Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Configuration d'iptables

robindesbois

tiramiseb a écrit
J'entends par là, lorsque le VPN se coupe pour de multiples raisons, et que votre trafic se retrouve balancé sur la toile à qui veut le voir
1er cas : un VPN de réseau pour connexion d'une succursale à un siège
Oui mais non. Bien sûr, mettre en place un pare-feu bloquera ces flux, ça fonctionnera. Mais là encore le pare-feu est un palliatif.
C'est un palliatif à une mauvaise configuration du routage. Quand le VPN tombe, le trafic doit simplement être bloqué, il ne doit pas être envoyé en direct sur Internet. Quand le trafic a pour objectif d'être uniquement transmis au travers du VPN, le routeur ne doit pas avoir de route par défaut vers Internet : la seule chose avec une route vers Internet, ça doit justement être la connexion au serveur VPN.

2me cas : un VPN sur poste de travail pour connexion distante
Si on met un filtrage inconditionnel sur les sorties par Internet, eh bien le PC ne sera plus utilisable sans VPN. Si c'est ce que l'on veut, alors le 1er cas s'applique. Sinon, eh bien il n'y a pas vraiment de solution : il faut bien laisser passer les flux pour pouvoir aller sur Internet quand on n'a pas le VPN, non ?

Pour ma façon de faire, il me faut le paquet "iptables-persistent", c'est un paquet que je trouve dans les dépôts officiels d'Ubuntu via Synaptic.

En fait, j'ai deux jeux de règles, que l'on peut changer facilement, à travers deux scripts par exemple, ou à la barbare, en copiant collant les deux fichiers de règles d'Iptables que l'on a dans le dossier : /etc/iptables/ (il y a encore d'autres façons de faire sûrement).

Sur la copie d'écran qui précède on voit les deux fichiers de règles connus par le paquet iptables-persistent, car c'est ce dossier qu'iptables-persistent utilise, (je rentrerai dans les détails des règles si ça intéresse quelqu'un), mais en gros, je fais un copié-collé de mes règles assurant mon VPN s'il tombe quand je veux me servir de mon VPN de façon sécurisé, soit 99,99% de mon temps de surf. Je copie-colle à l'invers, mes règles permissives quand je veux que mon PC ait un accès au net alors que je n'ai pas prévu d'utiliser mon VPN, donc, cette opération, vu le pourcentage que j'annonce, n'arrive quasiment jamais sur un trimestre. Mes deux fichiers appelés "rules.v4" et "rules.v6" sont dans des dossiers séparés, nommés comme il se doit, suivant qu'ils autorisent un accès au net non filtré, ou suivant qu'ils assurent un VPN qui tombe.

Cela rend alors le passage des unes aux autres de façons très simple (pour moi, il y a d'autres façons, que je veux bien apprendre si vous les maîtrisez, mais cette façon me convient pour le moment). À noter que je lance Nautilus en Root pour faire mon copié-collé de 15 secondes et et que je coupe cet accès Root à Nautilus tout de suite derrière. Et comme dit à l'instant, on doit pouvoir faire encore plus simplement qu'un copié-collé de la façon dont je le fais, et je veux bien apprendre comment faire, je n'ai encore jamais utilisé ni confectionné de script.

Donc en fait comme tu le dis Tiramiseb, dans le cas où l'on utilise des règles Iptables de blocage de l'internet en cas de VPN qui tombe, il faut quand même bien que notre PC ai un accès au serveur de notre VPN pour pouvoir se connecter via OpenVPN (par exemple), mais dans ce cas là, pas besoin de plus que....la seule et unique adresse IP du serveur OpenVPN de notre abonnement (ou du gratuit). Du coup, le seul accès à un internet "classique" est l'accès à cette unique IP de notre serveur VPN. Mais ce n'est pas tout, comme une Interface va se créer lorsque notre serveur VPN va accepter nos "identiant et mot de passe VPN", il faut indiquer à Iptables que le Net sur notre machine maintenant ne passera que par cette nouvelle Interface (en général l'interface tun0, donc on paramètre Iptables sur ce point avant bien sûr). Alors si ton VPN tombe, cette Interface VPN (tun0) tombe aussi, et Iptables ne la connaissant plus et sachant qu'il n'a le droit que de diffuser tous tes paquets destinné au NET via celle-ci, arrête immédiatement de balancer tous paquets, et plus rien ne sort de votre machine d'une seconde à l'autre.

