[résolu] Interpréter un paquet INVALID via iptables svp ?

Philippeditlegros · Le 13/10/2014, à 12:45

Bonjour !

Je fais cette commande dans un terminal :

# iptables -L -v -n

Le -v correspond à verbose et -n à numeric (taper dans un terminal "man iptables" pour plus de renseignements). Ces deux arguments complètent le traditionnel :

# iptables -L

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    1    40 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID

J'obtiens alors des colonnes supplémentaires et des résultats supplémentaires(voir lignes du terminal au dessus), un résultat m'indique un paquets de 40 bytes Dropé car INVALID sur la chaîne INPUT.

J'aimerai savoir d'où vient ce paquet INVALID, mais je ne sais pas où regarder pour cela, merci de votre aide !

Dernière modification par Philippeditlegros (Le 13/10/2014, à 16:50)

Pator75 · Le 13/10/2014, à 12:51

Tu as vu l'origine et la destination?

0.0.0.0/0

Philippeditlegros · Le 13/10/2014, à 12:52

Pator75 a écrit :

Tu as vu l'origine et la destination?
0.0.0.0/0

Je ne sais pas où voir ça merci Pator75 !

Dernière modification par Philippeditlegros (Le 13/10/2014, à 12:57)

Pator75 · Le 13/10/2014, à 12:56

Ça veut dire à peu près (au moins chez Windows) "tous ceux que ça intéresse" vers "tous ceux que ça intéresse", donc connexion inexistante, hoquet de 40 bytes d'Iptables.

Dernière modification par Pator75 (Le 13/10/2014, à 13:13)

Philippeditlegros · Le 13/10/2014, à 12:57

Pator75 a écrit :

Ça veut dire à peu près "tous ceux que ça intéresse" vers "tous ceux que ça intéresse", donc connexion inexistante, hoquet de 40 bytes d'Iptables.

Ma règle iptables pour les paquets INVALID dans la chaîne INPUT est celle-ci :

iptables -A INPUT -m state --state INVALID -j DROP

Est-ce qu'elle est en place pour filtrer absolument toutes les adresse ip svp ?

Pator75 · Le 13/10/2014, à 13:05

Philippeditlegros a écrit :

Pator75 a écrit :
Ça veut dire à peu près "tous ceux que ça intéresse" vers "tous ceux que ça intéresse", donc connexion inexistante, hoquet de 40 bytes d'Iptables.
Ma règle iptables pour les paquets INVALID dans la chaîne INPUT est celle-ci :
iptables -A INPUT -m state --state INVALID -j DROP
Est-ce qu'elle est en place pour filtrer absolument toutes les adresse ip svp ?

INVALID? faut préciser, au niveau flag? direction? fragmentation? je ne peux pas te dire, c'est le bazar avec Iptables, laisse tomber ce truc, prends Gufw et tu pourras respirer sans inconfort.

Dernière modification par Pator75 (Le 13/10/2014, à 13:06)

Philippeditlegros · Le 13/10/2014, à 13:09

Pator75 a écrit :

Philippeditlegros a écrit :
Pator75 a écrit :
Ça veut dire à peu près "tous ceux que ça intéresse" vers "tous ceux que ça intéresse", donc connexion inexistante, hoquet de 40 bytes d'Iptables.
Ma règle iptables pour les paquets INVALID dans la chaîne INPUT est celle-ci :
iptables -A INPUT -m state --state INVALID -j DROP
Est-ce qu'elle est en place pour filtrer absolument toutes les adresse ip svp ?
INVALID? faut préciser, au niveau flag? direction? fragmentation? je ne peux pas te dire, c'est le bazar avec Iptables, laisse tomber ce truc, prends Gufw et tu pourras respirer sans inconfort.

Non je ne parlais pas de cela, je me suis mal exprimé Pator. Je reprends (désolé, j'ai du mal).

Au message #2 au dessus tu me dis ceci :

Pator75 a écrit :

Tu as vu l'origine et la destination?
0.0.0.0/0

Je n'ai pas compris pourquoi tu disais cela stp ?

Merci Pator75...

Pator75 · Le 13/10/2014, à 13:14

"Je n'ai pas compris pourquoi tu disais cela stp ?
Merci Pator75..."

Parce que "rien" vers "rien" ça ne fait pas grand chose.

Philippeditlegros · Le 13/10/2014, à 13:19

Ho je viens de comprendre Pator75, tu as mal interprété mon premier message, j'ai enlevé l'argument -n (qui passent tout en "numéric" selon le man). Et voici ce que j'aurai du mettre pour ne pas t'induire en erreur, je m'excuse, ça a dû gêner peut-être d'autres personnes, désolé.

