#1 Le 17/03/2014, à 19:04
- compte supprimé
[résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Bonjour,
pour ne pas tout lire, la solution est donnée ici : http://forum.ubuntu-fr.org/viewtopic.ph … #p16328731
je cherche comment automatiser cette ligne de commande svp :
# echo 0 > /proc/sys/net/netfilter/nf_conntrack_helper
Je la tape dans un terminal (un terminal en root) à la main, ça marche très bien. Mais une fois que je redémarre la machine, cette règle est oubliée par Ubuntu 12.04 et je dois la retaper à la main chaque démarrage de la distrib. Merci si vous avez des infos, et bonne soirée aussi
Dernière modification par -pascal34- (Le 18/03/2014, à 12:20)
#2 Le 17/03/2014, à 19:50
- Shamayo
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Tu peux regarder autour de crontab, cela permet d'automatiser des tâches (et il est possible de les automatiser à chaque démarrage).
Un problème réseau ? --> traceroute localhost
Hors ligne
#3 Le 17/03/2014, à 20:02
- compte supprimé
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Merci Shamayo, j'ai jeté un œil mais n'ai trouvé nulle part comment automatiser la commande de mon premier message avec crontab. Il va falloir que j'attende des indications plus précises, en tous cas merci, cela m'aura permis de mettre de côté crontab, (car il est trop complexe pour moi). Merci Shamayo..
#4 Le 17/03/2014, à 20:42
- Shamayo
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Pour utiliser crontab, il faut exécuter la commande
sudo crontab -e
Cela permet d'ouvrir le fichier crontab. Il ne faut pas éditer directement le fichier car il y a une vérification lorsque tu enregistre.
Ensuite, tu rajoutes une ligne :
@reboot echo 0 > /proc/sys/net/netfilter/nf_conntrack_helper
Cela permet d'automatiser la commande a chaque démarrage.
Une fois que tu enregistre et quitte l'éditeur, tu devrais voir une ligne qui t'indique que le changement s'est bien effectué :
crontab: installing new crontab
Dernière modification par Shamayo (Le 17/03/2014, à 20:42)
Un problème réseau ? --> traceroute localhost
Hors ligne
#5 Le 17/03/2014, à 21:44
- tiramiseb
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Houla non non non, ne t'emmerde pas à faire comme ça.
Les valeurs (au démarrage) des pseudo-fichiers dans /proc/sys sont à définir dans le fichier /etc/sysctl.conf. Il te suffit donc d'ajouter la ligne suivante dans ce fichier :
net.netfilter.nf_conntrack_helper = 0
Pour faire ça sans t'embêter avec un éditeur de texte, tu peux simplement exécuter cette commande :
echo "net.netfilter.nf_conntrack_helper = 0" | sudo tee -a /etc/sysctl.conf
Dernière modification par tiramiseb (Le 17/03/2014, à 21:44)
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#6 Le 17/03/2014, à 21:54
- compte supprimé
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Merci Shamayo pour le mode d'emploi, j'ai pu faire la modification de contrab.
Mais cela ne fonctionne pas, j'ai ajouté la règle à contrab comme tu me l'as expliqué mais cela ne fonctionne pas. Quand ma machine démarre et que je vais voir dans :
/proc/sys/net/netfilter/nf_conntrack_helper
La valeur par défaut est toujours de 1 (au lieu de 0 comme je lui demande).
Je t'explique ma méthode de procéder plus en détails :
Je tape : sudo crontab -e
Cela me demande de choisir un éditeur de texte si j'ai bien compris, alors j'ouvre le fichier contrab avec nano (du coup je reste dans le terminal où je suis en train de faire tout ça). Le contenu de contrab s'affiche (tout un tas de lignes précédées par le signe : #).