Merci le filet de sécurité founri par Iptables pour les particuliers j'ai envie de dire...

J'ai donc autre chose à faire que de renseigner mon FAI sur ce que je fais sur mon réseau, c'est personnel, et je ne cherche pas à l'inverse, à savoir ce que eux font sur leur réseau, c'est personnel aussi. Voilà en gros, je me suis basé sur ce site pour établir mes règles, et bien sûr sur les doc d'Iptables, notamment concernant le suivi de connexion du module IP_CONNTRACK qui transforme votre Iptables en véritable parefeu SPI (Stateful Packet Inspection), j'applique aussi grâce à une règle Iptables, un filtre antispoofing, qui est ma foi fort efficace, il bloque ce tyep de paquet chaque jour (que je vois dans mes logs). Voilà pourquoi je dis et prouve, qu'Iptables, même pour un particulier est bel est bien conçu AUSSI pour la sécurité informatique de n'importe lequel d'entre nous, ici sur ce forum et qui veut assurer de façon efficace, ses données transitant par son VPN.

Et je pense sincèrement que le cas que je viens de décrire, qui ne faisait pas parti à la base de votre liste des cas où Iptables sera utile pour la sécurité du réseau des particuliers j'entends, aurait toute son humble et vailalnte place dans votre liste, car c'est un cas qui peut concerner énormément de particuliers utilisant un VPN, comme on vient de l'éclaircir.

tiramiseb

Alors si ton VPN tombe, cette Interface VPN (tun0) tombe aussi, et Iptables ne la connaissant plus et sachant qu'il n'a le droit que de diffuser tous tes paquets destinné au NET via celle-ci, arrête immédiatement de balancer tous paquets

C'est sur ces aspects-là que tu es dans l'erreur.
Ce n'est ipas iptables qui connait (ou pas) les interfaces et qui balance (ou pas) les paquets.
C'est une question de table de routages (voire commandes "route -n" ou alors la plus récente "ip route"). Si les routes sont bien configurées, alors le pare-feu est inutile. C'est en cela que le pare-feu est un palliatif : il bloque des paquets qui n'auraient déjà jamais dû passer par là en premier lieu.

robindesbois

tiramiseb a écrit
Alors si ton VPN tombe, cette Interface VPN (tun0) tombe aussi, et Iptables ne la connaissant plus et sachant qu'il n'a le droit que de diffuser tous tes paquets destinné au NET via celle-ci, arrête immédiatement de balancer tous paquets
C'est sur ces aspects-là que tu es dans l'erreur.
Ce n'est ipas iptables qui connait (ou pas) les interfaces et qui balance (ou pas) les paquets.
C'est une question de table de routages (voire commandes "route -n" ou alors la plus récente "ip route"). Si les routes sont bien configurées, alors le pare-feu est inutile. C'est en cela que le pare-feu est un palliatif : il bloque des paquets qui n'auraient déjà jamais dû passer par là en premier lieu.

Iptables le fait aussi parfaitement, avec en plus ses excellentes propriétés de par-feu SPI, voir ici pour la définition et l'historique. Ici on parlait déjà il y a longtemps des fonctions SPI d'Iptables : http://www.zeroshell.net/fr/firewalldetails/ En plus donc de la fonction antispoofing (suivant la règle qui va bien) qu'il me procure (et dont j'avais oublié de parler dans mon message précédent).

tiramiseb

Bien sûr qu'iptables bloque parfaitement les paquets. Et ça fait bien son boulot.

