Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Configuration d'iptables

[supprimé]

Netfilter fait partie du noyau, tout simplement.

Oui. Mais imagines-tu une règle Iptables qui outrepasse ce qui est définie manuellement dans le noyau ? Voilà pourquoi j'aurais plutôt tendance à penser l'inverse, rp_filter filtre avant de passer les règles de filtrage Iptables.

Mais il est possible que je me fourvoie 😉

Édit:

D'ailleurs, si tu n'actives pas ip_forward dans le sysctl, Iptables acomplit-il correctement le routage des paquets ?

robindesbois

ignus a écrit
Et la nouveauté dans Iptables depuis la toute nouvelle apparition de la table raw, est que le filtrage se fait encore avant cette règle :
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
Sauf erreur de ma part, c'est bien le noyau qui dirige Netfilter et non l'inverse. Après, il existe des frontend comme Iptables qui agissent sur netfilter. D'ailleurs, d'autre programmes comme ufw (pour simplifier l'utilisation du pare-feu) agissent à leurs tours sur Iptables... Etc etc ! Ceci dit, je ne suis pas expert et il est possible que je me plante mais je ne vois pas Iptables outrepasser les règles du Kernel 😉

Exactement, au détail prèt qu'il ne faut pas se tromper sur ce qu'est iptables, et iptables c'est :

L'outil d'administration pour le filtrage de paquets IPv4 et le NAT (et maintenant IPv6 etc..)

(voir ici : http://www.delafond.org/traducmanfr/man/man8/iptables.8.html )

Netfilter est une partie du noyau, Netfilter est le vrai parefeu, Iptables n'est pas le parefeu à proprement parlé, ce n'en est que la télécommande.

La télécommande qui paramètre le Kernel si tu veux, mais pas n'importe quelle partie du Kernel, non, Iptables paramètre le parefeu qui est Netfilter. Et c'est là que ça devient intéressant !

Parce que cette règle est désuète à l'heure actuelle :

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

En comparaison à celle-ci , celle-ci qui est l'amélioration direct du Kernel de Linux :

# iptables -A PREROUTING -t raw -m rpfilter --invert -j DROP

Tout est expliqué clairement dans le MISC 64.

robindesbois

ignus a écrit Oui. Mais imagines-tu une règle Iptables qui outrepasse ce qui est définie manuellement dans le noyau ?

Ben oui, et c'est pile poil ce point l àqui est expliqué dans l'article de MISC. Et que j'ai pu vérifié par moi-même.

La commande que tu me donnes, celle-ci :

# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

N'est pas sur 1 chez moi, elle est sur 0 ! Et ça n'empèche pas que la table raw filtre le dans la copie d'écran suivante :

Netfilter est lui par contre une partie intégrante du noyau et il est spécifiquement prévu pour la sécurité, c'est un parefeu, il a même reçu un Certificat de sécurité de premier niveau pour sa version 1.4.2, voir ici en tout début d'article : https://fr.wikipedia.org/wiki/Netfilter

[supprimé]

Non, tu fais un amalgame, Iptables est un programme en ligne de commande qui n'améliore rien du tout, et tu le dis, c'est une télécommande de Netfilter et non du noyau :þ

Parce que cette règle est désuète à l'heure actuelle :

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

En comparaison à celle-ci , celle-ci qui est l'amélioration direct du Kernel de Linux :

# iptables -A PREROUTING -t raw -m rpfilter --invert -j DROP

La règle sysctl n'a rien de désuète, elle n'a simplement pas besoin d'Iptables pour activer ou désactiver le filtrage de paquet...

Bonne nuit, je débranche et je vous lirai demain.
Au fait, Iptables est bien pratique pour FAIL2BAN 😉

[supprimé]

robindesbois a écrit
ignus a écrit Oui. Mais imagines-tu une règle Iptables qui outrepasse ce qui est définie manuellement dans le noyau ?

Ben oui, et c'est pile poil ce point l àqui est expliqué dans l'article de MISC. Et que j'ai pu vérifié par moi-même.

La commande que tu me donnes, celle-ci :
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
N'est pas sur 1 chez moi, elle est sur 0 ! Et ça n'empèche pas que la table raw filtre le dans la copie d'écran suivante :

http://nsa34.casimages.com/img/2014/12/30/14123012315550482.png

J'ai souligné en rouge, 0 n'a pas de consigne, donc iptables à l'autorisation de gérer. Passe cette consigne à 1 dans le noyau et tu verras que tes «alertes iptables» vont s'alléger. 😃

robindesbois

ignus a écritNon, tu fais un amalgame, Iptables est un programme en ligne de commande qui n'améliore rien du tout

Si, il a pris de l'avance par rapport à cette règle :

# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Car cette règle ci-dessus n'agit pas sur la table raw, et la table raw a été implémenté et est active avant tous processus (comme c'est expliqué dans le MISC 64). De ce faite, pour que cette règle du dessus ne soit plus désuète, il faudrait qu'eele se modifie par exemple en ceci (ce n'est qu'un exempel hein) :

# echo 1 > /proc/sys/net/ipv4/conf/all/raw/rp_filter

(tu auras remarqué le /raw/ ajouté)

Là ok, le noyau en sera informé !

