Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#176 Le 29/12/2014, à 13:50

tiramiseb

Re : Configuration d'iptables

Je suis d'accord sur la fin de ton message, robindesbois, on phagocyte la discussion de Nathaly01 alors qu'elle a peut-être d'autres choses à demander. On pourrait passer longtemps à parler des différentes approches techniques sur les différents aspects que l'on évoque, mais on n'est pas là pour ça.

Hors ligne

#177 Le 29/12/2014, à 13:51

robindesbois

Re : Configuration d'iptables

Haleth a écrit :

De quel "antispoofing" parles-tu, exactement ?
Est-ce que tu as un cas concret à proposer ?

Je vous renvoie à une simple recherche Google, qui vous renseignera beaucoup mieux que moi, et renseignera aussi n'importe quelle personne qui veut en savoir plussur ce que représente le danger des attaques par spoofing sur le portocol TCP/IP.(je susi désolé, j'ai des obligations aujourd'hui, je m'excuse de vous laisser,enfin bref, ce type de question est extrêmement débattue et ses réponses documenté via votre moteur de recherches préféré). Vraiment désolé, je dosi y aller, je ne me défile pas hein, je pense juste en partant maintenant, que vous saurez trouver d tous les cas qu'il convient sur Internet, car j'ai dans l'esprit, que vous savez vous servir d'un moteur de recherches.

Hors ligne

#178 Le 29/12/2014, à 13:54

tiramiseb

Re : Configuration d'iptables

robindesbois: ce que Haleth sous-entend, c'est que le filtrage que tu as mis en place n'est pas une protection "anti-spoofing", ça permet juste de valider qu'un paquet provient du "bon" réseau : ça peut bloquer certains cas précis de spoofing, mais c'est loin d'être un réel anti-spoofing.

Hors ligne

#179 Le 29/12/2014, à 14:00

robindesbois

Re : Configuration d'iptables

tiramiseb a écrit :

Je suis d'accord sur la fin de ton message, robindesbois, on phagocyte la discussion de Nathaly01 alors qu'elle a peut-être d'autres choses à demander. On pourrait passer longtemps à parler des différentes approches techniques sur les différents aspects que l'on évoque, mais on n'est pas là pour ça.

Comme toi et moi avons un argumentaire étoffé, et vérifiable, je ne suis pas contre à ce que l'on le propose aux autres personne sur le forum quand elles se présenteront, nos avis différents.

En tous cas je ne suis pas là pour faire la guerre aux gens qui ne sont pas de mon avis, et surtout quand elels ont comm eje le dis au dessus un argumentaire solide. Le tout est toujours de savoir en premier :

"Qu'est-ce que la personne en face fait déjà avec son Parfeu sons Linux, quelle est sa distrib bien sûr, qu'elle utilisation veut-elle en faire, si elle est dans le cas d'une inutilité du parefeu, il faut toujours le dire, maintenant si on se rend compte après notre enquête que pas mal de choses sont paramétrées en tant que "serveurs" sur sa machine (comme nous l'avons vu ici pour Nath avec nmbd), il faudra alors peut-être ne plus avoir la position de dire "Tu n'as pas besoin de parefeu", mais l'aider sur ce qu'elle veut faire. @ l'invers, je serai le premier à t'épauler si la personne n'a pas du tout besoin d'un parefeu, aucun problème là dessus, je pense que tu as dans tes 12 ans d'expérience, justement de...
l'expérience.



Comme nous sommes d'accord sur le fait que nous avons trop insisté sur notre différence de point de vue, et que cela n'a plus engagé Nathaly01 à venir nous répondre, on peut revenir en arrière dans la discussion et se mettre à l'aider de nouveau pile au point où elle s'est arrêtée, de mémoire (plus le temps de tout relire), personne ne lui a donné une règle qui pouvait lui permettre de filtrer son "nmbd" grâce à son Iptables (qu'elle utilise déjà). Ce serait un bon début pour elle, bonne journée.

Dernière modification par robindesbois (Le 29/12/2014, à 14:04)

Hors ligne

#180 Le 29/12/2014, à 14:16

Haleth

Re : Configuration d'iptables

robindesbois a écrit :
Haleth a écrit :

De quel "antispoofing" parles-tu, exactement ?
Est-ce que tu as un cas concret à proposer ?

