internautes qui auront pas besoin d'un pare feu type Iptables ne sont pas monnaie courante du tout, mais que là juste au dessus tu nou sça ;

tiramiseb a écrit :

Bien sûr, il y a énormément de cas où Netfilter est utile. Je n'ai jamais dit le contraire.

énormément de "cas" dans cette hrase ne veut dire qu'une seule chose poour moi, et c'est celle-ci : _ ça veut dire qu'il y énormément de gens qui en ont l'utilité.

Un cas ne puvant pas être un lapin ou une araignée, je pense que c'est sûrement un humain, ou une humaine ! Pour réussir à se servir au moins d'ipatbles il faut au moins ça ! et comme tu le dis juste au dessus : Bien sûr, il y a énormément de cas où Netfilter est utile.

C'est vrai...

Dernière modification par fruitsecrases (Le 12/09/2014, à 00:05)

pires57 · Le 12/09/2014, à 00:15

mais t'as une de ses logiques!
Un cas n'est pas une personne...
Bon pour te le dire dans ton langage (parce qu'a priori t'es pas foutu de comprendre quand tiramiseb te le dit gentillement) : il en a rien a foutre des tes helpers, c'est pas le sujet!
L'auteur de ce topic n'est pas dans ton cas et n'a nullement parlé des helpers.
Je ne dirais pas que tu as raison ou pas (de toute manière même si je te prouvais par a+b que tu as faux tu continueras a dire que tu as raison) parce que je n'ai pas de temps à perdre avec cela.

Dernière modification par pires57 (Le 12/09/2014, à 00:19)

fruitsecrases · Le 12/09/2014, à 00:28

pires57 a écrit :

Je ne dirais pas que tu as raison ou pas (de toute manière même si je te prouvais par a+b que tu as faux tu continueras a dire que tu as raison) parce que je n'ai pas de temps à perdre avec cela.

Oui voilà on a qu'à dire que tu fais comme ça, se sera toujours une personnne en moins qui va polluer ce fil

xabilon · Le 12/09/2014, à 00:45

Bonsoir

Il serait souhaitable de revenir au calme assez rapidement. Les derniers échanges sont totalement inutiles, hors sujet, voire insultants et ne siéent pas du tout à une section d'aide.
Merci d'en tenir compte.

L'équipe de modération

fruitsecrases · Le 12/09/2014, à 00:53

Bonsoir et pas de soucis xabillon, je souhaite aussi depuis plusieurs messages maintenant, retourner sur le sujet, nous avions parlé des Helpers auxquels il fallait faire attention sur son iptables, et j'espère que le message est passé pour lui dans nos derniers échanges. Afin de continuer à développer nos connaissances sur les helpers(et toujours pour alimenter celles de l'initiateur de ce topic), je souhaiterai répondre ici, afin que l'auteur de cette discussion puisse bien comprendre qu'en activant son iptables pour régler ce premier soucis, clea pourrait déjà tenir un rôle majeur dans sa sécurité. (mais cela servira ausi à d'autres personnes, la discussion ayant déjà dépassée les 2105 vues.

pires57 a écrit :

mais t'as une de ses logiques!

Merci au moins un qui s'en rend compte Et tu le confirmes par exemple quand ici tu m'appuies dans l'idée de ce que je cherche à faire comprendre à Tiramiseb au numéro #12 du lien ci ou tu y as mis cette phrase en parlant de pare-feu :

pires57 a écrit :

Si tu te trouve derrière une box, la mise en place d'iptable et inutile cependant
si c'est pour simplement apprendre alors oui cela peut être intéressant
.

Cette citation de ta part est juste et va dans mon sens, mais elle est fausse aussi car tu ne parles pas des helpers. Et sur Ubuntu, les Helpers représentent un gros problème de sécurité, mais que toi et les autres membres ne peuvent pas venir valider devant moi parce que apparememnt, tout comme Tiramiseb, vous faites les gens qui ne veulent pas les comprendre, ni les lire, dans le seul but je pense qui est de voilour me casser moi par tous les poyens possibles et imaginables en votre possession, mais que si demain vous aller apprendre le danger réel relevé par Misc (et que je donne ici, après le message #34, et sous forme de deux shootscreen), alors là vous viendrez la queue entre les jambes me dire que "Oui, ce jour là j'ai bien fait de conseiller cela à Levy-San ainsi qu'aux autres utilisateurs auxquels vous dites que ce n'est pas nécessaire

pires57 a écrit :

Un cas n'est pas une personne...