Alors je déplace mon curseur pour le placer juste en dessous de la dernière des lignes. Mais en dessous de la dernière des lignes, je n'ai pas le signe : # en début de ligne. Donc je le rajoute et ensuite je mets la ligne que tu mas donné (@reboot echo 0 > /proc/sys/net/netfilter/nf_conntrack_helper) juste derrière ce signe(#). J'enregistre les modifications avec nano, et je quitte le terminal. Je redémarre Ubuntu, mais rien ne se passe. Je ne sais pas où je me suis trompé, merci Shamayo.
#7 Le 17/03/2014, à 21:55
- compte supprimé
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Houla non non non, ne t'emmerde pas à faire comme ça.
Les valeurs (au démarrage) des pseudo-fichiers dans /proc/sys sont à définir dans le fichier /etc/sysctl.conf. Il te suffit donc d'ajouter la ligne suivante dans ce fichier :
net.netfilter.nf_conntrack_helper = 0
Pour faire ça sans t'embêter avec un éditeur de texte, tu peux simplement exécuter cette commande :
echo "net.netfilter.nf_conntrack_helper = 0" | sudo tee -a /etc/sysctl.conf
Merci beaucoup Tiramiseb, je fais cela tout de suite. Je reviens dire dans 5 minutes si j'ai réussi !
#8 Le 17/03/2014, à 22:07
- tiramiseb
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Sinon, concernant ton problème avec crontab (méthode que je te déconseille d'utiliser), il est là :
« je mets la ligne [...] juste derrière ce signe(#) »
Le croisillon (#) sert à mettre des commentaires. Si tu as entré la ligne derrière un croisillon, alors tu n'as rien ajouté d'actif au fichier, tu as juste ajouté un commentaire. Sans le croisillon, ça marcherait. Mais ce serait con de faire comme ça alors qu'il y a sysctl.conf.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#9 Le 17/03/2014, à 22:11
- compte supprimé
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Ok Tiramiseb merci je vais essayer sans le croisillon mais avec crontab car la méthode que tu m'as donné est aussi en échec, cela n'a pas fonctionné au démarrage de mon pc (à l'instant).
Donc ceci n'a pas fonctionné :
echo "net.netfilter.nf_conntrack_helper = 0" | sudo tee -a /etc/sysctl.conf
Dernière modification par -pascal34- (Le 17/03/2014, à 22:11)
#10 Le 17/03/2014, à 22:16
- tiramiseb
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
cela n'a pas fonctionné au démarrage de mon pc (à l'instant).
Comment l'as-tu testé ?
Es-tu sûr que le contenu du fichier est bon ?
Que donne la commande suivante ?
cat /etc/sysctl.conf
je vais essayer [...] avec crontab
Donc plutôt que d'utiliser la bonne technique, tu préfères bricoler ? À toi de voir.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#11 Le 17/03/2014, à 22:23
- compte supprimé
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Merci Tiramiseb de ton aide. Pour tester, au reboot de ma machine je vais dans ce dossier :
/proc/sys/net/netfilter/nf_conntrack_helper
Et je regarde quelle est la valeur du fichier appelé :
nf_conntrack_helper
valeur qui se trouve dans ce même dossier donc (mais peut-être que là à la base je m'y prends mal pour vérifier si le fichier àffiche la valeur que je lui demande au démarrage de ma machine ?).
Avec la méthode de crontab ou la méthode de modification du fichier sysctl.conf, la valeur indiquée est toujours la suivante ----> 1
Mais moi je veux qu'au démarrage de ma machine ce soit la valeur ---> 0
Et je n'obtiens ce changement qu'en le faisant "à la main" en retrant dans un terminal cette commande (mais que quand ma machine est déjà démarrée ! ) :
# echo 0 > /proc/sys/net/netfilter/nf_conntrack_helper
En gros avec ces deux méthodes je n'arrive pas à faire ce que je fais à la main en rentrant ça dans un terminal une fois ma machine allumée :
# echo 0 > /proc/sys/net/netfilter/nf_conntrack_helper
Dernière modification par -pascal34- (Le 17/03/2014, à 22:52)
#12 Le 17/03/2014, à 22:28
- compte supprimé
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
La commande cat que tu m'as demandé me donne mon fichier sysctl.conf avec une ligne supplémentaire à la fin qui est celle-ci :
#
net.netfilter.nf_conntrack_helper = 0
Encore merci.