Je vous renvoie à une simple recherche Google, qui vous renseignera beaucoup mieux que moi, et renseignera aussi n'importe quelle personne qui veut en savoir plussur ce que représente le danger des attaques par spoofing sur le portocol TCP/IP.(je susi désolé, j'ai des obligations aujourd'hui, je m'excuse de vous laisser,enfin bref, ce type de question est extrêmement débattue et ses réponses documenté via votre moteur de recherches préféré). Vraiment désolé, je dosi y aller, je ne me défile pas hein, je pense juste en partant maintenant, que vous saurez trouver d tous les cas qu'il convient sur Internet, car j'ai dans l'esprit, que vous savez vous servir d'un moteur de recherches.

Zut
Je connais
Et mon avis est que cela n'a pas de sens, dans l'écrasante majorité des cas
En fait, cela ne serait utile que pour empêcher un équipement de ton réseau local de faire d'envoyer des messages UDP avec une IP spoofée.

L'application m'est étrangement étrangère


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#181 Le 29/12/2014, à 17:55

robindesbois

Re : Configuration d'iptables

Haleth a écrit :

Zut
Je connais
Et mon avis est que cela n'a pas de sens, dans l'écrasante majorité des cas
En fait, cela ne serait utile que pour empêcher un équipement de ton réseau local de faire d'envoyer des messages UDP avec une IP spoofée.

L'application m'est étrangement étrangère



Disons que les forumeurs peuvent aisément répondre à ces questions à partir de maintenant :

Ma copie d'écran du dessus montre 4 paquets spoofés (donc illicites) stoppés nets par Iptables.

Questions  :

_est-il mieux que j'enlève ce filtrage que j'applique avec Iptables, afin donc de laisser libre court à ce type de paquets (forgés?) et spoofés afin de les laisser entrer sur ma machine impunément, sans savoir absolument ce qu'ils vont y faire ? 

_est-il mieux que dans le doute, et connaissant ce filtre anti-spoofing, j'évite, ce type d'attaques (ou pas donc), afin de préserver au mieux ma machine ? Car le seul but de tout cela, c'est que en étant conscient de ce risque, je préfère l'éviter, c'est tout.




Donc voilà le type de questionnement qu'est en droit de ce faire aussi n'importe quel Utilisateur ubuntu, et lecteur de ce fils, et chacun est libre d'y répondre (pour lui même ou ici sur le forum) et de prendr ele choix qu'il faut, moi j'ai choisi.

À noter :

Je peux expliquer, comment faire pour ne pas être ennuyé par ce type de paquets spoofés. Il y a deux façons, une va agir directement sur la table raw d'Iptables (-t raw), c'est la plus efficace, elle agit AVANT que les paquets ne soient dirigés vers la table filter (-t filter) d'Iptables, ça économise pas mal de ressources, car ce paquet n'est pas diriger vers toutes vos règles iptables se trouvant dans la table -filter "INPUT", (vous l'aurez compris, la table raw est situé avant la table filter dans la nouvelle hiérarchie d'Iptables, et rien que pour le mal que ce sont donnés les concepteurs, on peut choisir de le faire ;- ).

La seconde façon, va demander à Netfilter, de faire ce filtrage mais va demander plus de ressources, car ce filtrage sera fait qu'après que les paquets aient été traité dans la table -filter d'INTPUT.



Des conditions de procédures :

La table raw n'est pas connu par la version d'Iptables officielle d'Ubuntu 12.04 LTS, (enfin c'est possible mais en modifiant Iptables via un PPA), ce qui est potentiellement plus "dangereux". Donc on pourra faire ce filtrage des paquets spoofés quand même sur une 12.04 LTS, mais en modifiant une règle de filtrage du noyau, ce qui est bien sûr autorisé et même conseillé par les pros. Et il faut dire sur nos machines rapides, les ressources monopolisées ne seront pas vraiment discernables, ce qui pourraient peut-être être moins vrai pour un gros serveur.

Sur une machine Ubuntu 14.04 LTS, aucun soucis, la version Iptables officielle d'Ubuntu a intégré, ça y est, la nouvelle table raw, ce qui est pour moi plus pratique, et je trouve que c'est plus propre, mieux conceptualisé.

