Configuration d'iptables

robindesbois · Le 29/12/2014, à 23:31

tiramiseb a écrit :

Et tu as lu ça dans l'article de MISC ? Ça m'étonne.

C'est ce que j'essaie de vous faire passer depuis quelques messages maintenant, donc oui, c'est expliqué et documenté parfaitement de cette façon là dans l'article de Misc, je ne comprends pas pourquoi ça vous étonne, toutes les réfs que je donne sur la table raw et la fonctionnalité anti-spoofing sont là dans l'article de MISC. Salouti la room.

Dernière modification par robindesbois (Le 29/12/2014, à 23:34)

tiramiseb · Le 29/12/2014, à 23:38

C'est ce que j'essaie de vous faire passer depuis quelques messages maintenant [...] toutes les réfs que je donne sur la table raw [...]

Je ne parle pas des infos sur la table raw elle-même. Je parle de ton affirmation comme quoi cette configuration de sysctl (la commande donnée par Ignus) ferait le contraire de ta règle. Car c'est bel et bien équivalent.

robindesbois · Le 29/12/2014, à 23:46

Il faut néanmoins préciser aux lecteurs que la table raw est positionnée avant les opérations de conntrack. De ce fait, comme on l'a vu au dessus, en passant son parefeu Iptables en véritable parefeu SPI via le module conntrack, la règle d'anit-spoofing sur la table raw étant placée avant conntrack dans la hiérachie d'Iptables, bloquera les attaques par spoofing. Elles auront donc un impact réduit au maximum. Comme les paquets peuvent(et passent) passer par la table filter (aussi, donc en plus des autres tables)) et que la table raw est positionnée avant filter, les paquets détectés comme spoofés sont donc stopés avant d'atteindre les table filter et les autres. Voilà pourquoi je parlais de la table filter, mais on peut inclure les autres tables aussi, car elles sont aussi concernées par cette nouvelle focntionnalité d'Iptables, en précisant que ce sera si lon fait de notre parefeu un parfeu SPI (donc en lançant conntrack dans nos règles de filtrage Iptables).

C'est un peu complexe et c'est un point qui peut perdre le lecteur néophite, j'essaie de l'expliquer le plus clairement possible, mais bon, il faut quand même quelques bases.

robindesbois · Le 29/12/2014, à 23:52

tiramiseb a écrit :

Car c'est bel et bien équivalent.

Le contraire dans le sens où Ignus affirme que la commande qu 'il a donné et qui est l asuivante :

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Bloque les paquets (selon ses termes) "avant qu'ils passent nos rêgles de filtrage" , c'est faux, car c'est justement la nouvelle fonctionnalité de la table raw d'iptables associé à l'anti-spoofing et expliqué dans MISC, il faudrait vraiment que vous lisiez l'article, tout est expliqué, je viens de le dire juste au dessus.

Tiramiseb, tu l'as dans ton garage, dit moi :

"Ok je vais aller vérifier dès que je peux."

Et ensuite tu reveindras vers moi en me disant :

"Aa ben oui, c'était expliqué comme tu me l'a dit en fait, merci !"

Ce à quoi je répondrai :

Enfin

Dernière modification par robindesbois (Le 29/12/2014, à 23:53)

Compte supprimé · Le 29/12/2014, à 23:52

@ robindesbois
Tu me dis utiliser tor-bundle, quel proxy utilise t-il ? Il est sur ta machine ou ton navigateur se connecte à un proxy avant d'accéder au réseau TOR ? L'avantage de privoxy et outre le fait que j'ai évoqué (anonymise ta machine pour tor mais aussi pour le web «normal»), tu peux aussi lui dire de bloquer les publicités (tout comme squid au passage). Privoxy est puissant.

PS: un désaccord est toujours amical

tiramiseb · Le 29/12/2014, à 23:52

robindesbois: et le blocage au niveau de sysctl (commande indiquée par Ignus) n'est-il pas positionné avant les règles de pare-feu ? Il fonctionne d'ailleurs sans même avoir besoin d'iptables, sans même avoir besoin de conntrack, sans tout ça...

