Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Interpréter un paquet INVALID via iptables svp ?

Philippeditlegros

Bonjour !

Je fais cette commande dans un terminal :

# iptables -L -v -n

Le -v correspond à verbose et -n à numeric (taper dans un terminal "man iptables" pour plus de renseignements). Ces deux arguments complètent le traditionnel :

# iptables -L

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    1    40 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID

J'obtiens alors des colonnes supplémentaires et des résultats supplémentaires(voir lignes du terminal au dessus), un résultat m'indique un paquets de 40 bytes Dropé car INVALID sur la chaîne INPUT.

J'aimerai savoir d'où vient ce paquet INVALID, mais je ne sais pas où regarder pour cela, merci de votre aide !

Pator75

Tu as vu l'origine et la destination?

0.0.0.0/0

Philippeditlegros

Pator75 a écritTu as vu l'origine et la destination?

0.0.0.0/0

Je ne sais pas où voir ça merci Pator75 !

Pator75

Ça veut dire à peu près (au moins chez Windows) "tous ceux que ça intéresse" vers "tous ceux que ça intéresse", donc connexion inexistante, hoquet de 40 bytes d'Iptables.

Philippeditlegros

Pator75 a écritÇa veut dire à peu près "tous ceux que ça intéresse" vers "tous ceux que ça intéresse", donc connexion inexistante, hoquet de 40 bytes d'Iptables.

Ma règle iptables pour les paquets INVALID dans la chaîne INPUT est celle-ci :

iptables -A INPUT -m state --state INVALID -j DROP

Est-ce qu'elle est en place pour filtrer absolument toutes les adresse ip svp ?

Pator75

Philippeditlegros a écrit
Pator75 a écritÇa veut dire à peu près "tous ceux que ça intéresse" vers "tous ceux que ça intéresse", donc connexion inexistante, hoquet de 40 bytes d'Iptables.
Ma règle iptables pour les paquets INVALID dans la chaîne INPUT est celle-ci :
iptables -A INPUT -m state --state INVALID -j DROP
Est-ce qu'elle est en place pour filtrer absolument toutes les adresse ip svp ?

INVALID? faut préciser, au niveau flag? direction? fragmentation? je ne peux pas te dire, c'est le bazar avec Iptables, laisse tomber ce truc, prends Gufw et tu pourras respirer sans inconfort.

Philippeditlegros

Pator75 a écrit
Philippeditlegros a écrit
Pator75 a écritÇa veut dire à peu près "tous ceux que ça intéresse" vers "tous ceux que ça intéresse", donc connexion inexistante, hoquet de 40 bytes d'Iptables.
Ma règle iptables pour les paquets INVALID dans la chaîne INPUT est celle-ci :
iptables -A INPUT -m state --state INVALID -j DROP
Est-ce qu'elle est en place pour filtrer absolument toutes les adresse ip svp ?
INVALID? faut préciser, au niveau flag? direction? fragmentation? je ne peux pas te dire, c'est le bazar avec Iptables, laisse tomber ce truc, prends Gufw et tu pourras respirer sans inconfort.

Non je ne parlais pas de cela, je me suis mal exprimé Pator. Je reprends (désolé, j'ai du mal).

Au message #2 au dessus tu me dis ceci :

Pator75 a écritTu as vu l'origine et la destination?

0.0.0.0/0

Je n'ai pas compris pourquoi tu disais cela stp ?

Merci Pator75...

Pator75

"Je n'ai pas compris pourquoi tu disais cela stp ?
Merci Pator75..."

Parce que "rien" vers "rien" ça ne fait pas grand chose.

Philippeditlegros

Ho je viens de comprendre Pator75, tu as mal interprété mon premier message, j'ai enlevé l'argument -n (qui passent tout en "numéric" selon le man). Et voici ce que j'aurai du mettre pour ne pas t'induire en erreur, je m'excuse, ça a dû gêner peut-être d'autres personnes, désolé.

Voilà, je reprends, après ceci dans un terminal :

# iptables -L -v

J'obtiens cela :

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    1    40 DROP       all  --  any     any      anywhere             anywhere             state INVALID

Je repose ma question du premier message :

J'aimerai savoir d'où vient ce paquet INVALID, mais je ne sais pas où regarder pour cela, merci de votre aide !

Pator75, je pense que tu as compris ce que traduit l'argument -n par 0.0.0.0/0, cela veut dire en fait anywhere sans la traduction numérique. Je ne le savais pas aujourd'hui, merci de ton intervention, je l'ai appris.

Pator75

"Je repose ma question du premier message :
J'aimerai savoir d'où vient ce paquet INVALID, mais je ne sais pas où regarder pour cela, merci de votre aide !"

Il est probablement INVALID car n'existant pas, on ne peut pas faire mieux en matière de handicap, en plus on lui ferme la porte, dur!

Philippeditlegros

~~mon message est débile~~

Pator75

Le masque est tombé... sympa ce petit forum.

Philippeditlegros

~~mon message est débile~~

tiramiseb

Salut,

Philippeditlegros, je pense surtout que Pator75 essaye de t'aider, quoi que tu en penses. Il est approximatif dans son explication, ok, ce n'est pas une raison pour lui répondre comme ça.
Je trouve ta manière de rembarrer Pator75 assez "dure".