Pas nécessairement. C'est vrai d'un côté, mais cela ne veut pas dire que sur 200 cas, il n'y ai pas 50 personnes différents sur 50 PC différents non plus donc bon mec, ta logique est aussi quelque peu à revoir, même beaucoup à revoir

pires57 a écrit :

Bon pour te le dire dans ton langage (parce qu'a priori t'es pas foutu de comprendre quand tiramiseb te le dit gentillement) : il en a rien a foutre des tes helpers, c'est pas le sujet!

Là aussi tu as mal lu Tiramiseb sur cette discussion, et tu ne te rends pas compte de ce qu'il a écrit dans ces messages précédents, il m'a dit clairement, et au sujet des Helpers, ceci :

_concernant l'anti-spoofing des helpers, peux-tu me pointer vers de la documentation ? Je n'arrive pas à voir à quoi tu fais référence. (en disant cela il s'intéressait aux Helpers, sinon il n'aurait rien de mandé)...

Et c'est ici dans son message #36 sur cette discussion : http://forum.ubuntu-fr.org/viewtopic.ph … #p17956801 (la même discussuion qu'ici hein..)

De plus dans ce message #36 il recommence par dire cela :

fruitsecrases: en effet, je n'ai pas dit qu'un pare-feu est inutile quel que soit le cas et il y a de très nombreuses situations où c'est nécessaire.

pires57 a écrit :

L'auteur de ce topic n'est pas dans ton cas et n'a nullement parlé des helpers.

Dans pas mal de situations ce n'est pas parce qu'un novice ne demande pas quelque chose qu 'il ne faut pas le conseiller sur quelque chose à laquelle tu penses mais que visiblement lui ne connait paspar exemple comme sur le sdanger des Helpers expliqué clairement par Misc dans les pages précédentes. Ensuite, comme tu n'as pas lu l'article de Misc, tu n'as pas vu que ça ne s'applique pas que dans mon cas cette faille de sécurité, mais dans toutes les machines équipées de Helpers, dont Ubutnu, pour voir si tu es concerné tu vas dans ce dossier ci sous ta ubuntu :

/proc/sys/net/Netfliter/ et tu regardes si tu as un fichier "d'appel de Helpers" qui s'appellent :

nf_conntrack_helper

si tu l'as alors banco, l'aide que j'ai donné à Levy-San à ce sujet, vallait le seul coup de pouce pour qu'à minima il se lance un Iptables configuré pour les stopper, merci à MISC

Par exemple, connaissais-tu déjà cette faille sur les Helpers dont j'ai parlé à Levy-San ici même stp ?

Dernière modification par fruitsecrases (Le 12/09/2014, à 01:48)

tiramiseb · Le 12/09/2014, à 07:36

Bonjour à tous,

Concernant les helpers, je n'ai pas le temps de te faire une jolie réponse bien enrobée et ce n'est pas le lieu pour ça. Par contre j'ai le temps pour une simple précision (sincèrement, je ne sais pas pourquoi ça ne m'est pas venu avant) :
Les helpers sont là pour les paquets retransmis (chaîne FORWARD), donc sur une passerelle, et uniquement lorsque l'on fait du NAT.
Donc à partir du moment où on ne fait pas de NAT (donc a fortiori sur un poste client), les helpers sont inutiles et n'ont besoin d'aucun blocage, qu'ils soient chargés ou non. Tu dis qu'il faut mettre des helpers sur un client "lambda ou presque", je viens d'expliquer en quoi tu te trompes, tu vas nous lâcher la grappe avec ça maintenant ? De plus, par défaut les helpers ne sont pas chargés, je ne peux qu'imaginer que pour les bloquer tu as dû les charger, c'est ubuesque !
(et j'ai comme l'impression d'avoir déjà fait cette réponse à propos de ce même article, je me demande même si ça n'était pas déjà à toi...)