#13 Le 17/03/2014, à 22:42
- compte supprimé
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Bon on peut clore si vous voulez. Je tape ma commande à la main et ça ira très bien, bonne nuit les corbeaux.
Dernière modification par -pascal34- (Le 17/03/2014, à 22:48)
#14 Le 17/03/2014, à 23:01
- tiramiseb
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Désolé, là je ne vois pas pourquoi ça ne fonctionne pas, je n'ai pas vraiment d'idée...
Cela dit, je ne comprends pas pourquoi tu veux désactiver les "connection tracking helpers"...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#15 Le 17/03/2014, à 23:07
- compte supprimé
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Tiramiseb merci ! Je crois que je viens de trouver quel est le fichier que je dois modifier, car le fichier que je viens de trouver contient les règles décommentées que j'ai déjà transformées et qui s'appliquent maintenant au démarrage de ma machine, je reviens tout de suite !
Dernière modification par -pascal34- (Le 17/03/2014, à 23:07)
#16 Le 17/03/2014, à 23:29
- compte supprimé
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Alors non je n'ai pas trouvé non plus. Je suis allé dans le dossier :
/etc/sysctl.d/
J'ai trouvé 6 ou 8 fichiers là dedans qui s'ouvrent avec GEDIT.
Et j'y ai vu une modification de réglage (décommentée dans un de ces fichiers) que j'avais fait depuis longtemps. Pour être plus précis, j'ai fait ceci il y a longtemps :
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
Et cette modification se met d'office à chaque démarrage, et pourtant elle n'est pas dans le fichier appelé :
sysctl.conf
Mais ce serait apparemment normal car le dossier /etc/sysctl.d/ est l'équivalent du fichier : sysctl.conf
Mais là où je bute comme toi, c'est que cette commande ajoutée dans sysctl.conf n'est pas appliquée au démarrage ? (cette commande suivante) :
# echo 0 > /proc/sys/net/netfilter/nf_conntrack_helper
Et ce, même si je la décommente (en fait si je l'applique selon tes conseils Tiramiseb ou si j'applique la méthode de Shamaya.)
J'ai du faire un réglage une fois qui empêche Ubuntu de lire le fichier sysctl.conf, non ???
#17 Le 18/03/2014, à 00:20
- compte supprimé
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Bon, j'ai essayé de changer un autre réglage mais ça n'a pas fonctionné non plus. Je suis allé dans le dossier suivant :
/sys/module/nf_conntrack/parameters/
Dans ce dossier il y a un fichier appelé :
nf_conntrack_helper
Et il a la valeur ---> Y Je lui ai donc mis la valeur ---> N
Ça a marché avec Nano seulement, pas avec Gedit (même en mode root), mais au redémarrage de la machine, pioups ! Le réglage redevient Y !
Je n'y comprends pas grand chose à vrai dire. Mais je vous donne l'article qui en parle et qui figure dans Misc64, il y disent (désolé de la citation un peu longue mais c'est vraiment ici au service de mon problème, et je ne fais pas cette longue citation dans le but de pirater la revue Misc dont je parle, j'espère qu'ils comprendront.), donc ils y disent :
2.2.2 Activation manuelle des helpers
Depuis le noyau 3.5, il est possible de désactiver l’assignation de tous les flux d’un port à un helper par défaut. L’assignation des flux à un helper doit alors être faite de manière manuelle grâce à la cible CT. Ce nouveau comportement peut être obtenu en chargeant le module nf_conntrack avec un paramètre :
modprobe nf_conntrack nf_conntrack_helper=0
ou aussi pour un système déjà initialisé en utilisant une entrée dans /proc :
echo 0 > /proc/sys/net/netfilter/nf_conntrack_helper
Attention toutefois, dans ce dernier cas, les connexions déjà établies conservent le comportement précédent.
