Configuration d'iptables

robindesbois · Le 30/12/2014, à 02:04

ignus a écrit :

Non, tu fais un amalgame, Iptables est un programme en ligne de commande qui n'améliore rien du tout

Si, il a pris de l'avance par rapport à cette règle :

# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Car cette règle ci-dessus n'agit pas sur la table raw, et la table raw a été implémenté et est active avant tous processus (comme c'est expliqué dans le MISC 64). De ce faite, pour que cette règle du dessus ne soit plus désuète, il faudrait qu'eele se modifie par exemple en ceci (ce n'est qu'un exempel hein) :

# echo 1 > /proc/sys/net/ipv4/conf/all/raw/rp_filter

(tu auras remarqué le /raw/ ajouté)

Là ok, le noyau en sera informé !

Si tu veux en savoir un peu plus et comprendre que c'est le noyau qui gère la table raw (cette table raw qui figure donc dans ma règle Iptables antispoofing trouvé dans MISC), tu peux déjà te rendre sur cette page : http://man7.org/linux/man-pages/man7/raw.7.html

Donc il faut bien comprendre que la commande que donne MISC, est lancés dans Iptables, que Iptables est la "télécommande" de Netfilter, que Netfilter fait partie intégrente du noyau qui gère le réseaux et ses paquets (tous paquets Internet ou transitant sur le réseau local), et que le noyau comporte en lui-même cette fameuse table raw, et que cette dernière va être solicité pour DROPER toutes tentatives de spoofing, mais pour le coup VRAIMENT AVANT que les paquets qui portent cette anomalie passe par les tables de Netfilter (Iptables ou pas activé), Ou bien la commande qui suit activée ou pas :

# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Et c'est un fait, tout est expliqué dans le MISC 64

Donc oui la règle suivante est désuète à l'heure actuelle :

# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Désuète en comparaison à celle-ci qui est l'amélioration direct sur la table raw et directement sur le Kernel de Linux :

# iptables -A PREROUTING -t raw -m rpfilter --invert -j DROP

il faut bien que tu comprennes une chose, ce n'est pas mois qui suit en train de t'expliquer que cette règle est désuète en terme d'efficacité, je ne fais que lire l'article de ce MISC numéro 64, c'est tout, que tu le veuilles ou non, le jour où tu auras cet article sous les yeux je peux te dire qu'il y a de fortes chances que tu penses à moi, et que tu te dises, ah oui, vu comme ça et avec les explications et les références des RFC que me donnent MISC sur cette nouvelle façon beaucoup plus efficace à stopper dans l'oeuf les attauqes par spoofing que me permet maintenant Iptables grâce à l'action sur cette table raw, je n'ai plus aucune excuse pour ne pas l'utiliser !

Et là je te dirai ben oui, vu tout ce qu'il expliquent dessus, mmmm on peut difficilement les contredire.

ignus a écrit :

Bonne nuit, je débranche et je vous lirai demain.
Au fait, Iptables est bien pratique pour FAIL2BAN

Bonne nuit merci, à plus oui

robindesbois · Le 30/12/2014, à 02:07

ignus a écrit :

J'ai souligné en rouge, 0 n'a pas de consigne, donc iptables à l'autorisation de gérer. Passe cette consigne à 1 dans le noyau et tu verras que tes «alertes iptables» vont s'alléger.

Ignus je viens de vérifier, c'était sur 1 déjà, oups sorry. Donc oui, ça veut dire que les paquets que j'ai montré sur ma copie d'écran ne font pas ce que tu dis, et que Iptables bloque quand même sur cette table raw tous paquets spoofés...

De toutes façons, que ce soit sur 0 ou 1, comme la table raw est avant les processus, et les suivis de connexions de CONNTRACK, ils ont toujours été logué par mon Itpables, intéressant non ? Moi je trouve ça passionnant en fait, j'essaie de partager ma passion et les connaissances que m'apprennent MISC, mais c'est très difficile, mais j'espère qu'un jour vous lirez cet article pour mieux comprendre pourquoi MISC a tout de suite été emballé en voyant les bénéfices de cette nouvelle mesure anti-spoofing grâce à Iptables et la table raw...

Dernière modification par robindesbois (Le 30/12/2014, à 02:11)

tiramiseb · Le 30/12/2014, à 11:13

Je n'approfondirai pas sur l'histoire de rp_filter, pour moi les deux approches sont équivalentes mais celle liée à Netfilter est plus souple, il est fort possible que la table "raw" ait été créée pour remplacer les éléments liés à sysctl, je n'ai pas plus de détails pour faire une affirmation et robindesbois cite une source en laquelle j'ai confiance.

Par contre, je tiens à préciser deux choses :
- robindesbois, tu indiques que la table raw est "avant les processus", il me semble qu'il y a une chose que tu as mal comprise : le paramétrage lié à sysctl (le truc dont parle Ignus) n'est pas implémenté en tant que processus, il s'agit bel et bien de configuration du noyau lui-même ;
- MISC est en effet une bonne revue en matière de sécurité informatique, les informations y sont intéressantes, mais il ne s'agit en aucun cas de documentation orientée "utilisateur final" ; en cela, je pense qu'il est inutile d'appliquer ces principes complexes à n'importe quelle machine : il faut faire preuve de discernement, je rappelle qu'en sécurité informatique (comme dans beaucoup de domaines), la simplicité est à privilégier.