Dernière modification par tiramiseb (Le 29/12/2014, à 23:53)

tiramiseb · Le 29/12/2014, à 23:55

Tiramiseb, tu l'as dans ton garage, dit moi :
"Ok je vais aller vérifier dès que je peux."

Je pourrai vérifier dans peut-être 6 mois, ou 1 an ou 2 ans. Je ne vais pas aller déballer des cartons de bouquins et magazines avant d'avoir fait les travaux dans la bibliothèque, sachant qu'elle passera après la salle de bain, le bureau, etc.

Compte supprimé · Le 30/12/2014, à 00:01

tiramiseb a écrit :

robindesbois: et le blocage au niveau de sysctl (commande indiquée par Ignus) n'est-il pas positionné avant les règles de pare-feu ? Il fonctionne d'ailleurs sans même avoir besoin d'iptables, sans même avoir besoin de conntrack, sans tout ça...

Oui

Édit:

Issu de la doc Debian :

 # Autres protections réseau
       echo 1 > /proc/sys/net/ipv4/tcp_syncookies
       echo 0 > /proc/sys/net/ipv4/ip_forward 
       echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 
       echo 1 > /proc/sys/net/ipv4/conf/all/log_martians 
       echo 1 > /proc/sys/net/ipv4/ip_always_defrag
       echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
       echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
       echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
       echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

Dernière modification par ignus (Le 30/12/2014, à 00:09)

robindesbois · Le 30/12/2014, à 00:01

Oui Tiramiseb, je lui ai d'aileurs dit que j'allais étudier cela au dessus, ça m'intéresse (je ne suis pas fermé dans les alternatives à ma façon de gérer mon parc, bien loin de là, et je suis encore moins fermé à la compréhension générale du mode de fonctionnement de Linux), et c'est pour cela que je disais dans un précédent message que j'allais avoir besoin de vous encore !

Merci Ignus pour le côté amical, c'est...amical... Mmmmh, pour le proxy de tor tu veux savoir quoi exactement dessus ? Je sais qu'il est paramétré sur 127.0.0.1 et sur un port défini dans les réglages du navigateur Firefox fourni avec le Tor-Bundle, c'est cela que tu veux savoir ?

robindesbois · Le 30/12/2014, à 00:03

Bon à demain... :- ))

robindesbois · Le 30/12/2014, à 00:19

tiramiseb a écrit :

Je pourrai vérifier dans peut-être 6 mois, ou 1 an ou 2 ans. Je ne vais pas aller déballer des cartons de bouquins et magazines avant d'avoir fait les travaux dans la bibliothèque, sachant qu'elle passera après la salle de bain, le bureau, etc.

Oui aucun problème sur la durée, c'est pour ça que mes messages ne s'adressent pas qu'à toi, n'importe qui du forum possédant l'article peut le vérifier...

...tout de suite

Ce qui fait que pour l'instant, sysctl ou pas (tu t'en doutes), tant que j'ai cette règle beaucoup plus efficace en anti-spoofing grâce à Iptables, (qui me sert aussi de parefeu SPI), ainsi que de filet de sécurité quand mon VPN tombe, je ne suis pas près d'abandonner Iptables, il est devenu simple à configurer pour moi aussi, autant que passionnant.

Donc on l'aura compris, il reste attractif surtout quand ces aspects dont je parle sont mis à la portée de tout le monde grâce aux articles de magazines spécialisé dans la sécurité informatique (Misc a beaucoup écrit dessus, même dans les numéro autres que 64).

Donc si quelqu'un se sent de vouloir vérifier, aucun soucis, ça t'aidera peut-être à mieux comprendre pourquoi aujourd'hui, Iptables est devenu un allié utile(grâce aux nouvelles avancées démontrées dans MISC), plutôt que la chose complètement inutile dont vous semblez être persuadé. Et comme grâce aux magazines comme MISC, on sera toujours au courant des avancées faites sur Iptables, on sera toujours très bien informés sur telle ou telle comète qui vient d'y être intégrée

On y retrouve pour ma part :