Je terminerai par dire que je n'ai absolument plus aucune confiance aux appareils Windows et Androïd(Google) qui transitent ça et là, par diverses visites, sur mon réseau local. Ce qui est légitime et du coup, plus du tout paranoïaque, vu ce que Snowden a balancé.

@ toute.

Hors ligne

#182 Le 29/12/2014, à 17:58

Haleth

Re : Configuration d'iptables

J'aimerais que tu logs les paquets, afin d'avoir un peu plus de détail sur ce sujet
Je doute que ce soit vraiment des paquets forgés

Mais je peux me tromper


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#183 Le 29/12/2014, à 18:00

robindesbois

Re : Configuration d'iptables

Pour l'instant cela ne sera pas possible (dans l'immédiat j'entends), à suivre, je pense que ça t'intéresse et j'y reviendrai volontiers tu t'en doutes.

Hors ligne

#184 Le 29/12/2014, à 18:09

tiramiseb

Re : Configuration d'iptables

Ma copie d'écran du dessus montre 4 paquets spoofés (donc illicites) stoppés nets par Iptables.

Non, ça montre que 4 paquets arrivés par une interface (on ne sait pas laquelle) alors que (selon les règles de routage du noyau) ils auraient dû arriver par là ont été bloqués. Aucune preuve que c'est du spoof. Aucune information quant aux caractéristiques de ces paquets. Si ça se trouve ces paquets provenaient du réseau interne.
Exemple simple :
- ton réseau interne est en 192.168.1.0/24 ;
- je branche une machine avec l'adresse IP 192.168.2.42 ;
- je fais un broadcast à partir de cette machine.
=> et voilà, ces paquets de broadcast tombent dans ta règle. Pourtant, ce n'est pas du spoofing : c'est juste une mauvaise config réseau.

Cette règle peut filtrer plein de choses différentes, dont un cas particulier de spoofing : quand une machine sur un réseau connecté en direct essaie de se faire passer pour une machine d'un autre réseau connecté en direct. En particulier, ça ne peut pas bloquer une tentative de spoofing provenant d'Internet sauf si cette tentative est faite à partir du cœur de réseau de ton FAI car, sauf action malicieuse de sa part, ton FAI ne routera jamais vers ta machine une requête dont la destination est ta plage privée (qu'il ne connaît pas).


Pour le reste de tes questions, je n'approfondirai pas car ton postulat de base est faux : la réflexion qui en découle est erronée.

Hors ligne

#185 Le 29/12/2014, à 18:12

tiramiseb

Re : Configuration d'iptables

je n'ai absolument plus aucune confiance aux appareils Windows [...] qui transitent [...] sur mon réseau local

Et hop, un Windows qui n'a pas obtenu de réponse assez rapide de son DHCP, il passe sur sa plage d'adresses par défaut grâce au protocole ZeroConf/IP4LL/APIPA, il envoie un broadcast, ça tombe dans ces règles. Je ne dis pas que c'est ce qu'il s'est passé, mais c'est un scénario tout à fait plausible pour ces 4 paquets.

Hors ligne

#186 Le 29/12/2014, à 18:53

robindesbois

Re : Configuration d'iptables

tiramiseb a écrit :

je n'ai absolument plus aucune confiance aux appareils Windows [...] qui transitent [...] sur mon réseau local

Et hop, un Windows qui n'a pas obtenu de réponse assez rapide de son DHCP, il passe sur sa plage d'adresses par défaut grâce au protocole ZeroConf/IP4LL/APIPA, il envoie un broadcast, ça tombe dans ces règles. Je ne dis pas que c'est ce qu'il s'est passé, mais c'est un scénario tout à fait plausible pour ces 4 paquets.

Non non, tu m'as mal lu, je n'ai dit nulle part que hier, sur la demie journée où j'ai fait cette copie d'écran, j'avais un quelconque PC qui tournait sous Windows, et ce n'était effectivement pas le cas, j'ai dit que sur mon réseau local ça s'alternait c'es tout. Ça m'attriste ce genre de réactions, surtout qu'elle n'est basée que sur une interprétation qui n'est pas ce que j'ai dit pour ma demie journée d'hier, merci de me relire s'il faut (pour la suite également).

