Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Configuration d'iptables

robindesbois

tiramiseb a écrit Et tu as lu ça dans l'article de MISC ? Ça m'étonne.

C'est ce que j'essaie de vous faire passer depuis quelques messages maintenant, donc oui, c'est expliqué et documenté parfaitement de cette façon là dans l'article de Misc, je ne comprends pas pourquoi ça vous étonne, toutes les réfs que je donne sur la table raw et la fonctionnalité anti-spoofing sont là dans l'article de MISC. Salouti la room.

tiramiseb

C'est ce que j'essaie de vous faire passer depuis quelques messages maintenant [...] toutes les réfs que je donne sur la table raw [...]

Je ne parle pas des infos sur la table raw elle-même. Je parle de ton affirmation comme quoi cette configuration de sysctl (la commande donnée par Ignus) ferait le contraire de ta règle. Car c'est bel et bien équivalent.

robindesbois

Il faut néanmoins préciser aux lecteurs que la table raw est positionnée avant les opérations de conntrack. De ce fait, comme on l'a vu au dessus, en passant son parefeu Iptables en véritable parefeu SPI via le module conntrack, la règle d'anit-spoofing sur la table raw étant placée avant conntrack dans la hiérachie d'Iptables, bloquera les attaques par spoofing. Elles auront donc un impact réduit au maximum. Comme les paquets peuvent(et passent) passer par la table filter (aussi, donc en plus des autres tables)) et que la table raw est positionnée avant filter, les paquets détectés comme spoofés sont donc stopés avant d'atteindre les table filter et les autres. Voilà pourquoi je parlais de la table filter, mais on peut inclure les autres tables aussi, car elles sont aussi concernées par cette nouvelle focntionnalité d'Iptables, en précisant que ce sera si lon fait de notre parefeu un parfeu SPI (donc en lançant conntrack dans nos règles de filtrage Iptables).

C'est un peu complexe et c'est un point qui peut perdre le lecteur néophite, j'essaie de l'expliquer le plus clairement possible, mais bon, il faut quand même quelques bases.

robindesbois

tiramiseb a écritCar c'est bel et bien équivalent.

Le contraire dans le sens où Ignus affirme que la commande qu 'il a donné et qui est l asuivante :

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Bloque les paquets (selon ses termes) "avant qu'ils passent nos rêgles de filtrage" , c'est faux, car c'est justement la nouvelle fonctionnalité de la table raw d'iptables associé à l'anti-spoofing et expliqué dans MISC, il faudrait vraiment que vous lisiez l'article, tout est expliqué, je viens de le dire juste au dessus.

Tiramiseb, tu l'as dans ton garage, dit moi :

"Ok je vais aller vérifier dès que je peux."

Et ensuite tu reveindras vers moi en me disant :

"Aa ben oui, c'était expliqué comme tu me l'a dit en fait, merci !"

Ce à quoi je répondrai :

Enfin 😉

[supprimé]

@ robindesbois
Tu me dis utiliser tor-bundle, quel proxy utilise t-il ? Il est sur ta machine ou ton navigateur se connecte à un proxy avant d'accéder au réseau TOR ? L'avantage de privoxy et outre le fait que j'ai évoqué (anonymise ta machine pour tor mais aussi pour le web «normal»), tu peux aussi lui dire de bloquer les publicités (tout comme squid au passage). Privoxy est puissant.

PS: un désaccord est toujours amical 😉

tiramiseb

robindesbois: et le blocage au niveau de sysctl (commande indiquée par Ignus) n'est-il pas positionné avant les règles de pare-feu ? Il fonctionne d'ailleurs sans même avoir besoin d'iptables, sans même avoir besoin de conntrack, sans tout ça...

tiramiseb

Tiramiseb, tu l'as dans ton garage, dit moi :

"Ok je vais aller vérifier dès que je peux."

Je pourrai vérifier dans peut-être 6 mois, ou 1 an ou 2 ans. Je ne vais pas aller déballer des cartons de bouquins et magazines avant d'avoir fait les travaux dans la bibliothèque, sachant qu'elle passera après la salle de bain, le bureau, etc.