Voilà, je reprends, après ceci dans un terminal :

# iptables -L -v

J'obtiens cela :

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    1    40 DROP       all  --  any     any      anywhere             anywhere             state INVALID

Je repose ma question du premier message :

J'aimerai savoir d'où vient ce paquet INVALID, mais je ne sais pas où regarder pour cela, merci de votre aide !

Pator75, je pense que tu as compris ce que traduit l'argument -n par 0.0.0.0/0, cela veut dire en fait anywhere sans la traduction numérique. Je ne le savais pas aujourd'hui, merci de ton intervention, je l'ai appris.

Dernière modification par Philippeditlegros (Le 13/10/2014, à 13:19)

Pator75 · Le 13/10/2014, à 13:33

"Je repose ma question du premier message :
J'aimerai savoir d'où vient ce paquet INVALID, mais je ne sais pas où regarder pour cela, merci de votre aide !"

Il est probablement INVALID car n'existant pas, on ne peut pas faire mieux en matière de handicap, en plus on lui ferme la porte, dur!

Philippeditlegros · Le 13/10/2014, à 13:39

mon message est débile

Dernière modification par Philippeditlegros (Le 13/10/2014, à 16:51)

Pator75 · Le 13/10/2014, à 13:49

Le masque est tombé... sympa ce petit forum.

Philippeditlegros · Le 13/10/2014, à 13:57

mon message est débile

Dernière modification par Philippeditlegros (Le 13/10/2014, à 16:51)

tiramiseb · Le 13/10/2014, à 14:00

Salut,

Philippeditlegros, je pense surtout que Pator75 essaye de t'aider, quoi que tu en penses. Il est approximatif dans son explication, ok, ce n'est pas une raison pour lui répondre comme ça.
Je trouve ta manière de rembarrer Pator75 assez "dure".

Pator75, attention, 0.0.0.0/0 ce n'est pas « rien », c'est « tout ». Ton explication en #4 est juste mais peut-être un peu courte, surtout que ton évocation de « rien » induit un peu en erreur.

Bon, revenons à nos moutons.

Un paquet "invalid" est un paquet qui ne correspond à aucune connexion. En gros, ce n'est ni un paquet de début de connexion, ni un paquet concernant une connexion en cours. Ça peut par exemple être un paquet qui essaie de se faire passer pour une connexion en cours. Un "hoquet" du réseau peut-être.
C'est à peu près ce qu'explique Pator75 en #4.

Dans la mesure où la destination de cette règle iptables est "DROP" (sans "LOG"), tu n'auras aucune info sur ce paquet : iptables l'a laissé tomber, c'est tout.
Pour en savoir plus, il faut pouvoir le réintercepter (donc le redéclencher...) après avoir ajouté une règle "LOG" - voire en laissant tourner un sniffer comme tcpdump. Tu auras alors plus d'infos. Mais sur un paquet déjà passé et déjà jeté, tu n'auras aucune info nulle part.

Est-ce qu'elle est en place pour filtrer absolument toutes les adresse ip svp ?

Oui. 0.0.0.0 vers 0.0.0.0, c'est « tout vers tout », enfin en langage humain ça voudrait dire « n'importe qui vers n'importe qui ».

Philippeditlegros · Le 13/10/2014, à 14:11

Oui tu as sûrement raison Tiramiseb. Je dois me tromper.

Tu donnes plusieurs pistes que je ne connais pas Tiramiseb. Tcpdump m'est inconnu, et les règles iptables qui auraient pu me produire un LOG aussi. Comment puis-je demander à Iptables de mettre des LOG svp ? Plus particulièrement, quelle serait la ligne de commande pour la chaîne INPUT et puis celles pour les autres chaînes svp ?

Vu de plus loin je dirais qu'elles devraient se ressembler malgré les chaînes, mais enfin, là seule chose que je sais c'est que je dois placer la règle demandant les LOG à la fin de chaque chaîne INPUT, FORWARD, OUTPUT de la table Filtrer, donc à la fin de mes règles sur chaque chaîne, le rest em'est inconnu, merci...

Dernière modification par Philippeditlegros (Le 13/10/2014, à 14:12)

Pator75 · Le 13/10/2014, à 14:15

Tira, tu te trompes sur notre ami.

tiramiseb · Le 13/10/2014, à 14:17

Comment puis-je demander à Iptables de mettre des LOG svp ?

Tu mets la destination "LOG" ( « [...] -j LOG » ).

Plus particulièrement, quelle serait la ligne de commande pour la chaîne INPUT et puis celles pour les autres chaînes svp ?

Cela dépend des cas. Il peut y avoir plein d'approches différentes. À toi de définir ce que tu veux logger et de quelle manière.