De plus, je n'ai absolument rien contre toi, et j'appuierai toujours, commele font pires57, Ignus et les autres quand Iptables ne sera pas nécessaire, et que toi ou un autre membre le conseillera, mais il faut relir mon post numéro #186 juste au dessus et qui est très court, pour la bonne marche à suivre pour les prochaines personnes à conseiller sur Iptables à partir de maintenant, je donne une procédure très simple dedans. Et tu le verras par la suite que je respècte ce que je dis, je n'ai absolument rien contre toi, je me bas contre les mauvaises méthodes c'est tout. Pour rappel, tu as dit au post #4 que Nathaly01 n'avait absolument pas besoin d'Iptables, et que aux posts : #124 et #125, il lui fallait Iptables, mais cela tu t'en es rendu compte après avoir suivi la marche à suivre que je donne juste au dessus, dans l'avenir soyons plus malins, essayons de suivre une démarche logique de questionneements des demandeurs d'aides, ce qui est normal enfin. Mais s'il te plaît, arrête de chercher le conflis "indirectement" comme tu es en train de le faire en faisant ces déductions sur Windows, et en sous-entendant qu eje ne comprends rien à l'informatique, parce que là ça ne va pas être gérable pour toi, tu ne sais absolument pas qu'est-ce qui tourne chaque jour ici, ni quels étiaent les OS lancés la demie-journée d'hier, où ces paquets spoofés se sont manifesés, ça n'a pas de sens ???

A part pour chercher l'embrouille je ne vois pas, et je ne veux pas de cela avec toi, ni avec les autres membres du forum. Ce serait une bonne chose de me respecter pour ce qu eje suis s'il te plaît, je ne suis pas la personne que tu tentes de décrire, merci beaucoup. Je réponds aux questions, j'argumente tout ce que je dis, je fourni les indications pour les recherches du tout un chacun, et je reste ouvert à toutes celles et tous ceux qui souhaiteraient de plus amples renseignements sur l'utilisation d'Iptables, je ne dérrogerai pas non plus à ces règles. Je donne du contenu. Merci d'essayer de te modérer.

Je veux juste avant de cloturer ce message, rappeler la situation de Nathaly01, qui est restée bloquée à sa demande de comment faire avec Iptables pour filtrer nmbd sous tes conseils, vraiment merci Tiramiseb, se recentrer sur ces problèmes se sera mieux, c'est mon dernier message ici.

Hors ligne

#187 Le 29/12/2014, à 18:59

robindesbois

Re : Configuration d'iptables

tiramiseb a écrit :

Pour le reste de tes questions, je n'approfondirai pas car ton postulat de base est faux : la réflexion qui en découle est erronée.

Il va falloir que tu en convaincs les mecs de MISC, et Ignus aussi, je tire tout cela de leur numéro 64. Le dossier est beaucoup plus complet que la règle antispoofing que j'y ai apprise, ça devrait t'intéresser je pense.  Ici : http://boutique.ed-diamond.com/misc/440-misc64.html

Hors ligne

#188 Le 29/12/2014, à 19:02

tiramiseb

Re : Configuration d'iptables

Non non, tu m'as mal lu, je n'ai dit nulle part que hier [...]

Je n'ai pas mal lu ; c'est bien pour ça que j'ai dit que c'est une possibilité, que c'est un scénario plausible. Ce n'était pas le cas sur cette période-là, mais il peut y avoir plein d'autres cas de figure.

tu as dit au post #4 que Nathaly01 n'avait absolument pas besoin d'Iptables

Pas du tout. J'ai écrit « Par défaut, aucun port n'est ouvert sauf ce qui est nécessaire... Donc il n'y a rien à bloquer ». J'ai parlé du cas par défaut. Et juste avant j'ai demandé précision sur ce qu'elle veut bloquer, justement pour approfondir. On m'en a déjà parlé, j'ai déjà répondu à ce sujet, merci de relire la discussion.

Nathaly01, qui est restée bloquée à sa demande de comment faire avec Iptables pour filtrer nmbd

Rien à faire de spécial tant que le pare-feu (habituel sur une passerelle) est activé, je l'ai indiqué et elle l'a certainement déjà compris.

Hors ligne

#189 Le 29/12/2014, à 19:30

robindesbois

Re : Configuration d'iptables

Alors c'est très bien. J'aurai besoin de toi Tiramiseb sur d'autres discussions, merci de venir m'y aider si tu le peux, bonne soirée la room.