Pator75 · Le 12/09/2014, à 07:53

Très intéressant ce topic, en y regardant bien, je ne pense pas que Tira et d'autres se gardent une poire pour la soif afin de survivre économiquement, je sais bien que les gens qui lavent plus blanc que blanc du côté de la morale ont souvent quelque noirceur profonde cachée, même en informatique, chez linux on aide, parfois en étant désagréable mais on aide, mais tant qu'on sait...

Fruits, j'ai bien compris ta démarche sur Iptables, mais si tu y arrives de façon exhaustive crois moi tu peux te faire embaucher, peut être que je ferai pareil que toi un jour, mais la syntaxe Iptables ça me gonfle grave, bon courage parce qu'établir une liste de règles complète pour un firewall c'est très compliqué, un travail de professionnels spécialistes, que tu ne trouveras pas sur ce site, d'où quelque énervement et justification hasardeuse (la bourde à Tira).

Tira est quand même correct dans ses échanges, pour Iptables il ne peut pas creuser trop profond, pas grave.

tiramiseb · Le 12/09/2014, à 08:32

parfois en étant désagréable

Mon but n'est pas d'être agréable, mon but est d'aider en étant factuel.

un travail de professionnels spécialistes, que tu ne trouveras pas sur ce site
[...]
pour Iptables il ne peut pas creuser trop profond, pas grave

Euh s'il-te-plaît, les pare-feux c'est (une partie de) mon boulot, j'en suis professionnel spécialiste, je maîtrise iptables, j'ai monté de nombreux pare-feux, sous Debian avec iptables puis avec Shorewall. Car non, les "professionnels spécialistes" n'utilisent pas directement iptables sauf cas extrêmement rares.

Et non, "connaître iptables de manière exhaustive" ne te fera pas embaucher (ce n'est pas suffisant en tout cas), surtout si tu suggères de faire un vrai pare-feu "solide" directement avec iptables. On n'est plus au XXe siècle.

Si fruitsecrases (ainsi que ses autres comptes) était un peu plus agréable, on aurait peut-être une discussion qui avance. Moi j'en ai marre de me faire agresser avec des approximations assénées comme des vérités et des propos m'étant prêtés que je n'ai jamais dits.

fruitsecrases · Le 12/09/2014, à 10:04

tiramiseb a écrit :

Bonjour à tous,
Concernant les helpers, je n'ai pas le temps de te faire une jolie réponse bien enrobée et ce n'est pas le lieu pour ça. Par contre j'ai le temps pour une simple précision (sincèrement, je ne sais pas pourquoi ça ne m'est pas venu avant) :
Les helpers sont là pour les paquets retransmis (chaîne FORWARD), donc sur une passerelle, et uniquement lorsque l'on fait du NAT.
Donc à partir du moment où on ne fait pas de NAT (donc a fortiori sur un poste client), les helpers sont inutiles et n'ont besoin d'aucun blocage, qu'ils soient chargés ou non. Tu dis qu'il faut mettre des helpers sur un client "lambda ou presque", je viens d'expliquer en quoi tu te trompes, tu vas nous lâcher la grappe avec ça maintenant ? De plus, par défaut les helpers ne sont pas chargés, je ne peux qu'imaginer que pour les bloquer tu as dû les charger, c'est ubuesque !
(et j'ai comme l'impression d'avoir déjà fait cette réponse à propos de ce même article, je me demande même si ça n'était pas déjà à toi...)