Merci à vous de votre aide, à bientôt.
Dernière modification par -pascal34- (Le 18/03/2014, à 00:26)
#18 Le 18/03/2014, à 09:24
- tiramiseb
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
le dossier /etc/sysctl.d/ est l'équivalent du fichier : sysctl.conf
Oui, tu peux mettre les lignes de configuration dans l'un ou l'autre, c'est pareil.
Mais là où je bute comme toi, c'est que cette commande ajoutée dans sysctl.conf n'est pas appliquée au démarrage ? (cette commande suivante) :
# echo 0 > /proc/sys/net/netfilter/nf_conntrack_helper
Ce n'est pas une commande qu'il faut mettre dans ces fichiers, c'est une configuration dans le format que j'ai donné plus haut.
J'ai du faire un réglage une fois qui empêche Ubuntu de lire le fichier sysctl.conf, non ???
Je n'ai connaissance d'aucun réglage de ce genre.
Dans [le dossier /sys/module/nf_conntrack/parameters/] [...] au redémarrage de la machine, pioups ! Le réglage redevient Y !
Oui, /proc et /sys c'est pour manipuler le noyau en fonctionnement, ça ne définit pas des configurations qui restent au redémarrage. Pour les configurations au démarrage, il faut utiliser les fichiers de configuration. Pour /proc/sys, le fichier de configuration est sysctl.conf, comme je te l'ai indiqué.
----------
As-tu configuré ton système de sorte que le module nf_conntrack se charge directement au démarrage ? Si oui, comment l'as-tu fait ? Sinon, utilises-tu la commande modprobe ?
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#19 Le 18/03/2014, à 10:30
- compte supprimé
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Merci Tiramiseb. J'ai lu toute ta dernière réponse, et je cherche d'autres voies. Par exemple dans le dossier :
/etc/sysctl.d/
J'ai un fichier qui s'appelle :
10-network-security.conf
Ce fichier contient des règles à appliquer à chaque démarrage de ma machine. Et les règles qui y sont inscritent et qui fonctionnement surtout à chque démarrage, sont donc bien "décommentées". Mais donc, comme dit au dessus ce fichier a un nom bien spécifique, il s'appelle :
10-network-security.conf
Et j'aimerai savoir si l'on sait comment faudrait-il appeler un fichier (à l’intérieur du dossier /etc/sysctl.d/) pour qu'il fonctionne avec en son intérieur de cette commande :
net.netfilter.nf_conntrack_helper = 0
#20 Le 18/03/2014, à 10:48
- tiramiseb
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Et j'aimerai savoir si l'on sait comment faudrait-il appeler un fichier (à l’intérieur du dossier /etc/sysctl.d/) pour qu'il fonctionne avec en son intérieur de cette commande
Le fichier peut porter n'importe quel nom, tant qu'il termine par ".conf". Tous les fichiers "xxx.conf" de ce répertoire sont chargés au démarrage.
C'est strictement l'équivalent à ce que tu mets dans /etc/sysctl.conf.
Si ça n'a pas marché avec /etc/sysctl.conf, ça ne marchera pas dans le dossier /etc/sysctl.d/.
Peux-tu s'il-te-plaît répondre à mes questions ?
As-tu configuré ton système de sorte que le module nf_conntrack se charge directement au démarrage ? Si oui, comment l'as-tu fait ? Sinon, utilises-tu la commande modprobe ?
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#21 Le 18/03/2014, à 11:00
- compte supprimé
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Oui je peux répondre à toutes ces questions, merci à toi de les poser surtout.
Je ne sais pas si j'ai configuré le module nf_conntrack pour qu'ils se charge au démarrage, cela ne me dit rien du tout.
J'ai utilisé la commande mdoprob (comme indiquée dans Misc) et j'ai tapé (quand ma machine est déjà démarrée) :
modprobe nf_conntrack nf_conntrack_helper=0
Voilou !