Hors ligne

#190 Le 29/12/2014, à 20:19

tiramiseb

Re : Configuration d'iptables

Il va falloir que tu en convaincs les mecs de MISC [...] je tire tout cela de leur numéro 64. Le dossier est beaucoup plus complet que la règle antispoofing que j'y ai apprise, ça devrait t'intéresser je pense.

Oui, le magazine MISC... édité par les éditions Diamond... Tu es au courant que j'écirs pour les éditions Diamond ? big_smile
Malheureusement, ce numéro est dans un carton au fond de mon garage, que je ne pourrai pas déballer avant d'avoir fait la bibliothèque (qui est encore loin dans notre planning de travaux...).
Cela dit, je suis prêt à parier que l'article ne dit pas juste « mettez telle règle qui sert à faire de l'antispoofing »...

Hors ligne

#191 Le 29/12/2014, à 21:34

Compte supprimé

Re : Configuration d'iptables

robindesbois a écrit :
ignus a écrit :
robindesbois a écrit :

Donc pour moi, Iptables fait office d'antispoofing,

C'est en effet l'un des rares cas ou Iptables peut rendre service, tout comme pour un NAT ou PAT...


Bonjour Ignus,

rien que sur la demie journée d'hier sur cette machine, 4 paquets DROPÉ sur la table raw directement, l'antispoffing est bien actif et on le voit utile, sur ce poste.

Copie écran :

http://nsa33.casimages.com/img/2014/12/29/141229124507972893.png

Bonsoir.

Je rejoins l'avis de mes confrères que sont Haleth et Tiramiseb, je ne suis pas convaincu que tu es été victime de spoofing. Avant de rédiger l’écriture d’une règle Iptables, il est recommander de sécuriser au maximum la couche réseau de l'OS. Le noyau Linux est très paramètrable de ce coté.
https://www.debian.org/doc/manuals/secu … es.fr.html
Dans un terminal root

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Cette option permet d’activer la protection anti-spoofing du noyau Linux et donc d'éliminer la plupart des paquets suspects avant qu'ils passent nos rêgles de filtrage, c'est très intéressant n'est-ce pas ?.
D'autre part, je remarque que tu surfes avec Tor, l'as-tu sécuriser avec privoxy ? Si TOr anonymise ta connection (au conditionnel), il n'anonymise pas ta machine, privoxy est utile en cela. Une ébauche de ses possibilités --> http://artisan.karma-lab.net/premunir-spywebs-privoxy
Mieux, tu pourrais y ajouter le proxy squid pour le cache Internet et augmenter la réactivité de ton surf, donc ce schéma est souhaitable: navigateur --> privoxy --> squid --> réseau Tor

Encore une fois, Iptables est un palliatif comme le précise à maintes reprises tiramiseb, sécuriser sa machine avec l'exemple que je t'ai donné ci-dessus est hautement plus prolifique. Je t'invite à t'intéresser à la culture Linux & BSD et  à Debian (pour Gnu/Linux) en particulier pour abandonner ces vieux réflexes forgés par le privateur.

N'y voit aucune condescendance dans mon propos mais seulement une lassitude de considérer qu'un pare-feu sécurise une machine...

Amicalement

Ignus.

Dernière modification par ignus (Le 29/12/2014, à 21:42)

#192 Le 29/12/2014, à 21:39

robindesbois

Re : Configuration d'iptables

Ignus je repasserai te répondre, merci de ta patience wink


tiramiseb a écrit :

Il va falloir que tu en convaincs les mecs de MISC [...] je tire tout cela de leur numéro 64. Le dossier est beaucoup plus complet que la règle antispoofing que j'y ai apprise, ça devrait t'intéresser je pense.

Oui, le magazine MISC... édité par les éditions Diamond... Tu es au courant que j'écirs pour les éditions Diamond ? big_smile
Malheureusement, ce numéro est dans un carton au fond de mon garage, que je ne pourrai pas déballer avant d'avoir fait la bibliothèque (qui est encore loin dans notre planning de travaux...).
Cela dit, je suis prêt à parier que l'article ne dit pas juste « mettez telle règle qui sert à faire de l'antispoofing »...