Si tu veux en savoir un peu plus et comprendre que c'est le noyau qui gère la table raw (cette table raw qui figure donc dans ma règle Iptables antispoofing trouvé dans MISC), tu peux déjà te rendre sur cette page : http://man7.org/linux/man-pages/man7/raw.7.html

Donc il faut bien comprendre que la commande que donne MISC, est lancés dans Iptables, que Iptables est la "télécommande" de Netfilter, que Netfilter fait partie intégrente du noyau qui gère le réseaux et ses paquets (tous paquets Internet ou transitant sur le réseau local), et que le noyau comporte en lui-même cette fameuse table raw, et que cette dernière va être solicité pour DROPER toutes tentatives de spoofing, mais pour le coup VRAIMENT AVANT que les paquets qui portent cette anomalie passe par les tables de Netfilter (Iptables ou pas activé), Ou bien la commande qui suit activée ou pas :

# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Et c'est un fait, tout est expliqué dans le MISC 64

Donc oui la règle suivante est désuète à l'heure actuelle :

# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Désuète en comparaison à celle-ci qui est l'amélioration direct sur la table raw et directement sur le Kernel de Linux :

# iptables -A PREROUTING -t raw -m rpfilter --invert -j DROP

il faut bien que tu comprennes une chose, ce n'est pas mois qui suit en train de t'expliquer que cette règle est désuète en terme d'efficacité, je ne fais que lire l'article de ce MISC numéro 64, c'est tout, que tu le veuilles ou non, le jour où tu auras cet article sous les yeux je peux te dire qu'il y a de fortes chances que tu penses à moi, et que tu te dises, ah oui, vu comme ça et avec les explications et les références des RFC que me donnent MISC sur cette nouvelle façon beaucoup plus efficace à stopper dans l'oeuf les attauqes par spoofing que me permet maintenant Iptables grâce à l'action sur cette table raw, je n'ai plus aucune excuse pour ne pas l'utiliser !

Et là je te dirai ben oui, vu tout ce qu'il expliquent dessus, mmmm on peut difficilement les contredire.

ignus a écritBonne nuit, je débranche et je vous lirai demain.
Au fait, Iptables est bien pratique pour FAIL2BAN 😉

Bonne nuit merci, à plus oui

robindesbois

ignus a écrit J'ai souligné en rouge, 0 n'a pas de consigne, donc iptables à l'autorisation de gérer. Passe cette consigne à 1 dans le noyau et tu verras que tes «alertes iptables» vont s'alléger. 😃

Ignus je viens de vérifier, c'était sur 1 déjà, oups sorry. Donc oui, ça veut dire que les paquets que j'ai montré sur ma copie d'écran ne font pas ce que tu dis, et que Iptables bloque quand même sur cette table raw tous paquets spoofés...

De toutes façons, que ce soit sur 0 ou 1, comme la table raw est avant les processus, et les suivis de connexions de CONNTRACK, ils ont toujours été logué par mon Itpables, intéressant non ? Moi je trouve ça passionnant en fait, j'essaie de partager ma passion et les connaissances que m'apprennent MISC, mais c'est très difficile, mais j'espère qu'un jour vous lirez cet article pour mieux comprendre pourquoi MISC a tout de suite été emballé en voyant les bénéfices de cette nouvelle mesure anti-spoofing grâce à Iptables et la table raw...

tiramiseb

Je n'approfondirai pas sur l'histoire de rp_filter, pour moi les deux approches sont équivalentes mais celle liée à Netfilter est plus souple, il est fort possible que la table "raw" ait été créée pour remplacer les éléments liés à sysctl, je n'ai pas plus de détails pour faire une affirmation et robindesbois cite une source en laquelle j'ai confiance.

Par contre, je tiens à préciser deux choses :
- robindesbois, tu indiques que la table raw est "avant les processus", il me semble qu'il y a une chose que tu as mal comprise : le paramétrage lié à sysctl (le truc dont parle Ignus) n'est pas implémenté en tant que processus, il s'agit bel et bien de configuration du noyau lui-même ;
- MISC est en effet une bonne revue en matière de sécurité informatique, les informations y sont intéressantes, mais il ne s'agit en aucun cas de documentation orientée "utilisateur final" ; en cela, je pense qu'il est inutile d'appliquer ces principes complexes à n'importe quelle machine : il faut faire preuve de discernement, je rappelle qu'en sécurité informatique (comme dans beaucoup de domaines), la simplicité est à privilégier.