Mais ce que tu lui demandes, il ne devrait pas avoir à le faire.
En fait, tu as choisi de mettre en place du filtrage avec le pare-feu au lieu de mettre en place les bonnes règles de routage.
Ça n'en fait pas moins un usage à titre palliatif : si tes routes étaient bien configurées, tes paquets ne sortiraient pas par là où ils ne doivent pas sortir.

tiramiseb

non pas pour filtrer un service en écoute, mais pour rendre inaccessible ceux qui n'ont pas à communiquer avec l'extérieur

Et encore une fois du palliatif ! Mais quand allez-vous comprendre, vous qui ne jurez que par les pare-feux ?
Un service qui n'a pas à communiquer avec l'extérieur ne doit pas écouter sur un port externe ! Il faut configurer le service pour qu'il n'écoute que là où il doit écouter.

Laisser le logiciel écouter sur une interface puis mettre un pare-feu pour bloquer les paquets, c'est une configuration palliative.

Un système n'est jamais infaillible à l'instant t, et cela serait imprudent que de prétendre le contraire, et bien souvent les mises à jour de sécurité ne sont pas instantanées

Là on a clairement le début des réflexions dangereuses !
Avec un pare-feu...
... soit tu fermes le port pour rendre un service inaccessible (auquel cas la bonne solution est plutôt de configurer ou désactiver le service en question)
... soit tu laisses ouvert car le service est nécessaire
En quoi un pare-feu corrigerait des failles de sécurité ?

Dire qu'un pare-feu est utile contre des failles non corrigées, c'est une énormité sans nom.

Un pare-feu n'est pas magique, ce n'est qu'un outil à la portée très limitée, que beaucoup utilisent à titre palliatif sans vraiment comprendre tout cela, aveuglés par la croyance qu'un pare-feu est essentiel (voire suffisant) à la sécurité d'une machine.

robindesbois

tiramiseb a écrit Un pare-feu n'est pas magique, ce n'est qu'un outil à la portée très limitée, que beaucoup utilisent à titre palliatif sans vraiment comprendre tout cela, aveuglés par la croyance qu'un pare-feu est essentiel (voire suffisant) à la sécurité d'une machine.

On se rejoint sur le point qu eut cites et qui dit "voir suffisant", non Iptables n'est pas suffisant, et tu nous donnes sur cette discussion d'autres points à vérifier, dans le désordres :

_ne pas installer n'importe quoi
_faire ses mises à jour (de sécurité ou pas)
(et j'en oublie, tu corrigeras pour rappel si tu veux).

Mais écarter complètement Iptables n'est pas non plus la solution ultime aux problèmes de sécurité (autant que l'invers est vrai aussi), utiliser un système de freinage simple sur une voiture ça suffisait avant, mais met l'option ABS sur une voiture (sans l'activer) il y a de grande chance qu'un jour elle aurait servi en cas de freinage qui aurait demandé son couconrs. En revenant à la sécurité informatique, on le pense surout quand on suit l'actualité de l'ingénérie des pirates informatiques au quotidien, et là on n'apprendra rien à personne en l'affirmant. J'ai oublié que j'applique aussi grâce à Iptables, un filtre antispoofing (je vais corriger ce point dans mon message précédent), c'est un règle aussi spéciale à Iptables, qu eje trouve fort utile.

Donc pour moi, Iptables fait office d'antispoofing, de parefeu SPI (Stateful Packet Inspection, comme on l'a vu au dessus), et de filet de sécurité quand mon VPN tombe, et il tombe plusieurs fois par an, et je log aussi les tentatives de spoofing, quasiment tous les jours... Et quasiment tous les jours Iptables les bloque. Donc bon, pour moi, Iptables, je ne ferai plus jamais sans, et je continuerai a en étudier tous les aspects, comme je le fais chaque jour. Parce que pour moi, c'est une brique de plus dans la sécurité informatique, et je ne vais pas enlever cette brique de mon réseau, elle est trop importante... Et je ne pense pas que l'utilisation que je fasse d'iptables soit inadapté, il fait tout ça parfaitement, il est conçu pour ça.

tiramiseb

je dors beaucoup mieux de savoir qu'en cas de faille le service ne sera pas accessible depuis tous azimuts

Oui, donc si tu veux faire propre tu configures le service pour n'écouter que là où il doit écouter.