Pour les connaisseurs de la qualité de leur mise en page, évidemment non wink

Dans le dossier consacré, énormément de points sur Iptables sont abordés. Leur structure de leurs dossiers fonctionne comme tu le sais avec des "gros" titres sur les parties qu'ils vont aborder maintenant, et la structure suivante est façonnée de "un peu moins gros" sous-titres, pour mieux nous situer. Donc oui, ils n'ont pas sous-titré  « mettez telle règle qui sert à faire de l'antispoofing », ils ont appelé ce sous-titre "Anti-spoofing"(ce qui veut dire que la partie qui va suivre nous permet de paramétrer iptables CONTRE le spoofing IP). C'est agrémenté comme tu le sais des RFC numérotées qui vont bien, et qui en font autant de références officielles que la qualité de leur article sur Iptables dans ce numéro 64 est complet, et bien sûr comme tu le soulignes, et je trouve cette précision appréciable venant d'un lecteur de MISC (soit dit en passant), il y a beaucoup plus de précisions sur ce mécanisme d'anti-spoofing qu'il n'y paraît d'un premier abord de ce que j'en dit ici. Je ne peux que développer quelques points (avec les personnes que cela intéresse bien sûr), et serait ravi d'échanger sur le sujet avec elles.

Leur article sur Iptables est passionnant et vraiment bien référencé, aussi sur une bonne partie des autres nouveautés fournies par Iptables, et un rappel de celles qui n'ont pas évolées, ce qui rend le tout d'un contenu très riche, comme tu t'en doutes, et oui, je sais que tu écris pour eux, ce serait peut-être une prochaine étape que tu redécouvres leurs conseils avisés sur l'utilisation d'Iptables, ce numéro est particulièrement intéressant, alors parefeu, grande muraille de Chine ou ligne Maginot ? ( wink )

Bonne soirée Tiramiseb, et bonne soirée la room, la coupure sommeil de la bête arrive, moi vouloir femme maintenant...

Dernière modification par robindesbois (Le 29/12/2014, à 21:49)

Hors ligne

#193 Le 29/12/2014, à 21:48

tiramiseb

Re : Configuration d'iptables

Cette option permet d’activer la protection anti-spoofing du noyau Linux

C'est la même chose que la règle mise par robindesbois dans la table raw. Ça fait du reverse path filtering, une technique qui permet, entre autres, de bloquer certaines tentatives de spoofing (mais pas toutes, et pas que ça).

-----

robindesbois, vu que tu parles de publications papier, un article à ce propos vient de paraître dans Linux Pratique n°87, une autre publication des éditions Diamond ; celui-ci indique quand un pare-feu est utile ou non...

Hors ligne

#194 Le 29/12/2014, à 22:03

robindesbois

Re : Configuration d'iptables

ignus a écrit :

Le noyau Linux est très paramètrable de ce coté.
https://www.debian.org/doc/manuals/secu … es.fr.html
Dans un terminal root

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Cette option permet d’activer la protection anti-spoofing du noyau Linux et donc d'éliminer la plupart des paquets suspects avant qu'ils passent nos rêgles de filtrage, c'est très intéressant n'est-ce pas ?

Excuse-moi de ne pas aller dans ton sens quand tu affirmes cela, car dans l'article que je viens de relire (de ce MISC 64), il y est dit le contraire, et d'ailleurs la nouvelle table raw sous Iptables est là pour éliminer la totalité des paquets suspects avant qu'ils passent nos rêgles de filtrage-table filter sur Iptables), ce que ne fait pas la commande suivante (que tu viens de donner) :

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Dans le cas d'utilisation de cette commande du dessus, tous les paquets passent par toutes les règles de la table filter sur INPUT, ce qui donne un travail assez conséquent à Iptables, d'où création de cette table raw. (entre autres hein elle n'a pas été créée que pour cela, mais c'est une de ses particularités,). Mais comme tu l'auras compris, cette particularité abordée de la table raw pour filtrer les tentatives de spoofing a évidemment été créée pour ne pas que les paquets passent pas la table filter d'Iptables et allourdissent le tout, ils sont stopés AVANT (tout est expliqué dans l'article).