_Véritable parfeu SPI enitèrement revu, amélioré et rendu plus robuste grâce à conntrack et une politique de suivi de connexion plus complexe et offrant bien plus d'options de suivi
_Filtre anti-spoofing avancé ajouté
_Filet de sécurité et routage des paquets TCP/IP en cas de VPN tombé

Accessoirement, accepte la caféine

Dernière modification par robindesbois (Le 30/12/2014, à 00:31)

Compte supprimé · Le 30/12/2014, à 00:30

Donc si quelqu'un se sent de vouloir vérifier, aucun soucis, ça t'aidera peut-être à mieux comprendre pourquoi aujourd'hui, Iptables est devenu un allié utile, plutôt que la chose complètement inutile dont vous semblez être persuadé (grâce aux nouvelles avancées démontrées dans MISC) , on y retrouve pour ma part

M'enfin, ou as-tu lu que nous disons qu'un pare-feu est inutile ? Iptables est très utile pour une NAT ou PAT et accessoirement un anti-spoofing mais il ne sécurise par la machine. C'est la qu'est la faille de raisonnement à mon avis Les commandes issues de la Doc Debian (dans mon post #216) agissent avant les règles pare-feu... Sécuriser sa machine commence par le noyau, en désactivant un tas de fonctionnalité que tu n'as pas besoin, c'est toujours ça de moins pour les rootkits qui, de toutes façons, by-passerons Iptables.
Comprends-tu ?

Dernière modification par ignus (Le 30/12/2014, à 00:32)

robindesbois · Le 30/12/2014, à 00:54

ignus a écrit :

Les commandes issues de la Doc Debian (dans mon post #216) agissent avant les règles pare-feu...

Et la nouveauté dans Iptables depuis la toute nouvelle apparition de la table raw, est que le filtrage se fait encore avant cette règle :

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Ce n'est pas moi qui le dit c'est MISC qui l'affirme, si tu as la possibilité qu'on te le prète, tu pourrai le vérifier dans l'instant.

Et en plus MISC le dit clairement, par rapport à la commande suivante :

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Les tentatives d'attaques par spoofing, y sont réduites du coup au maximum. Du coup, une charge bien moindre pour le noyau. (Iptables gère le parefeu de Linux appelé Netfilter), et dire à Netfilter d'améliorer sa lute contre le Spoofing grâce à la nouvelle table raw d'Iptables j'avoue que c'était assez mabiteux de la prt des programmeurs d'Iptables (qui a parlé de Pablo ? ).

Ça a été en tous cas assez attractif pour avoir droit à une sous partie d'article sur Iptables parue dans MISC numéro 64.

Mais vous le comprendrez, quand vous aurrez pu lire l'article dont je parle ce soir.

Néanmoins Ignus, je n'ai pas trouvé la page de doc Debian qui parle de ces règles, as-tu un lien à me communiquer stp ?

Dernière modification par robindesbois (Le 30/12/2014, à 01:02)

tiramiseb · Le 30/12/2014, à 00:58

Ignus t'a donné le lien en #199.

robindesbois · Le 30/12/2014, à 01:00

tiramiseb a écrit :

Ignus t'a donné le lien en #199.

Non je parlais du lien vers la doc Debian.

tiramiseb · Le 30/12/2014, à 01:02

Un lien en « www.debian.org/doc/manuals/[...] », c'est pas la doc Debian ?

robindesbois · Le 30/12/2014, à 01:04

tiramiseb a écrit :

Un lien en « www.debian.org/doc/manuals/[...] », c'est pas la doc Debian ?

Marche pas, et ce lien ne figure pas dans le message #199, Ignus aborde différentes règles du noyau sur son message #216, c'est là où il parle de la doc Debian, je ne trouve pas la page

Dernière modification par robindesbois (Le 30/12/2014, à 01:04)

tiramiseb · Le 30/12/2014, à 01:06

robindesbois a écrit :

et ce lien ne figure pas dans le message #199

Je pense que tu as besoin d'aller te reposer.