Toi, avec ton discours, tu prône le palliatif, tu proposes de laisser le service écouter là où il ne devrait pas, pour ensuite bloquer les paquets avec un pare-feu.

[supprimé]

tiramiseb a écrit
Alors si ton VPN tombe, cette Interface VPN (tun0) tombe aussi, et Iptables ne la connaissant plus et sachant qu'il n'a le droit que de diffuser tous tes paquets destinné au NET via celle-ci, arrête immédiatement de balancer tous paquets
C'est sur ces aspects-là que tu es dans l'erreur.
Ce n'est ipas iptables qui connait (ou pas) les interfaces et qui balance (ou pas) les paquets.
C'est une question de table de routages (voire commandes "route -n" ou alors la plus récente "ip route"). Si les routes sont bien configurées, alors le pare-feu est inutile. C'est en cela que le pare-feu est un palliatif : il bloque des paquets qui n'auraient déjà jamais dû passer par là en premier lieu.

+1000 😃 😉

robindesbois a écritDonc pour moi, Iptables fait office d'antispoofing,

C'est en effet l'un des rares cas ou Iptables peut rendre service, tout comme pour un NAT ou PAT...

sirius007 a écrit
ignus a écrit
sirius007 a écrit

...en frontal, j'utilise toujours iptables pour limiter les services accessibles, d'ailleurs j'en ai besoin aussi pour les autre tables (nat mangle raw) c'est pourtant pas compliqué à comprendre, qu'est ce que vous avez tous contre iptables ??
Rien du tout. Donne moi un accès à un service public de ton serveur et ton Iptables, tu peux t'assoir dessus, il ne sert à rien 😃 Un pare-feu ne sécurise rien du tout, il masque des ports ou des services, point. Un port en écoute pour proposer un service, c'est une porte d'entrée. On s'occupe de sécuriser sa machine ou on pense que le pare-feu nous protège. Autrement dit, file moi un accès apache mal configuré (un site web en http quoi) et masque tout avec ton Iptables (sauf le 80 http), je te dis: Merci !

ÉDIT:

AH OUI, Fail2ban bannit les adresses IP ayant provoqué des erreur dans les journaux. Ce qui implique que quelqu'un en face à découvert un port et une faille et qu'il tente quelque chose. Si Fail2ban lance une action sur un autre port que celui-ci par défaut du SSH (22), c'est que portsentry c'est laissé faire et à laissé un scan de ports qu'il aurait dû bloquer !
réponse complètement hors sujet et incohérente à ce que j'ai évoqué bref charabia infecte à lire.
tous les professionnels intelligibles utilisent un parefeu avec une machine qui travaille directement en frontal à l'internet, non pas pour filtrer un service en écoute, mais pour rendre inaccessible ceux qui n'ont pas à communiquer avec l'extérieur. c'est grave de faire cela docteur ? m'enfin quoi, c'est vous qui êtes dangereux de ne pas vouloir l'admettre.
Un système n'est jamais infaillible à l'instant t, et cela serait imprudent que de prétendre le contraire, et bien souvent les mises à jour de sécurité ne sont pas instantanées, mais après qu'un faille a été de-celée par les développeurs, je maintiens alors avec conviction que la mise en oeuvre d'un parefeu n'est pas de l'ignorance comme on voudrais le faire croire...