C'était un point à te préciser.


ignus a écrit :

D'autre part, je remarque que tu surfes avec Tor, l'as-tu sécuriser avec privoxy ? Si TOr anonymise ta connection (au conditionnel), il n'anonymise pas ta machine, privoxy est utile en cela. Une ébauche de ses possibilités --> http://artisan.karma-lab.net/premunir-spywebs-privoxy
Mieux, tu pourrais y ajouter le proxy squid pour le cache Internet et augmenter la réactivité de ton surf, donc ce schéma est souhaitable: navigateur --> privoxy --> squid --> réseau Tor

Pour cela j'utilise tor-bundle, proxy déjà paramétré.

ignus a écrit :

Encore une fois, Iptables est un palliatif comme le précise à maintes reprises tiramiseb, sécuriser sa machine avec l'exemple que je t'ai donné ci-dessus est hautement plus prolifique. Je t'invite à t'intéresser à la culture Linux & BSD et  à Debian (pour Gnu/Linux) en particulier pour abandonner ces vieux réflexes forgés par le privateur.

N'y voit aucune condescendance dans mon propos mais seulement une lassitude de considérer qu'un pare-feu sécurise une machine...

Amicalement

Ignus.

Ce n'est donc pas la conclusion qu'apporte les rédacteurs diplômés sur Iptables dans le numéro64, étrange, c'est encore en contrdiction avec ce que vous affirmez ici, je me demande si vous avez lu cet article maintenant ? L'avez-vous lu ??

Mais bon, on est sur un forum public d'un autre côté, avec Misc, on est dans une autre dimension, plus pointue j'entends. Je n'ai rien pris sur le ton de la condéscendence ne t'en fait pas, je me rends compte surtout que tu n'as probablement pas lu l'article dont je parle, du coup tu n'as pas eu les conseils et avis des rédacteurs et spécialistes. Bon, bonne soirée aussi Ignus et merci de ton message, chalu

Hors ligne

#195 Le 29/12/2014, à 22:09

tiramiseb

Re : Configuration d'iptables

Et si un mec qui écrit des articles sur ces sujets dans les magazines de Diamond participe à ce forum public, ça fait quoi ? Un conflit interdimensionnel ? Une explosion nucléaire ? tongue

Hors ligne

#196 Le 29/12/2014, à 22:11

robindesbois

Re : Configuration d'iptables

tiramiseb a écrit :

C'est la même chose que la règle mise par robindesbois dans la table raw. Ça fait du reverse path filtering, une technique qui permet, entre autres, de bloquer certaines tentatives de spoofing (mais pas toutes, et pas que ça).

Non, et je viens de le dire dans mon message précédent à Ignus, c'est tout le contraire, l'option rpfilter invert POSITIONNÉE sur la table raw d'Iptables n'agît pas du tout de la même façon que la dernière commande donnée par Ignus (d'après les éminnents spécialistes du sujet qui ont rédigé l'article sur Iptables dans le numéro 64 de Misc que j'ai sous les yeux, soit dit en passant encore une fois), du coup il n'y a que moi qui ait lu cet article ou quoi ? Je parle de quelqu echose que j'ai sous les yeux, quand vous l'aurrez sous les yeux vous comprendrez de quoi je parle.


tiramiseb a écrit :

robindesbois, vu que tu parles de publications papier, un article à ce propos vient de paraître dans Linux Pratique n°87, une autre publication des éditions Diamond ; celui-ci indique quand un pare-feu est utile ou non...


Ah enfin de la ref, je te répondrai plus tard là dessus, je ne l'ai aps encore étudié et te merci en tous cas de celle-ci, bonne soirée à toi aussi Tiramiseb.

Hors ligne

#197 Le 29/12/2014, à 22:17

Compte supprimé

Re : Configuration d'iptables

Ok big_smile

Puis celle_là

/proc/sys/net/ipv4/conf/all/accept_source_route

Ce paramètre est à désactiver. Un pirate peut utiliser le source-routing pour générer du trafic venant sois disant du réseau local, mais qui en réalité sera rerouté par le chemin par lequel il était arrivé, c’est à dire le réseau du pirate.

tongue
@tira: Bin oui, Netfilter étant implémenté dans le noyau Linux pour intercepter des paquets réseau, autant ce servir du noyau et de ses possibilités.