Ignus, en #199 a écrit :

Je rejoins l'avis de mes confrères que sont Haleth et Tiramiseb, je ne suis pas convaincu que tu es été victime de spoofing. Avant de rédiger l’écriture d’une règle Iptables, il est recommander de sécuriser au maximum la couche réseau de l'OS. Le noyau Linux est très paramètrable de ce coté.
https://www.debian.org/doc/manuals/secu … es.fr.html

Compte supprimé · Le 30/12/2014, à 01:09

Et la nouveauté dans Iptables depuis la toute nouvelle apparition de la table raw, est que le filtrage se fait encore avant cette règle :
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Sauf erreur de ma part, c'est bien le noyau qui dirige Netfilter et non l'inverse. Après, il existe des frontend comme Iptables qui agissent sur netfilter. D'ailleurs, d'autre programmes comme ufw (pour simplifier l'utilisation du pare-feu) agissent à leurs tours sur Iptables... Etc etc ! Ceci dit, je ne suis pas expert et il est possible que je me plante mais je ne vois pas Iptables outrepasser les règles du Kernel

Dernière modification par ignus (Le 30/12/2014, à 01:10)

tiramiseb · Le 30/12/2014, à 01:11

Sauf erreur de ma part, c'est bien le noyau qui dirige Netfilter et non l'inverse

Netfilter fait partie du noyau, tout simplement.
Il est tout à fait possible que sa table "raw" agisse avant l'action rp_filter configurée dans sysctl.
C'est pour cela que je ne me prononce pas : je ne sais pas.

Compte supprimé · Le 30/12/2014, à 01:17

Netfilter fait partie du noyau, tout simplement.

Oui. Mais imagines-tu une règle Iptables qui outrepasse ce qui est définie manuellement dans le noyau ? Voilà pourquoi j'aurais plutôt tendance à penser l'inverse, rp_filter filtre avant de passer les règles de filtrage Iptables.

Mais il est possible que je me fourvoie

Édit:

D'ailleurs, si tu n'actives pas ip_forward dans le sysctl, Iptables acomplit-il correctement le routage des paquets ?

Dernière modification par ignus (Le 30/12/2014, à 01:20)

robindesbois · Le 30/12/2014, à 01:18

ignus a écrit :

Et la nouveauté dans Iptables depuis la toute nouvelle apparition de la table raw, est que le filtrage se fait encore avant cette règle :
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
Sauf erreur de ma part, c'est bien le noyau qui dirige Netfilter et non l'inverse. Après, il existe des frontend comme Iptables qui agissent sur netfilter. D'ailleurs, d'autre programmes comme ufw (pour simplifier l'utilisation du pare-feu) agissent à leurs tours sur Iptables... Etc etc ! Ceci dit, je ne suis pas expert et il est possible que je me plante mais je ne vois pas Iptables outrepasser les règles du Kernel

Exactement, au détail prèt qu'il ne faut pas se tromper sur ce qu'est iptables, et iptables c'est :

L'outil d'administration pour le filtrage de paquets IPv4 et le NAT (et maintenant IPv6 etc..)

(voir ici : http://www.delafond.org/traducmanfr/man … les.8.html )

Netfilter est une partie du noyau, Netfilter est le vrai parefeu, Iptables n'est pas le parefeu à proprement parlé, ce n'en est que la télécommande.

La télécommande qui paramètre le Kernel si tu veux, mais pas n'importe quelle partie du Kernel, non, Iptables paramètre le parefeu qui est Netfilter. Et c'est là que ça devient intéressant !

Parce que cette règle est désuète à l'heure actuelle :

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

En comparaison à celle-ci , celle-ci qui est l'amélioration direct du Kernel de Linux :

# iptables -A PREROUTING -t raw -m rpfilter --invert -j DROP

Tout est expliqué clairement dans le MISC 64.

Dernière modification par robindesbois (Le 30/12/2014, à 01:20)

robindesbois · Le 30/12/2014, à 01:30

ignus a écrit :

Oui. Mais imagines-tu une règle Iptables qui outrepasse ce qui est définie manuellement dans le noyau ?

Ben oui, et c'est pile poil ce point l àqui est expliqué dans l'article de MISC. Et que j'ai pu vérifié par moi-même.