Si tu veux, je suis dangereux. Il y a de bonnes lectures sur la sécurisation des serveurs Gnu/Linux... Le chroot est plus efficace qu'un pare-feu sur les PEBKAC ou failles logicielles.
Mais fais comme tu veux, je me sers d'Iptables pour rerouter des paquets, vérifier des paquets mais jamais pour sécuriser mes serveurs. Et n'oublie jamais d'activer cette directive dans le noyau Linux via le /etc/sysctl.conf, sinon... 😃

tiramiseb

parceque tu n'en a pas des discours, propos bien présomptueux

Je donne des détails techniques, des informations précis, des explications poussées.
Ce n'est pas un discours, c'est un argumentaire.

parfois

tiramiseb a écrit :

    mais dès qu'il y a écoute non voulue et non désactivable, je préfère bloquer avec le pare-feu.

et maintenant c'est le contraire

Tu as mal lu. Compilons mes arguments, encore une fois :
=> quand on logiciel écoute là où il ne devrait pas, on le configure (s'il doit écouter ailleurs) ou on l'enlève (s'il ne doit écouter nulle part) : dans ce cas, le pare-feu est un palliatif au manque de travail de l'administrateur ;
=> quand on ne peut pas le configurer pour qu'il n'écoute que sur une interface, alors je préfère mettre un pare-feu plutôt que de le laisser en écoute : dans ce cas, le pare-feu est un palliatif au comportement du logiciel.

respecte un peu la façon de faire de chacun

Ai-je montré une quelconque marque d'irrespect. Je subis des flopées d'attaques ad hominem, j'essaie de garder mon calme et de rester sur une argumentation technique... et c'est moi qui ne respecte pas !? C'est la meilleure !

une personne veut des informations concernant iptables et toi tu lui réponds <<c'est pas bien>>

Euh non, pas du tout. La question ne portait pas sur des informations concernant iptables, elle portait sur la protection que cela apportait.
Précisément, la question initiale était « J'aurai besoin de l'avis de la communauté pour savoir si mes règles d'iptables me protège vraiment ?? ». Et ma réponse restera toujours la même : Non, des règles iptables ne protègent pas : le pare-feu utilisé comme ça, c'est un palliatif, pas une sécurisation propre.

faut arrêter un peu avec cette espèce de "despotisme" <<monsieur qui sait tout mieux que tout le monde>>, et ben non tu n'as pas le monopole du savoir.

Quel despotisme ? Où ai-je dit que je sais tout mieux que tout le monde ? C'est parce que j'argumente mon point de vue que tu réagis comme ça ? C'est parce que j'essaie de n'être que factuel ? C'est parce que j'offre des heures et des heures de mon temps de travail au forum Ubuntu-fr ? Je devrais utiliser des attaques ad hominem et dire que vous êtes tous des cons, pour me mettre à votre niveau ? Non, désolé, je ne suis pas là pour ce genre d'attaques puériles : je suis là pour aider les gens et partager mes connaissances.

Je ne demande qu'à être contredit, avec des arguments techniques, des vraies raisons du pourquoi mon approche ne serait pas bonne. Si tu n'es pas d'accord, alors argumente et présente en quoi ce que j'explique ne te semble pas valable, plutôt que de me traiter de despote !

Je reviens donc sur l'argumentaire technique et te demanderai alors de préciser en quoi ta solution est meilleure. Je formule donc la question suivante :
Quand on ne souhaite pas qu'un logiciel soit joignable :
=> je préconise de dire aux logiciels de ne pas écouter, le pare-feu devenant alors inutile
=> tu préconises de ne pas configurer les logiciels, de les laisser en écoute et de mettre un pare-feu
En quoi la seconde solution est meilleure que la première ?

tiramiseb

oui le parefeu est inutile si l'utilisation est lambda derrière un routeur (non précisé), nous somme bien d'accord.

Non, je ne parle pas d'un cas où l'utilisateur est derrière un routeur. Je parle bel et bien de la machine en elle-même.

mais notre discussion, (pour être clair) s'est porté pour une machine directement en frontal à l'internet avec des services qui doivent restés local

Oui, on est bien d'accord et c'est de cela que je parle.