De toute façon Pator75 a raison et je te donne le même conseil que lui : arrête d'utiliser directement iptables, on n'est plus au XXe siècle.
Aujourd'hui il y a des surcouches bien plus faciles à utiliser, à commencer par UFW (que je conseille sur des serveurs "standalone") et Shorewall (que je conseille pour des pare-feux de réseau).

là seule chose que je sais c'est que je dois placer la règle demandant les LOG à la fin de chaque chaîne [...]

Si tu mets une règle LOG après une règle DROP, elle sera ignorée pour les paquets droppés vu qu'ils sortiront de la chaîne à ce moment-là.

iptables est assez complexe dans son fonctionnement.
Soit tu veux configurer un pare-feu pour l'utiliser, auquel cas je te conseille de passer sur UFW ou Shorewall.
Soit tu veux apprendre le fonctionnement d'iptables pour devenir "expert" sur le sujet, auquel cas je te conseille d'acheter un bon bouquin, genre 500 pages qui ne parlent que d'iptables... ça se trouve dans toutes les bonnes crémeries (Eyrolles, O'Reilly...)

tiramiseb · Le 13/10/2014, à 14:18

Pator75 a écrit :

Tira, tu te trompes sur notre ami.

Je ne comprends pas ta remarque.

Philippeditlegros · Le 13/10/2014, à 14:28

Merci pour les conseils. J'étais tombé sur cette page il y a peu, je me "calcais" un peu dessus :

https://www.linuxmint-fr.org/forum/inte … feu#171817

Je n'ai pas compris sa demande de LOG à la fin de INPUT, aurait-elle pu celle-ci m'aider à voir ce paquet INVALID dans un LOG d'iptables ? Je reprends ci après les deux dernières lignes qui concernent les LOG qu'il demande à iptables :

-A INPUT -f -j LOG --log-prefix "[#1 iptables fragments : ]"
-A INPUT -f -j DROP

Donc tu me dis au dessus ceci :

Si tu mets une règle LOG après une règle DROP, elle sera ignorée pour les paquets droppés vu qu'ils sortiront de la chaîne à ce moment-là.

Apparemment lui n'est pas tombé dans ce piège c'est ça ?

Dernière modification par Philippeditlegros (Le 13/10/2014, à 14:29)

tiramiseb · Le 13/10/2014, à 14:29

Voilà, "lui n'est pas tombé dans ce piège", car il a mis LOG avant DROP.

Menfin franchement, je comprends pas pourquoi tu te prends autant la tête...

... quand tu prends ta voiture, tu vas la démarrer avec une manivelle, avec le capot ouvert ?

Dernière modification par tiramiseb (Le 13/10/2014, à 14:30)

Philippeditlegros · Le 13/10/2014, à 14:40

tiramiseb a écrit :

Voilà, "lui n'est pas tombé dans ce piège", car il a mis LOG avant DROP.
Menfin franchement, je comprends pas pourquoi tu te prends autant la tête...
... quand tu prends ta voiture, tu vas la démarrer avec une manivelle, avec le capot ouvert ?

Mais je n'ai pas de voiture

Donc oui, là je la construis plutôt si tu veux ! Et la sécurité, en voiture, c'est très imortant, pour tout le monde, vos enfants, vos parents, vos ami(e)s, vos frères, j'y travaille à mon niveau...

Je demande aujourd'hui à un membre un coup de main, c'est toi, et je t'en remercie encore.

Tu dis un truc intéressant, il ne s'est pas fait avoir, mais alors, la ligne juste avant son DROP de fin, elle est faite aussi pour les LOG qui auraient pu me servire aujourd'hui stp Tiramiseb ?

Dernière modification par Philippeditlegros (Le 13/10/2014, à 14:40)

tiramiseb · Le 13/10/2014, à 14:44

Et la sécurité, en voiture, c'est très imortant, pour tout le monde, vos enfants, vos parents, vos ami(e)s, vos frères, j'y travaille à mon niveau...

D'ailleurs, la sécurité en voiture on ne la construit pas soi-même, c'est tellement compliqué et on peut faire tellement d'erreurs...
C'est pourquoi on s'appuie sur des experts qui ont fait des outils pour nous permettre d'être réellement en sécurité. En informatique, il s'agit par exemple d'UFW.

elle est faite aussi pour les LOG qui auraient pu me servire aujourd'hui stp Tiramiseb ?

Une règle iptables avec comme destination "LOG" fonctionne comme n'importe quelle autre règle : à partir du moment où ton paquet atteint cette règle et y correspond, il est traité par la règle. Donc j'ai envie de répondre "oui" à ta question, mais il peut y avoir tellement de manières d'avoir un contexte où la réponse est en fait "non" que je ne peux pas être catégorique.