Merci, il faut ramer pour avoir une consultation gratuite chez un "grand" du forum. Cette année j'ai réinstallé Ubuntu il y a quelques jours, mais je n'ai pas mis le PPA de Felix Geyer concernant Iptables, et je ne suis pas allé sur le site d'Iptables pour récupérer la version 1.4.21 pour l'installer sur Ubuntu, je suis donc depuis le début de cette conversation sur la version officielle d'Iptables, qui est dans les dépôts de la 12.04 LTS. Il y avait un truc que je n'arrivais pas bien à saisir (et que tu mets en gras dans ton message précédent), voilà, je ne fais pas de NAT du tout, donc moi, ça ne me servira jamais. Pour me justifier :

_tu me vois venir ici te demander de me donner des infos sur un truc aussi compliqué (pas pour toi, mais pour moi utilisateur Lambda), avec toi ?? Qui m'aurait fait ta réponse habituelle (parce que ça fait des années que je te lis lol), tu m'aurais jeté, en me disant que ça ne sert à rien de le savoir, que franchement sous une machine de bureau et blablabla et blablabla, ton spitch quoi....

Voilà, je vais changer de compte utilisateur maintenant, et merci, merci de m'avoir aidé pour ces helpers dont je ne comprenais pas si je risquais quelque chose ou pas. C'est plus facile si à l'avenir tu cherches à instruire les gens au lieu des les rembarer directement, on sait jamais sur qui on va tomber sur le net, ni si le spécimen a pas un plan derrière la tête lol, méfie-toi quoi, on appelle ça ingénérie sociale c'est ça ? En tous cas encore merci vraiment, et si tu penses à autre chose sur ces Helpers, n'hésite pas à enrichir encore plus la communauté gratuite d'Ubuntu de ton savoir, ça c'est vraiment important pour nous tous, pour la communauté, pour la richesse du forum Ubuntu, salut l'ami, maintenant je te laisse tranquille, et je vais éditer le message où j'avais placardé les deux pages complètes de l'article de Misc, c'est complètement illégal de faire cela en France, on a juste le droit à faire de courtes citations, mais au grand jamais tout un pan d'un article complet.

_Raum_ · Le 12/09/2014, à 10:21

Mais du coup c'est quoi un helper ?

PPdM · Le 12/09/2014, à 10:48

@fruitsecrases
La prochaine fois que tu veux des renseignements sur un sujet X tu ouvres ton propre sujet et tu ne t'incruste pas de façon désagréable, arrogante et méprisante, dans le fil d'un autre, dont le sujet est Y qui plus est.
Les règles du forum sont simples, lis les et retient une chose
Un sujet, une question, un membre.
Si tu veux discuter en bordel comme tu l'a fait il y a deux rubriques destinées a cela: l’Éphémère et le café
A bon entendeur salut!

Dernière modification par PPdM (Le 12/09/2014, à 17:14)

_Raum_ · Le 12/09/2014, à 11:00

Excuses-moi, PPdm, tu t'adresse à qui en fait ? j'ai comme un doute...

Cela fait longtemps que l'on n'est plus sur la question de Levy-san... et, même s'il a reçu des réponses qui l'ont aidé, j'espère que maintenant il se marre en lisant ces 6 pages...

Pator75 · Le 12/09/2014, à 11:23

Fruits, tente le coup ici,

https://www.debian-fr.org/

Mais attention! le Kalembour est encore plus revêche que certains ici, mais plus disert sur Iptables, n'oublie que tu t'adresses à lui du haut de sa grandeur...

PPdM · Le 12/09/2014, à 13:31

_Raum_ a écrit :

Excuses-moi, PPdm, tu t'adresse à qui en fait ? j'ai comme un doute...
Cela fait longtemps que l'on n'est plus sur la question de Levy-san... et, même s'il a reçu des réponses qui l'ont aidé, j'espère que maintenant il se marre en lisant ces 6 pages...

Corrigé, tu n'étais pas visé, mais lui a du se reconnaître !!
Puisque j'y suis, un truc valable pour tous, si vous pensez que le sujet d'un topic correspond a votre problème, ne vous incrustez pas mais rien ne vous interdit de poster un message du genre:
j'ai un souci similaire, voici le lien de la conversation, si quelqu'un peut m'aider, merci d'avance.

Dernière modification par PPdM (Le 12/09/2014, à 17:15)

pires57 · Le 12/09/2014, à 16:59

Oui, en attendant fruitecrase tu viens de faire perdre des heures à tiramiseb alors qu'avec une question précise tu aurais eu ta réponse....