La commande que tu me donnes, celle-ci :

# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

N'est pas sur 1 chez moi, elle est sur 0 ! Et ça n'empèche pas que la table raw filtre le dans la copie d'écran suivante :

Netfilter est lui par contre une partie intégrante du noyau et il est spécifiquement prévu pour la sécurité, c'est un parefeu, il a même reçu un Certificat de sécurité de premier niveau pour sa version 1.4.2, voir ici en tout début d'article : https://fr.wikipedia.org/wiki/Netfilter

Compte supprimé · Le 30/12/2014, à 01:31

Non, tu fais un amalgame, Iptables est un programme en ligne de commande qui n'améliore rien du tout, et tu le dis, c'est une télécommande de Netfilter et non du noyau :þ

Parce que cette règle est désuète à l'heure actuelle :
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
En comparaison à celle-ci , celle-ci qui est l'amélioration direct du Kernel de Linux :
# iptables -A PREROUTING -t raw -m rpfilter --invert -j DROP

La règle sysctl n'a rien de désuète, elle n'a simplement pas besoin d'Iptables pour activer ou désactiver le filtrage de paquet...

Bonne nuit, je débranche et je vous lirai demain.
Au fait, Iptables est bien pratique pour FAIL2BAN

Compte supprimé · Le 30/12/2014, à 01:37

robindesbois a écrit :

ignus a écrit :
Oui. Mais imagines-tu une règle Iptables qui outrepasse ce qui est définie manuellement dans le noyau ?

Ben oui, et c'est pile poil ce point l àqui est expliqué dans l'article de MISC. Et que j'ai pu vérifié par moi-même.

La commande que tu me donnes, celle-ci :
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
N'est pas sur 1 chez moi, elle est sur 0 ! Et ça n'empèche pas que la table raw filtre le dans la copie d'écran suivante :
http://nsa34.casimages.com/img/2014/12/30/14123012315550482.png

J'ai souligné en rouge, 0 n'a pas de consigne, donc iptables à l'autorisation de gérer. Passe cette consigne à 1 dans le noyau et tu verras que tes «alertes iptables» vont s'alléger.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#201 Le 29/12/2014, à 23:31

Re : Configuration d'iptables

#202 Le 29/12/2014, à 23:38

Re : Configuration d'iptables

#203 Le 29/12/2014, à 23:46

Re : Configuration d'iptables

#204 Le 29/12/2014, à 23:52

Re : Configuration d'iptables

#205 Le 29/12/2014, à 23:52

Re : Configuration d'iptables

#206 Le 29/12/2014, à 23:52

Re : Configuration d'iptables

#207 Le 29/12/2014, à 23:55

Re : Configuration d'iptables

#208 Le 30/12/2014, à 00:01

Re : Configuration d'iptables

#209 Le 30/12/2014, à 00:01

Re : Configuration d'iptables

#210 Le 30/12/2014, à 00:03

Re : Configuration d'iptables

#211 Le 30/12/2014, à 00:19

Re : Configuration d'iptables

#212 Le 30/12/2014, à 00:30

Re : Configuration d'iptables

#213 Le 30/12/2014, à 00:54

Re : Configuration d'iptables

#214 Le 30/12/2014, à 00:58

Re : Configuration d'iptables

#215 Le 30/12/2014, à 01:00

Re : Configuration d'iptables

#216 Le 30/12/2014, à 01:02

Re : Configuration d'iptables

#217 Le 30/12/2014, à 01:04

Re : Configuration d'iptables

#218 Le 30/12/2014, à 01:06

Re : Configuration d'iptables

#219 Le 30/12/2014, à 01:09

Re : Configuration d'iptables

#220 Le 30/12/2014, à 01:11

Re : Configuration d'iptables

#221 Le 30/12/2014, à 01:17

Re : Configuration d'iptables

#222 Le 30/12/2014, à 01:18

Re : Configuration d'iptables

#223 Le 30/12/2014, à 01:30

Re : Configuration d'iptables

#224 Le 30/12/2014, à 01:31

Re : Configuration d'iptables

#225 Le 30/12/2014, à 01:37

Re : Configuration d'iptables

Pied de page des forums