Dernière modification par -pascal34- (Le 18/03/2014, à 11:00)
#22 Le 18/03/2014, à 11:20
- tiramiseb
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Bon, on va reprendre les bases parce que j'ai l'impression que tu ne comprends pas vraiment ce que tu fais.
=> /proc/sys, c'est un "point d'accès" vers la configuration des différents modules du noyau chargés à un instant T. Ça permet de changer le paramétrage des modules sans avoir à les décharger/recharger
=> /etc/sysctl.conf, c'est un fichier chargé au démarrage de l'ordinateur, il affecte les valeurs qu'on lui donne dans les différentes entrées de /proc/sys, dans la limite des paramètres présents dans /proc/sys au démarrage
=> nf_conntrack est un module du noyau dont l'objectif est de gérer le suivi de connexions au niveau du routage/filtrage réseau ("connection tracking")
=> /proc/sys/net/netfilter/nf_conntrack_helper est un des paramètres du module nf_conntrack, il n'apparaît donc que quand nf_conntrack est chargé
=> /proc/sys/net/netfilter/nf_conntrack_helper permet d'activer ou désactiver les "connection tracking helpers"
=> si nf_conntrack n'est pas chargé au démarrage, alors /proc/sys/net/netfilter/nf_conntrack_helper n'existe pas au démarrage et donc sysctl ne peut pas lui assigner quelque valeur que ce soit
=> de plus, si on donne un paramètre en argument de la commande modprobe, celui-ci est donné au chargement du module et l'utilisation de /proc/sys n'est pas nécessaire
Par conséquent :
- si le module se charge automatiquement au début du démarrage (ce qui n'est a priori pas le cas pour nf_conntrack, sauf configurations particulières), alors il faut modifier /etc/sysctl.conf ou un fichier dans /etc/sysctl.d/
- si tu charges le module à la main avec « modprobe nf_conntrack » (sans oublier le "sudo" si nécessaire), alors tu peux modifier la valeur de /proc/sys/net/netfilter/nf_conntrack_helper a posteriori comme tu sais le faire
- si tu charges le module à la main avec « modprobe nf_conntrack nf_conntrack_helper=0 », alors la valeur de /proc/sys/net/netfilter/nf_conntrack_helper est déjà 0 car tu l'as donnée au chargement du module
- si tu veux que le module se charge lors du démarrage, il faut mettre les arguments de "modprobe" dans le fichier /etc/modules, tu y mettrais donc « nf_conntrack nf_conntrack_helper=0 »
Cela étant dit, il y a toujours un truc que je ne comprends pas : pourquoi veux-tu désactiver les "connection tracking helpers" ?
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#23 Le 18/03/2014, à 12:18
- compte supprimé
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Bon, on va reprendre les bases parce que j'ai l'impression que tu ne comprends pas vraiment ce que tu fais.