#198 Le 29/12/2014, à 22:19

robindesbois

Re : Configuration d'iptables

tiramiseb a écrit :

Et si un mec qui écrit des articles sur ces sujets dans les magazines de Diamond participe à ce forum public, ça fait quoi ? Un conflit interdimensionnel ? Une explosion nucléaire ? tongue

Non, ça en fait quelqu'un qui a peut-être chopé le melon, ou la pastèque ? (à toi de prendre celui que tu préfères wink ).

Je plaisante bien sûr... Ça en fait surtout quelqu'un qui sait déjà dans un premier lieu où trouver l'article dont je parle pour enfin se mettre d'accord avec moi (apparemment il est dans ton garage et j'espère que tu ne parles pas de ton garage de ta villa à Majorc wink ), et qui donc va pouvoir affirmer ce que j'affirme quand il l'aura lu.

Et ça en fait quelqu'un de précieux sur le forum, au même titre que moi (qui ait comme toi un argumentaire étoffé, "linké", et référencé chez les spécialistes (articlel de MISC vérifiable par tout un chacun) et aussi au même titre que toutes les utilisatrices et tous les utilisateurs, de tous âges.

Et ça en fait aussi une personne qu'on va avoir plaisir à retrouver chaque jour sur le fofo si on y est aussi très actifs, ou qu'on va l'être encore plus. Donc que des bonnes choses pour moi d'avoir vos présences à Ignus, Toi, pires57, et les autres, et je le dis très sincèrement, la lecture de beaucoup de messages de votre part m'a toujours aidé ici, donc c'est logique que je le pointe du doigt dès que l'occasion se présente, à vous de faire pareil avec moi maintenant, et vous savez où aller regarder pour le désacord AMICAL que l'on a aujourd'hui. bonne soirée à vous et à laroom, cette fois-ci j'y vais vraiment wink

Hors ligne

#199 Le 29/12/2014, à 22:28

tiramiseb

Re : Configuration d'iptables

Non, et je viens de le dire dans mon message précédent à Ignus, c'est tout le contraire, l'option rpfilter invert POSITIONNÉE sur la table raw d'Iptables n'agît pas du tout de la même façon que la dernière commande donnée par Ignus

Et tu as lu ça dans l'article de MISC ? Ça m'étonne.
Une source par exemple, l'article en lien ci-dessous, qui évoque rp_filter tel qu'abordé par Ignus, décrit exactement ce que tu expliques :
http://www.slashroot.in/linux-kernel-rp … -filtering

la page donnée en lien a écrit :

    If it is routable through the interface which it came, then the machine will accept the packet
    If it is not routable through the interface, which it came, then the machine will drop that packet.

Dernière modification par tiramiseb (Le 29/12/2014, à 22:29)

Hors ligne

#200 Le 29/12/2014, à 22:29

robindesbois

Re : Configuration d'iptables

ignus a écrit :

Ok big_smile

Puis celle_là

/proc/sys/net/ipv4/conf/all/accept_source_route

Ce paramètre est à désactiver. Un pirate peut utiliser le source-routing pour générer du trafic venant sois disant du réseau local, mais qui en réalité sera rerouté par le chemin par lequel il était arrivé, c’est à dire le réseau du pirate.

Merci pour cela Ignus, je ne connaissais pas du tout, je vais l'étudier demain.


ignus a écrit :

@tira: Bin oui, Netfilter étant implémenté dans le noyau Linux pour intercepter des paquets réseau, autant ce servir du noyau et de ses possibilités.

On peut changer d'avis sur certaines fonctionnalités quand elles ont un réel attrait informatique, et qu'elles sont vraiment plus efficaces et limpides à comprendre surtout. C'est le cas de la règle anti-spoofing améliorée dont Misc nous fait part dans ce numéro 64. Elle fournit donc un antispoofing qualifié d'intelligente (mise en oeuvre par les programmeurs d'Iptables), ce qui a été suffisament important pour avoir bénificier d'une parution détaillée dans un article de MISC il faut le dire aussi, en général ils ne paerdent pas beaucoup de temps avec des choses "pas sérieuse", Tiramiseb le confirmera. C'est donc vraiment à noter, et je suis sûr que quand vous aurrez lu l'article vous serez étonné, (car je ne dis pas tout, la loi en France m'y contraint), mais comme vous êtes spécialistes, cela devrait vraiment vous intéresser, et même les moins spécialsites...

Hors ligne