Si je fais un parallèle avec la construction d'une maison, bien sûr on va mettre un abri anti-atomique, des gros murs résistants, des barbelés électrifiés, des caméras de surveillance et des gardes armés sur une base militaire. Mais on ne fait jamais la même chose sur une maison de ville ; pourtant, ça apporterait plus de sécurité dans la maison... oui, mais il n'y en a pas besoin, ça serait inutile, comparé au risque encouru. D'ailleurs, les maisons hautement protégées intriguent plus les voleurs que les petits bicoques sans valeur...
Et si on met un mur d'enceinte barbelé et des caméras, on risque de se croire trop en sécurité et d'oublier de fermer la porte d'entrée à clef. C'est bien cela que je déplore dans ces conseils d'activer un pare-feu inconditionnellement, en disant aux gens qu'ils seront en sécurité...

robindesbois, tu fais bien sûr comme tu le veux sur ta machine, mais quand on conseille quelque chose aux autres, il faut faire preuve de discernement. Écrire (ou sous-entendre) « c'est dans MISC donc c'est fiable, faites tous cela chez vous », ce n'est pas une preuve de discernement...

Haleth · Le 30/12/2014, à 11:32

Mouais, toujours pas convaincu de la grande utilité du rp_filter

L'antispoofing, pour moi, est grandement efficace au niveau des AS : chacun connait la liste de ces subnet, et détruit tout traffic en provenance des clients si l'IP source n'est pas dans ces subnets (cf bcp38).
Le spoof d'IP ne sert vraiment que pour les floods, afin de cacher la véritable identité de la source, ou pour faire de l'amplification. Pour tout ce qui est usurpation d'identité dans un but plus sournois ("emprunt" de connexion etc), le spoof d'adresse IP n'est pas vraiment utile si l'attaquant ne dispose pas d'un grand contrôle sur l'environnement réseau de la cible, afin d'orienter et de recevoir le trafic retour (en spoofant également les IP en BGP, par exemple).

Bref, pour un Linux, pas vraiment utile

Dernière modification par Haleth (Le 30/12/2014, à 12:34)

tiramiseb · Le 30/12/2014, à 12:56

Parfaitement d'accord avec Haleth concernant l'utilité de ce filtrage. Mais bon, on ne va pas épiloguer là-dessus hein... C'est le coeur même de la différence entre le deux approches. D'un côté "je sais quand c'est utile et je ne filtre que si nécessaire", de l'autre côté "je mets un maximum de trucs, on sait jamais". Ce qui m'énerve, c'est l'attitude de certains défenseurs de la seconde approche, prompts à insulter les premiers...

Et cela ne change en rien mon affirmation première : sur une Ubuntu de base, par défaut, rien de tout ça n'est nécessaire.

Compte supprimé · Le 30/12/2014, à 14:10

Et cela ne change en rien mon affirmation première : sur une Ubuntu de base, par défaut, rien de tout ça n'est nécessaire.

Oui, tout comme mon approche pour un serveur, Iptables est le dernier élément à utiliser pour le sécuriser...
En revanche, ce qui est bien avec le sysctl, c'est qu'une station de travail peut en bénéficier sans manipuler des règles Iptables, sans activer de firewall donc. On sécurise la couche réseau de l'OS

Dernière modification par ignus (Le 30/12/2014, à 14:12)

robindesbois · Le 30/12/2014, à 17:43

Bonjour les gens.

J'aimerai beaucoup apprendre à utiliser le sysctl, dans quelle séction je dois ouvrir ma discussion spv ?

tiramiseb · Le 30/12/2014, à 17:45

Si tu veux "apprendre", il faut lire des docs, pas discuter sur le forum
http://linux.die.net/man/8/sysctl
https://www.google.fr/search?q=%2Fproc%2Fsys

robindesbois · Le 30/12/2014, à 17:49

Merci pour les liens, qui sont pour moi inexploitables, je ne parle que le français. Je vais essayer de trouver ma section, je préfère aussi les retours utilisateurs (comme vous m'avez fait ici, c'est très riche pour moi, car ils m'ouvrent d'autres perspectives, les perspectives que je ne connais pas du tout, mais que j'aimerai approfondir avec vous), je vais essayer de trouver une section en disant dans mon message un petit texte adressé aux modos pour le déplacer.

Bonne continuation ici, et les bons voeux de la Lorraine (on est voisins c'est rigolo ).

tiramiseb · Le 30/12/2014, à 17:54

Explication en français :
http://fr.wikipedia.org/wiki/Sysctl

Le second lien est une recherche Google, il y a des réponses en français.

robindesbois · Le 30/12/2014, à 18:12

Merci bcp.

pires57 · Le 30/12/2014, à 21:51

Dommage, les meilleurs doc sont en anglais...

tiramiseb · Le 30/12/2014, à 21:54

Pour ma part je tiens pour acquis que la compréhension de l'anglais est indispensable pour acquérir de vraies compétences en informatique. C'est malheureux mais c'est comme ça : les publications de qualité sont majoritairement en anglais.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#226 Le 30/12/2014, à 02:04

Re : Configuration d'iptables

#227 Le 30/12/2014, à 02:07

Re : Configuration d'iptables

#228 Le 30/12/2014, à 11:13

Re : Configuration d'iptables

#229 Le 30/12/2014, à 11:32

Re : Configuration d'iptables

#230 Le 30/12/2014, à 12:56

Re : Configuration d'iptables

#231 Le 30/12/2014, à 14:10

Re : Configuration d'iptables

#232 Le 30/12/2014, à 17:43

Re : Configuration d'iptables

#233 Le 30/12/2014, à 17:45

Re : Configuration d'iptables

#234 Le 30/12/2014, à 17:49

Re : Configuration d'iptables

#235 Le 30/12/2014, à 17:54

Re : Configuration d'iptables

#236 Le 30/12/2014, à 18:12

Re : Configuration d'iptables

#237 Le 30/12/2014, à 21:51

Re : Configuration d'iptables

#238 Le 30/12/2014, à 21:54

Re : Configuration d'iptables

Pied de page des forums