Philippeditlegros · Le 13/10/2014, à 14:52

tiramiseb a écrit :

Et la sécurité, en voiture, c'est très imortant, pour tout le monde, vos enfants, vos parents, vos ami(e)s, vos frères, j'y travaille à mon niveau...
D'ailleurs, la sécurité en voiture on ne la construit pas soi-même, c'est tellement compliqué et on peut faire tellement d'erreurs...
C'est pourquoi on s'appuie sur des experts qui ont fait des outils pour nous permettre d'être réellement en sécurité. En informatique, il s'agit par exemple d'UFW.

Ah mais je ne suis pas d'accord, j'aime à comprendre comment est fait un système de freinage ABS et pouvoir le modifier si je vois quelque chose qui ne me plaît pas (je bosse là dedans... ). Donc je vais rester sur Iptables jusqu'à la fin de mes conversations ici, quelques soient tes arguments, j'en aurai toujours d'autres à te donner

D'ailleurs Iptables me permet aussi de réctifier la colonne de direction, car j'ai mon mot aussi à dire là dessus là où je suis..............

Je plaisante bien sûr, je n'ai rien à voir dans tout cela, je n'ai pas ces capacités, mais je veux bien que tu m'aides pour le problème que je rencontre avec Iptables aujourd'hui, et je t'encourage à de nouveaux m'apporter des arguments à l'encontre de mon utilisation d'iptables, j'aurai encore tout un tas d'autres agruments à te sortir en réponse, je trouve cela plus fun en fait, c'est assez rare sur un forum, donc je t'encourage vivement dans ce sens.

tiramiseb a écrit :

elle est faite aussi pour les LOG qui auraient pu me servire aujourd'hui stp Tiramiseb ?
Une règle iptables avec comme destination "LOG" fonctionne comme n'importe quelle autre règle : à partir du moment où ton paquet atteint cette règle et y correspond, il est traité par la règle. Donc j'ai envie de répondre "oui" à ta question, mais il peut y avoir tellement de manières d'avoir un contexte où la réponse est en fait "non" que je ne peux pas être catégorique.

J'aimerai l'analyser un peu plus avec toi si tu veux bien. Je la reprends en dessous et je la découpe ensuite.

Elle est celle-ci :

-A INPUT -f -j LOG --log-prefix "[#1 iptables fragments : ]"

Je la comprends jusqu'à LOG mais ensuite, que veut dire ceci svp ?? :

--log-prefix "[#1 iptables fragments : ]"

Dernière modification par Philippeditlegros (Le 13/10/2014, à 14:55)

tiramiseb · Le 13/10/2014, à 14:55

ensuite, que veut dire ceci svp ?? :
--log-prefix "[#1 iptables fragments : ]"

C'est un préfixe qui sera ajouté dans le fichier de logs (/var/log/syslog) pour identifier plus facilement d'où sort ce log. Tu mets ce que tu veux là, c'est pour toi.

Philippeditlegros · Le 13/10/2014, à 14:59

tiramiseb a écrit :

ensuite, que veut dire ceci svp ?? :
--log-prefix "[#1 iptables fragments : ]"
C'est un préfixe qui sera ajouté dans le fichier de logs (/var/log/syslog) pour identifier plus facilement d'où sort ce log. Tu mets ce que tu veux là, c'est pour toi.

Ah oui ok... Mais c'est génial ce truc, merci beaucoup...

Je ne sais pas où sont envoyés les LOG, je dois aller lire là dessus maintenant. Enfin... j'ai surtout rdv à la salle de sport, salut.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 13/10/2014, à 12:45

[résolu] Interpréter un paquet INVALID via iptables svp ?

#2 Le 13/10/2014, à 12:51

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#3 Le 13/10/2014, à 12:52

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#4 Le 13/10/2014, à 12:56

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#5 Le 13/10/2014, à 12:57

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#6 Le 13/10/2014, à 13:05

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#7 Le 13/10/2014, à 13:09

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#8 Le 13/10/2014, à 13:14

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#9 Le 13/10/2014, à 13:19

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#10 Le 13/10/2014, à 13:33

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#11 Le 13/10/2014, à 13:39

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#12 Le 13/10/2014, à 13:49

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#13 Le 13/10/2014, à 13:57

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#14 Le 13/10/2014, à 14:00

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#15 Le 13/10/2014, à 14:11

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#16 Le 13/10/2014, à 14:15

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#17 Le 13/10/2014, à 14:17

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#18 Le 13/10/2014, à 14:18

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#19 Le 13/10/2014, à 14:28

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#20 Le 13/10/2014, à 14:29

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#21 Le 13/10/2014, à 14:40

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#22 Le 13/10/2014, à 14:44

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#23 Le 13/10/2014, à 14:52

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#24 Le 13/10/2014, à 14:55

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

#25 Le 13/10/2014, à 14:59

Re : [résolu] Interpréter un paquet INVALID via iptables svp ?

Pied de page des forums