Haleth · Le 18/10/2014, à 00:36

En fait, il y a deux groupes de personnes qui ont des avis différents sur la question du parefeu.

La grosse masse des incompétents, qui pense que c'est utile
La minorité des gens compétents, qui savent comment le système fonctionne, et ont compris que, logiquement, cela n'est pas utile (au mieux bénin)

Par rapport à fail2ban, c'est un produit très intéressant que chacun devrait avoir.
Parcque en fait, et il faut comprendre comme cela fonctionne (rapport à plus haut: ne pas être dans la masse de débile), il est inutile de se protéger comme l'inexistant, il vaut mieux consolider l'existant.
Aller, une métaphore : j'ai un chateau. Je peux soit controler les entrées-sorties sur les murs (mettre un parefeu), soit m'assurer des entrées-sorties aux portes et fenetres (utiliser fail2ban).

Comme dirait un type compétent bien qu'un peu sociopathe:

corrector a écrit :

Bloquer l'ICMP est une recommandation de sécurité que font les ignares et les cuistres.

Alors tu ne sais pas?... les millions de gens qui ont pris l'habitude de mettre un pare feu vont continuer à le faire, disons que ça correspond à l'instinct de sécurité, c'est un vaccin supplémentaire, et ils vont te laisser prêcher tout seul du haut de tes 32 ans.

Zut, les millions de gens qui ont un parefeu ont plus de soucis de sécurité que la poignée qui n'en a pas ..
Lien de cause à effet ?

Notre ami qui s'inquiète de son Iptables, en réservant uniquement les sorties pour les ports 80 et 443 (et peut être 53 ça peut servir) comme beaucoup, croit resserrer le trafic, mais en fait c'est une porte de grange !!! il faut filtrer par application (ex ports 80 et 443 pour un navigateur), et vérifier que c'est bien le navigateur qui demande cette connexion (filtrage dit de fuites), donc si Ubuntu n'a jamais besoin de filtrer localement en entrée (dogme tiramisebien), il devra bien un jour filtrer en sortie, nécessité d'un pare feu.

Et comment tu sais que c'est le navigateur ?
Et pourquoi seul le navigateur pourrait causer à un serveur HTTP ?
Et comment tu sais que le navigateur a encore toute sa tête ?
Et comment tu sais que le code néfaste n'est pas executé par le navigateur (javascript etc ?) ?

_Raum_: rigolo ta métaphore post #87 !
Je trouve que tu te méprends un peu sur l'utilité d'iptables.
Pour ma part, iptables n'est utile (et génial!) que pour faire les choses suivantes :
- cluster
- altération de paquets à la volée
- statistiques

Le reste ne sert franchement à rien (rarement utile, pour être exact).

fruitsecrases a écrit :

Et c'est ce 1% qui est le plus utile à la communauté, car c'est ce 1% qui est le plus difficile à trouver en langue française, et donc le plus complet et le plus détaillé pour nous. Et c'est parce que vu que c'est très utile à beaucoup de gens, les gens ont compris qu'ils allaient plutôt le vendre que de le donner gratuitement. C'est pas con d'un côté, mais ça n'a rien à faire sur un forum public gratuit pour moi. Parce que il y a plein de gens qui ne peuvent pas payer ce genre de renseignements ici (comme il y a plein de gens qui ne peuvent pas payer Ubuntu si elle jour elle est payante , et heureusement elle est gratuite cette distrib), donc bon, priver les gens d'Ubuntu, de l'essentiel, (donc du 1%), ce serait vraiment un désastre venant de Cannonical envers les utilisateurs et ça mettrai la communauté sans dessus dessous, et c'est sur ce même principe que vous gardez pour vous ce 1%, vous êtes déjà dans le désastre en faisant comme ça, car vous privez la communauté de la meilleure aide qu'elle puisse avoir, et de la meilleure documentation qu'elle puisse avoir, car vous êtes des spécialistes, et sans votre savoir, on ne va pas loin quand on débute avec Ubuntu et qu'on veut découvrir Iptables.
Une communauté vivante, solidaire, moderne, est une communauté qui ne se base plus que sur le monaiement des connaissances détenues par ses érudits contre des euros, mais contre un humble : merci monsieur, vous m'avez beaucoup aidé sur mon projet, si je puis faire quoique ce soit vous n'aurez qu'à me le demander, je tiens toujours paroles monsieur, merci...