Pator75, attention, 0.0.0.0/0 ce n'est pas « rien », c'est « tout ». Ton explication en #4 est juste mais peut-être un peu courte, surtout que ton évocation de « rien » induit un peu en erreur.

Bon, revenons à nos moutons.

Un paquet "invalid" est un paquet qui ne correspond à aucune connexion. En gros, ce n'est ni un paquet de début de connexion, ni un paquet concernant une connexion en cours. Ça peut par exemple être un paquet qui essaie de se faire passer pour une connexion en cours. Un "hoquet" du réseau peut-être.
C'est à peu près ce qu'explique Pator75 en #4.

Dans la mesure où la destination de cette règle iptables est "DROP" (sans "LOG"), tu n'auras aucune info sur ce paquet : iptables l'a laissé tomber, c'est tout.
Pour en savoir plus, il faut pouvoir le réintercepter (donc le redéclencher...) après avoir ajouté une règle "LOG" - voire en laissant tourner un sniffer comme tcpdump. Tu auras alors plus d'infos. Mais sur un paquet déjà passé et déjà jeté, tu n'auras aucune info nulle part.

Est-ce qu'elle est en place pour filtrer absolument toutes les adresse ip svp ?

Oui. 0.0.0.0 vers 0.0.0.0, c'est « tout vers tout », enfin en langage humain ça voudrait dire « n'importe qui vers n'importe qui ».

Philippeditlegros

Oui tu as sûrement raison Tiramiseb. Je dois me tromper.

Tu donnes plusieurs pistes que je ne connais pas Tiramiseb. Tcpdump m'est inconnu, et les règles iptables qui auraient pu me produire un LOG aussi. Comment puis-je demander à Iptables de mettre des LOG svp ? Plus particulièrement, quelle serait la ligne de commande pour la chaîne INPUT et puis celles pour les autres chaînes svp ?

Vu de plus loin je dirais qu'elles devraient se ressembler malgré les chaînes, mais enfin, là seule chose que je sais c'est que je dois placer la règle demandant les LOG à la fin de chaque chaîne INPUT, FORWARD, OUTPUT de la table Filtrer, donc à la fin de mes règles sur chaque chaîne, le rest em'est inconnu, merci...

Pator75

Tira, tu te trompes sur notre ami.

tiramiseb

Comment puis-je demander à Iptables de mettre des LOG svp ?

Tu mets la destination "LOG" ( « [...] -j LOG » ).

Plus particulièrement, quelle serait la ligne de commande pour la chaîne INPUT et puis celles pour les autres chaînes svp ?

Cela dépend des cas. Il peut y avoir plein d'approches différentes. À toi de définir ce que tu veux logger et de quelle manière.

De toute façon Pator75 a raison et je te donne le même conseil que lui : arrête d'utiliser directement iptables, on n'est plus au XXe siècle.
Aujourd'hui il y a des surcouches bien plus faciles à utiliser, à commencer par UFW (que je conseille sur des serveurs "standalone") et Shorewall (que je conseille pour des pare-feux de réseau).

là seule chose que je sais c'est que je dois placer la règle demandant les LOG à la fin de chaque chaîne [...]

Si tu mets une règle LOG après une règle DROP, elle sera ignorée pour les paquets droppés vu qu'ils sortiront de la chaîne à ce moment-là.

iptables est assez complexe dans son fonctionnement.
Soit tu veux configurer un pare-feu pour l'utiliser, auquel cas je te conseille de passer sur UFW ou Shorewall.
Soit tu veux apprendre le fonctionnement d'iptables pour devenir "expert" sur le sujet, auquel cas je te conseille d'acheter un bon bouquin, genre 500 pages qui ne parlent que d'iptables... ça se trouve dans toutes les bonnes crémeries (Eyrolles, O'Reilly...)

tiramiseb

Pator75 a écritTira, tu te trompes sur notre ami.

Je ne comprends pas ta remarque.

Philippeditlegros

Merci pour les conseils. J'étais tombé sur cette page il y a peu, je me "calcais" un peu dessus :

https://www.linuxmint-fr.org/forum/internet/171582-regle-pare-feu#171817

Je n'ai pas compris sa demande de LOG à la fin de INPUT, aurait-elle pu celle-ci m'aider à voir ce paquet INVALID dans un LOG d'iptables ? Je reprends ci après les deux dernières lignes qui concernent les LOG qu'il demande à iptables :

-A INPUT -f -j LOG --log-prefix "[#1 iptables fragments : ]"
-A INPUT -f -j DROP

Donc tu me dis au dessus ceci :

Si tu mets une règle LOG après une règle DROP, elle sera ignorée pour les paquets droppés vu qu'ils sortiront de la chaîne à ce moment-là.

Apparemment lui n'est pas tombé dans ce piège c'est ça ?

tiramiseb

Voilà, "lui n'est pas tombé dans ce piège", car il a mis LOG avant DROP.

Menfin franchement, je comprends pas pourquoi tu te prends autant la tête...

... quand tu prends ta voiture, tu vas la démarrer avec une manivelle, avec le capot ouvert ?

Page suivante »