=> /proc/sys, c'est un "point d'accès" vers la configuration des différents modules du noyau chargés à un instant T. Ça permet de changer le paramétrage des modules sans avoir à les décharger/recharger
=> /etc/sysctl.conf, c'est un fichier chargé au démarrage de l'ordinateur, il affecte les valeurs qu'on lui donne dans les différentes entrées de /proc/sys, dans la limite des paramètres présents dans /proc/sys au démarrage
=> nf_conntrack est un module du noyau dont l'objectif est de gérer le suivi de connexions au niveau du routage/filtrage réseau ("connection tracking")
=> /proc/sys/net/netfilter/nf_conntrack_helper est un des paramètres du module nf_conntrack, il n'apparaît donc que quand nf_conntrack est chargé
=> /proc/sys/net/netfilter/nf_conntrack_helper permet d'activer ou désactiver les "connection tracking helpers"
=> si nf_conntrack n'est pas chargé au démarrage, alors /proc/sys/net/netfilter/nf_conntrack_helper n'existe pas au démarrage et donc sysctl ne peut pas lui assigner quelque valeur que ce soit
=> de plus, si on donne un paramètre en argument de la commande modprobe, celui-ci est donné au chargement du module et l'utilisation de /proc/sys n'est pas nécessairePar conséquent :
- si le module se charge automatiquement au début du démarrage (ce qui n'est a priori pas le cas pour nf_conntrack, sauf configurations particulières), alors il faut modifier /etc/sysctl.conf ou un fichier dans /etc/sysctl.d/
- si tu charges le module à la main avec « modprobe nf_conntrack » (sans oublier le "sudo" si nécessaire), alors tu peux modifier la valeur de /proc/sys/net/netfilter/nf_conntrack_helper a posteriori comme tu sais le faire
- si tu charges le module à la main avec « modprobe nf_conntrack nf_conntrack_helper=0 », alors la valeur de /proc/sys/net/netfilter/nf_conntrack_helper est déjà 0 car tu l'as donnée au chargement du module
- si tu veux que le module se charge lors du démarrage, il faut mettre les arguments de "modprobe" dans le fichier /etc/modules, tu y mettrais donc « nf_conntrack nf_conntrack_helper=0 »Cela étant dit, il y a toujours un truc que je ne comprends pas : pourquoi veux-tu désactiver les "connection tracking helpers" ?
Désolé de reprendre ce message en entier, cela va alourdir la page certainement, mais cela me fera une sorte de "sauvegarde" si jamais tu édites ton message et que le forum cafouille et l'efface complètement, je le sauvegarde car il m'aide et qu'il y a beaucoup de données intéressantes dedans.
Je suis désolé de ne pas te dire depuis le début pourquoi je veux faire cela, cela me regarde bien évidement, et je suis le seul à décider de dévoiler pourquoi ou pas. (Mais beaucoup d'autres membres font comme moi, si c'est personnel, c'est personnel, je ne cherche pas à aller plus en avant si je vois que la personne ne veut rien dire, et si mon aide ne présente rien dans dangereux, je vais aider cette personne à appliquer ses réglages sans savoir pourquoi, cela fait partie de sa liberté de vouloir le faire sans se justifier, aucun soucis là dessus ).
Je me retrouve juste bête parce que je ne sais pas pourquoi là personne voulait faire cela, mais si elle n'a pas voulu le dire, je comprends aussi que c'est son droit, et je l'accepte ! Et je continuerai de l'aider si j'en suis capable, et ce même sur d'autres problèmes, tout au long de l'année, voilou ! (Mais cela dit je te dis ça maintenant mais je vais te dire plus loin pourquoi je voulais court-circuiter les Helpers Tiramiseb).
Je trouve déjà bien solides tes connaissances du système d'exploitation Ubuntu, j'ai effectivement ajouté la ligne : nf_conntrack nf_conntrack_helper=0 dans /etc/modules et au démarrage de ma machine, le réglage des helpers est enfin sur 0 au lieu de 1 ! Génial pour moi, tes explications m'ont aidé, mais surtout ta patience liée à ton écoute lol, combien de fois je n'ai pas su aider les gens parce que je ne les écoutai pas, je ne le compte plus, donc merci de ne pas avoir reproduit le schéma que j'ai fait avec plein d'autres personnes.
Donc voilà en gros pourquoi je voulais faire cela :
Dans le Misc numéro 64 consacré en partie à Netfilter et Iptables, à conntrack et d'autres choses encore, ils disent que l'activation des Helpers peut présenter des dangers de sécurité (comme l’utilisation d'un Helper avec un logiciel pour IRC par exemple), mais comme j'annule la mise en place des Helpers dès le démarrage d'Ubuntu et que je ne sais pas quels sont les logiciels exacts qui s'en servent, pour moi je comble une faille de sécurité potentielle liée aux Helpers !