Oula non !
Les 1% sont ceux qui sont trop stupides pour écouter et comprendre.
Tout est dit, tout est connu, tout est accessible.
La psychothérapie coute cher, car elle tape sur le moral du docteur.

Comme l'écrit PPdM:

PPdM a écrit :

mon gagne-pain est bien souvent la connerie de ceus qui ne veulent pas écouter.

fruitsecrases a écrit :

Du coup, est-ce que tu penses que je fais partie des utilisateurs dont tu dis qu'il y a énormément de cas où Netfilter est utile partie stp ?

J'sais pas, j'ai perdu de vue tes besoins dans la montagne de baratins que tu as écrites.
M'enfin, c'est simple.
Si ton besoin est d'altérer les paquets on the fly, ou si tu désires faire des statistiques (ou ce genre de chose), alors oui.
Sinon, probablement pas.

fruitsecrases a écrit :

énormément de "cas" dans cette hrase ne veut dire qu'une seule chose poour moi, et c'est celle-ci : _ ça veut dire qu'il y énormément de gens qui en ont l'utilité.

Oui, je pense que tout le monde comprends ta méconnaissance de la langue.
Avoir de multiples exemplaires d'un même cas n'augmente pas le nombre de ce dernier.
Par exemple, prenons le règne animal.
Avoir 7 milliards d'humain n'augmente pas le nombre d'espèce sur Terre.
Dans le cas précis, il y a énormement de cas dans lesquels iptables est utile. Et cette énorme quantité de cas n'est que rarement rencontrée. Ce que tu trouves très souvent, c'est le même cas bateau, dans lequel iptables ne sert à rien: le desktop google/facebook/twitter.

Au fait, je vois que tu parles des helpers: tu comptes en faire quoi, précisement ?
Utilise les avec précaution, ce genre de mécanisme est souvent un sac de pus. Je pense à la TOIP, par exemple.

_Raum_ · Le 29/10/2014, à 17:55

Nan mais Haleth, tu me fais remonter de 3 ou 4 pages là... pffiou... Bon au moins ce que je disais à le mérite d'être un peu drôle.

Sur le fond, on va pas jouer à celui qui a le plus grosse expertise sur le sujet.... Si iptables, ipfw, etc, existent, c'est bien qu'ils sont utiles et dans la plus part des cas ils ont aussi une utilité pour le filtrage de paquets... Après, tout est question d'utilité dans un contexte donné par rapport à un besoin déterminé.

Là tel qu'exprimés au départ, iptables ne semble pas nécessaire... c'est tout.

Au fait, je vois que tu parles des helpers: tu comptes en faire quoi, précisement ?

Mon dieu ! Ma question reste !!!! c'est quoi un helper !

A bons lecteurs, salutations

tiramiseb · Le 29/10/2014, à 18:09

Mon dieu ! Ma question reste !!!! c'est quoi un helper !

Un helper, comme son nom l'indique, c'est pour t'aider dans ton filtrage. C'est utile pour certains protocoles dynamiques, qui ouvrent des connexions suite à d'autres connexions.

C'est par exemple le cas du port TCP 20 pour les données FTP, dont l'ouverture est initiée par une connexion de contrôle FTP sur port TCP 21.
En FTP mode "actif", lorsque tu lances un transfert, le serveur et le client se mettent d'accord sur un port (entre 1024 et 65635). Le client écoute alors sur le port en question (port aléatoire, donc) et le serveur s'y connecte avec le port source 20.
Sans helpers, tu dois explicitement autoriser la connexion entrante sur le port 20, côté client. Même s'il n'y a pas de transfert.
Avec le helper FTP, tu le charges et tu autorises le port 21, alors le helper est capable de détecter la nécessite d'ouverture du port déterminé dynamiquement pour la connexion ayant comme port source le port 20.