[supprimé]

tiramiseb a écritrobindesbois: et le blocage au niveau de sysctl (commande indiquée par Ignus) n'est-il pas positionné avant les règles de pare-feu ? Il fonctionne d'ailleurs sans même avoir besoin d'iptables, sans même avoir besoin de conntrack, sans tout ça...

Oui 🙂

Édit:

Issu de la doc Debian :

 # Autres protections réseau
       echo 1 > /proc/sys/net/ipv4/tcp_syncookies
       echo 0 > /proc/sys/net/ipv4/ip_forward 
       echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 
       echo 1 > /proc/sys/net/ipv4/conf/all/log_martians 
       echo 1 > /proc/sys/net/ipv4/ip_always_defrag
       echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
       echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
       echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
       echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

robindesbois

Oui Tiramiseb, je lui ai d'aileurs dit que j'allais étudier cela au dessus, ça m'intéresse (je ne suis pas fermé dans les alternatives à ma façon de gérer mon parc, bien loin de là, et je suis encore moins fermé à la compréhension générale du mode de fonctionnement de Linux), et c'est pour cela que je disais dans un précédent message que j'allais avoir besoin de vous encore !

Merci Ignus pour le côté amical, c'est...amical... Mmmmh, pour le proxy de tor tu veux savoir quoi exactement dessus ? Je sais qu'il est paramétré sur 127.0.0.1 et sur un port défini dans les réglages du navigateur Firefox fourni avec le Tor-Bundle, c'est cela que tu veux savoir ?

robindesbois

Bon à demain... :- ))

robindesbois

tiramiseb a écrit
Je pourrai vérifier dans peut-être 6 mois, ou 1 an ou 2 ans. Je ne vais pas aller déballer des cartons de bouquins et magazines avant d'avoir fait les travaux dans la bibliothèque, sachant qu'elle passera après la salle de bain, le bureau, etc.

Oui aucun problème sur la durée, c'est pour ça que mes messages ne s'adressent pas qu'à toi, n'importe qui du forum possédant l'article peut le vérifier...

...tout de suite 😉

Ce qui fait que pour l'instant, sysctl ou pas (tu t'en doutes), tant que j'ai cette règle beaucoup plus efficace en anti-spoofing grâce à Iptables, (qui me sert aussi de parefeu SPI), ainsi que de filet de sécurité quand mon VPN tombe, je ne suis pas près d'abandonner Iptables, il est devenu simple à configurer pour moi aussi, autant que passionnant.

Donc on l'aura compris, il reste attractif surtout quand ces aspects dont je parle sont mis à la portée de tout le monde grâce aux articles de magazines spécialisé dans la sécurité informatique (Misc a beaucoup écrit dessus, même dans les numéro autres que 64).

Donc si quelqu'un se sent de vouloir vérifier, aucun soucis, ça t'aidera peut-être à mieux comprendre pourquoi aujourd'hui, Iptables est devenu un allié utile(grâce aux nouvelles avancées démontrées dans MISC), plutôt que la chose complètement inutile dont vous semblez être persuadé. Et comme grâce aux magazines comme MISC, on sera toujours au courant des avancées faites sur Iptables, on sera toujours très bien informés sur telle ou telle comète qui vient d'y être intégrée 😉

On y retrouve pour ma part :

_Véritable parfeu SPI enitèrement revu, amélioré et rendu plus robuste grâce à conntrack et une politique de suivi de connexion plus complexe et offrant bien plus d'options de suivi
_Filtre anti-spoofing avancé ajouté
_Filet de sécurité et routage des paquets TCP/IP en cas de VPN tombé

Accessoirement, accepte la caféine 😉

[supprimé]

Donc si quelqu'un se sent de vouloir vérifier, aucun soucis, ça t'aidera peut-être à mieux comprendre pourquoi aujourd'hui, Iptables est devenu un allié utile, plutôt que la chose complètement inutile dont vous semblez être persuadé (grâce aux nouvelles avancées démontrées dans MISC) , on y retrouve pour ma part