Si je fais un parallèle avec la construction d'une maison, bien sûr on va mettre un abri anti-atomique, des gros murs résistants, des barbelés électrifiés, des caméras de surveillance et des gardes armés sur une base militaire. Mais on ne fait jamais la même chose sur une maison de ville ; pourtant, ça apporterait plus de sécurité dans la maison... oui, mais il n'y en a pas besoin, ça serait inutile, comparé au risque encouru. D'ailleurs, les maisons hautement protégées intriguent plus les voleurs que les petits bicoques sans valeur...
Et si on met un mur d'enceinte barbelé et des caméras, on risque de se croire trop en sécurité et d'oublier de fermer la porte d'entrée à clef. C'est bien cela que je déplore dans ces conseils d'activer un pare-feu inconditionnellement, en disant aux gens qu'ils seront en sécurité...

robindesbois, tu fais bien sûr comme tu le veux sur ta machine, mais quand on conseille quelque chose aux autres, il faut faire preuve de discernement. Écrire (ou sous-entendre) « c'est dans MISC donc c'est fiable, faites tous cela chez vous », ce n'est pas une preuve de discernement...

Haleth

Mouais, toujours pas convaincu de la grande utilité du rp_filter

L'antispoofing, pour moi, est grandement efficace au niveau des AS : chacun connait la liste de ces subnet, et détruit tout traffic en provenance des clients si l'IP source n'est pas dans ces subnets (cf bcp38).
Le spoof d'IP ne sert vraiment que pour les floods, afin de cacher la véritable identité de la source, ou pour faire de l'amplification. Pour tout ce qui est usurpation d'identité dans un but plus sournois ("emprunt" de connexion etc), le spoof d'adresse IP n'est pas vraiment utile si l'attaquant ne dispose pas d'un grand contrôle sur l'environnement réseau de la cible, afin d'orienter et de recevoir le trafic retour (en spoofant également les IP en BGP, par exemple).

Bref, pour un Linux, pas vraiment utile

tiramiseb

Parfaitement d'accord avec Haleth concernant l'utilité de ce filtrage. Mais bon, on ne va pas épiloguer là-dessus hein... C'est le coeur même de la différence entre le deux approches. D'un côté "je sais quand c'est utile et je ne filtre que si nécessaire", de l'autre côté "je mets un maximum de trucs, on sait jamais". Ce qui m'énerve, c'est l'attitude de certains défenseurs de la seconde approche, prompts à insulter les premiers...

Et cela ne change en rien mon affirmation première : sur une Ubuntu de base, par défaut, rien de tout ça n'est nécessaire.

[supprimé]

Et cela ne change en rien mon affirmation première : sur une Ubuntu de base, par défaut, rien de tout ça n'est nécessaire.

Oui, tout comme mon approche pour un serveur, Iptables est le dernier élément à utiliser pour le sécuriser... 🙂
En revanche, ce qui est bien avec le sysctl, c'est qu'une station de travail peut en bénéficier sans manipuler des règles Iptables, sans activer de firewall donc. On sécurise la couche réseau de l'OS 🙂

robindesbois

Bonjour les gens.

J'aimerai beaucoup apprendre à utiliser le sysctl, dans quelle séction je dois ouvrir ma discussion spv ?

tiramiseb

Si tu veux "apprendre", il faut lire des docs, pas discuter sur le forum 🙂
http://linux.die.net/man/8/sysctl
https://www.google.fr/search?q=%2Fproc%2Fsys

robindesbois

Merci pour les liens, qui sont pour moi inexploitables, je ne parle que le français. Je vais essayer de trouver ma section, je préfère aussi les retours utilisateurs (comme vous m'avez fait ici, c'est très riche pour moi, car ils m'ouvrent d'autres perspectives, les perspectives que je ne connais pas du tout, mais que j'aimerai approfondir avec vous), je vais essayer de trouver une section en disant dans mon message un petit texte adressé aux modos pour le déplacer.

Bonne continuation ici, et les bons voeux de la Lorraine (on est voisins c'est rigolo 😉 ).

tiramiseb

Explication en français :
http://fr.wikipedia.org/wiki/Sysctl

Le second lien est une recherche Google, il y a des réponses en français.

robindesbois

Merci bcp.

pires57

Dommage, les meilleurs doc sont en anglais...

tiramiseb

Pour ma part je tiens pour acquis que la compréhension de l'anglais est indispensable pour acquérir de vraies compétences en informatique. C'est malheureux mais c'est comme ça : les publications de qualité sont majoritairement en anglais.

« Page précédente