C'est tout... Je reste là si tu as d'autres questions, mais le danger d'activation des Helpers est "étalé sur beaucoup de pages du magazine Misc numéro 64 et là, décemment, je ne peux pas copier-coller les intégralités des articles qui en parlent, et ça m’ennuie car tu aurais peut-être encore mieux compris pourquoi je fais cela (ceci dit, tu es sûrement au courant de tout cela vu tes connaissances du système d'exploitation Ubutnu, et tu vois que finalement je ne cours pas de réel danger ? Mais ça il n'y a que toi qui pourra le voir, moi je ne suis que débutant dans tout ceci, et donc peut-être j'ai exagéré avec cette règle de sécurité).
Mais je te remercie beaucoup pour ton aide, ta solution fonctionne très bien maintenant, je change le titre de la discussion et la passe en résolue.
Dernière modification par -pascal34- (Le 18/03/2014, à 12:27)
#24 Le 18/03/2014, à 12:38
- tiramiseb
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
donc peut-être j'ai exagéré avec cette règle de sécurité
Oui
Les helpers, ça sert juste à faire fonctionner des protocoles inhabituels à travers un pare-feu sous Linux. Ces protocoles, ce sont des protocoles qui peuvent communiquer sur différents ports : avec eux, ce n'est pas parce qu'un port est ouvert que la communication fonctionne.
Plus concrètement, prenons l'exemple du FTP. Le FTP utilise deux ports : le 21 (pour les commandes) et le 20 (pour les données).
Imaginons que tu aies un pare-feu de réseau sous Linux et que tu y autorises le port 21 (initialisation de la connexion FTP) mais pas explicitement le port 20.
- avec le helper, lorsque la connexion au port 20 se fera (transfert de données), le pare-feu se rendra compte que c'est lié à une connexion en cours sur le port 21 correspondant et il autorisera le transfert.
- sans le helper, la connexion au port 20 sera refusée et tu ne pourras pas transférer de données car le pare-feu n'aura pas compris que ces deux connexions sont liées.
Avec IRC, c'est pour les transfert DCC (direct client-to-client) que ça entre en jeu : pour communiquer dans les "chat-room" tu te connectes au serveur IRC par le port 6667 ; pour les transferts entre clients, tu te connectes directement au client correspondant, à travers un port aléatoire. Si tu actives le helper irc, le pare-feu comprendra que c'est lié et autorisera le transfert.
Mais dans tous les cas, si la connexion d'origine n'est pas autorisée (port FTP 21 par exemple, ou port 6667 IRC), alors cela n'a aucun impact.
Pour ma part, je n'estime pas que c'est une faille de sécurité.
Je n'ai pas le MISC 64 sous les yeux, il est dans un carton au fond de mon garage, alors je ne peux pas donner mon avis par rapport à la façon dont l'article est tourné.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#25 Le 18/03/2014, à 13:17
- compte supprimé
Re : [résolu] Interdire les Helpers dans conntrack avec Ubuntu svp ?
Merci Tiramiseb. C'est vrai que les articles parlant des Helpers sont étalés dans le numéro 64 donc difficile d'en expliquer ici tous les dangers sans reprendre chaque article. Néanmoins, il disent ceci en gros :
L’étude des helpers et l’attaque par spoofing obligent à une mise à niveau des protections. Aussi, les recommandations de protection pour Netfilter ont été mises à jour dans le document « Secure use of iptables and connection tracking helpers » [SECUSE] qui décrit des méthodes de limitations de l’impact des helpers. Celles-ci se résument à deux grandes lignes : suppression de l’association automatique des helpers à un port (et donc activation manuelle de l’association entre flux et helper) et anti- spoofing strict.
Donc si j'ai bien compris tes explications et tout ce que j'ai lu dans le Misc 64, il vaut mieux faire manuellement l'association entre un flux et un helper, et avoir une politique anti-spoofing stricte. (elle est décrite aussi cette politique anti-spoofing dans misc 64 mais là je n'ai pas eu de difficulté à la mettre en place depuis que le membre "Wholes" ici même m'a expliqué comment utiliser Iptables correctement.) Comme quoi il faudra toujours l'aide des autres pour avancer dans un endroit que l'on ne connaît pas.