M'enfin, ou as-tu lu que nous disons qu'un pare-feu est inutile ? Iptables est très utile pour une NAT ou PAT et accessoirement un anti-spoofing mais il ne sécurise par la machine. C'est la qu'est la faille de raisonnement à mon avis 🙂 Les commandes issues de la Doc Debian (dans mon post #216) agissent avant les règles pare-feu... Sécuriser sa machine commence par le noyau, en désactivant un tas de fonctionnalité que tu n'as pas besoin, c'est toujours ça de moins pour les rootkits qui, de toutes façons, by-passerons Iptables.
Comprends-tu ?

robindesbois

ignus a écrit Les commandes issues de la Doc Debian (dans mon post #216) agissent avant les règles pare-feu...

Et la nouveauté dans Iptables depuis la toute nouvelle apparition de la table raw, est que le filtrage se fait encore avant cette règle :

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Ce n'est pas moi qui le dit c'est MISC qui l'affirme, si tu as la possibilité qu'on te le prète, tu pourrai le vérifier dans l'instant.

Et en plus MISC le dit clairement, par rapport à la commande suivante :

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Les tentatives d'attaques par spoofing, y sont réduites du coup au maximum. Du coup, une charge bien moindre pour le noyau. (Iptables gère le parefeu de Linux appelé Netfilter), et dire à Netfilter d'améliorer sa lute contre le Spoofing grâce à la nouvelle table raw d'Iptables j'avoue que c'était assez mabiteux de la prt des programmeurs d'Iptables (qui a parlé de Pablo ? 😉 ).

Ça a été en tous cas assez attractif pour avoir droit à une sous partie d'article sur Iptables parue dans MISC numéro 64.

Mais vous le comprendrez, quand vous aurrez pu lire l'article dont je parle ce soir.

Néanmoins Ignus, je n'ai pas trouvé la page de doc Debian qui parle de ces règles, as-tu un lien à me communiquer stp ?

tiramiseb

Ignus t'a donné le lien en #199.

robindesbois

tiramiseb a écritIgnus t'a donné le lien en #199.

Non je parlais du lien vers la doc Debian.

tiramiseb

Un lien en « www.debian.org/doc/manuals/[...] », c'est pas la doc Debian ?

robindesbois

tiramiseb a écritUn lien en « www.debian.org/doc/manuals/[...] », c'est pas la doc Debian ?

Marche pas, et ce lien ne figure pas dans le message #199, Ignus aborde différentes règles du noyau sur son message #216, c'est là où il parle de la doc Debian, je ne trouve pas la page 😉

tiramiseb

robindesbois a écritet ce lien ne figure pas dans le message #199

Je pense que tu as besoin d'aller te reposer.

Ignus, en #199 a écritJe rejoins l'avis de mes confrères que sont Haleth et Tiramiseb, je ne suis pas convaincu que tu es été victime de spoofing. Avant de rédiger l’écriture d’une règle Iptables, il est recommander de sécuriser au maximum la couche réseau de l'OS. Le noyau Linux est très paramètrable de ce coté.
https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.fr.html

[supprimé]

Et la nouveauté dans Iptables depuis la toute nouvelle apparition de la table raw, est que le filtrage se fait encore avant cette règle :

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Sauf erreur de ma part, c'est bien le noyau qui dirige Netfilter et non l'inverse. Après, il existe des frontend comme Iptables qui agissent sur netfilter. D'ailleurs, d'autre programmes comme ufw (pour simplifier l'utilisation du pare-feu) agissent à leurs tours sur Iptables... Etc etc ! Ceci dit, je ne suis pas expert et il est possible que je me plante mais je ne vois pas Iptables outrepasser les règles du Kernel 😉

tiramiseb

Sauf erreur de ma part, c'est bien le noyau qui dirige Netfilter et non l'inverse

Netfilter fait partie du noyau, tout simplement.
Il est tout à fait possible que sa table "raw" agisse avant l'action rp_filter configurée dans sysctl.
C'est pour cela que je ne me prononce pas : je ne sais pas.

« Page précédente Page suivante »