Sans helper :
==> sur un client "simple", si tu as bloqué tout en entrée, le FTP actif ne fonctionnera pas. Tu pourras éventuellement ouvrir toute connexion vers les ports 1024 à 65635 quand le port source est 20. Mais ça permettrait des connexions qui n'ont rien à voir avec le FTP. C'est un peu à l'opposé de la logique "parano" d'installation d'un pare-feu sur un client.
==> sur une pare-feu de réseau, tu n'es même pas capable de dire vers quelle machine interne rediriger les connexions ayant pour port source 20. Le FTP actif ne peut donc pas fonctionner

Avec le helper FTP :
==> sur un client "simple", si tu as bloqué tout en entrée style parano, alors la connexion vers le port aléatoire choisi dynamiquement sera autorisé à partir du moment où l'IP source correspond et où le port source est le port TCP 20.
==> sur un pare-feu de réseau, le pare-feu sera en plus capable de savoir vers quelle machine interne rediriger la connexion ayant comme port source le port TCP 20.

Ceci est l'exemple du FTP ; il y a plusieurs helpers, pour plusieurs protocoles.
Quelques détails : http://shorewall.net/Helpers.html

_Raum_ · Le 30/10/2014, à 10:13

Ah ok c'est une notion "shorewall" tout simplement... tu aurais pu prendre l'exemple de la prise en charge de RTSP dans iptables, donc en chargeant le module ip_conntrack_rtsp.

Eh oui j'utilise pas Shorewall...

tiramiseb · Le 30/10/2014, à 21:15

Non, c'es pas une notion "shorewall". Je te donne un lien vers la doc de shorewall car c'est pas trop mal documenté là et que c'est une des premières réponses sur google.

Les helpers sont bel et bien au niveau de Netfilter en lui-même.
« conntrack » c'est le raccourci de « connection tracking helper »

Pour FTP c'est ip_conntrack_ftp.

Dernière modification par tiramiseb (Le 30/10/2014, à 21:15)

_Raum_ · Le 31/10/2014, à 10:38

C'est marrant ça... J'avais jamais fait attention en fait. Je charge ça comme un module pour prendre en compte des protocoles spécifiques... et on appelle ça des helpers, pourquoi pas... Fondamentalement, ça change rien

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#126 Le 11/09/2014, à 23:04

Re : Iptables question

#127 Le 11/09/2014, à 23:08

Re : Iptables question

#128 Le 11/09/2014, à 23:20

Re : Iptables question

#129 Le 11/09/2014, à 23:37

Re : Iptables question

#130 Le 11/09/2014, à 23:43

Re : Iptables question

#131 Le 12/09/2014, à 00:15

Re : Iptables question

#132 Le 12/09/2014, à 00:28

Re : Iptables question

#133 Le 12/09/2014, à 00:45

Re : Iptables question

#134 Le 12/09/2014, à 00:53

Re : Iptables question

#135 Le 12/09/2014, à 07:36

Re : Iptables question

#136 Le 12/09/2014, à 07:53

Re : Iptables question

#137 Le 12/09/2014, à 08:32

Re : Iptables question

#138 Le 12/09/2014, à 10:04

Re : Iptables question

#139 Le 12/09/2014, à 10:21

Re : Iptables question

#140 Le 12/09/2014, à 10:48

Re : Iptables question

#141 Le 12/09/2014, à 11:00

Re : Iptables question

#142 Le 12/09/2014, à 11:23

Re : Iptables question

#143 Le 12/09/2014, à 13:31

Re : Iptables question

#144 Le 12/09/2014, à 16:59

Re : Iptables question

#145 Le 18/10/2014, à 00:36

Re : Iptables question

#146 Le 29/10/2014, à 17:55

Re : Iptables question

#147 Le 29/10/2014, à 18:09

Re : Iptables question

#148 Le 30/10/2014, à 10:13

Re : Iptables question

#149 Le 30/10/2014, à 21:15

Re : Iptables question

#150 Le 31/10/2014, à 10:38

Re : Iptables question

Pied de page des forums