, et c'est bien la première fois que je lis qu'un parefeu est inutile (tous professionnels et entreprises confondus)

Pourtant on est plusieurs plusieurs, sur ce forum, à avoir cet avis...

bien sûr, bien souvent il est possible de configurer un service pour qu'il n'écoute que sur le lan ou localhost

C'est exactement ce que je préconise de faire. Chose que personne d'autre que moi n'a évoquée jusqu'ici.

en quoi iptables devient t'il gênant

Soyons clairs là aussi : bloquer un port particulier avec iptables, lorsque celui-ci n'est pas en écoute, ce n'est pas gênant, c'est juste inutile (c'est bien le mot que tu as utilisé plus, haut, quand tu as écrit « c'est bien la première fois que je lis qu'un parefeu est inutile »).

Ce qui me gêne énormément, c'est la tendance globale actuelle à préconiser systématiquement la mise en place d'un pare-feu, donnant aux utilisateurs un sentiment de sécurité qu'ils ne devraient pas avoir.
Ce n'est pas l'idée de mettre en place un pare-feu en elle-même, c'est ce que ça induit dans les esprits des gens. Malheureusement, énormément de gens ne pensent qu'aux aspects techniques et pas aux implications dans la vie réelle. As-tu pensé ce que pense la personne à qui tu dis « mets un pare-feu sur ton PC pour être en sécurité » ? Il faut "penser large", réfléchir aux interactions techniques, logiques ou psychologiques entre les différentes choses que l'on préconise.

Ce qui est également gênant pour l'utilisateur final, c'est qu'il n'a pas compris les implications et j'ai maintes fois dû aider des gens chez qui telle ou telle chose ne fonctionnait pas, pour finalement devoir expliquer comment fonctionne un pare-feu et pourquoi un serveur n'est pas joignable quand on a bloqué tous les ports. Bien souvent, un pare-feu est une complication plutôt qu'une solution. Et en sécurité, tout le monde le sait : plus c'est compliqué, plus il y a de risques.

Enfin, tu peux relire tous mes messages, jamais je n'ai écrit « je préconise de ne pas mettre de pare-feu », je n'écrirai jamais ça. Par contre, j'ai écrit et je continuerai à écrire « un pare-feu est inutile » quand on parle d'un système où rien n'est en écoute (système Ubuntu de base, utilisé par un utilisateur lambda non bidouilleur) ou « un pare-feu est un palliatif » quand on parle de bloquer des ports en écoute (autant supprimer ou configurer le logiciel pour ne pas écouter lorsque c'est possible - c'est là que je dis que Samba me déçoit vu que pour nmbd on n'a pas le choix).

[supprimé]

c'est là que je dis que Samba me déçoit vu que pour nmbd on n'a pas le choix

Le service smbd fournit des services de partage de fichiers et d'impression aux clients Windows. En outre, il est responsable de l'authentification des utilisateurs, du verrouillage des ressources et du partage des données par le biais du protocole SMB.
Le service nmbd comprend et répond à toutes les requêtes de service de nom NetBIOS telles que celles produites par SMB/CIFS dans des systèmes basés sur Windows.
Mais dans tous les cas, nmbd est contrôlé par le service smb. Seule solution efficace, virer les machines Windows du réseau est utiliser NFS 😃
ÉDIT:
Ah bin, on peut faire du NFS avec Windows --> http://technet.microsoft.com/fr-fr/library/cc770569.aspx

robindesbois

ignus a écrit
robindesbois a écritDonc pour moi, Iptables fait office d'antispoofing,
C'est en effet l'un des rares cas ou Iptables peut rendre service, tout comme pour un NAT ou PAT...

Bonjour Ignus,

rien que sur la demie journée d'hier sur cette machine, 4 paquets DROPÉ sur la table raw directement, l'antispoffing est bien actif et on le voit utile, sur ce poste.

Copie écran :

tiramiseb

rien que sur la demie journée d'hier sur cette machine, 4 paquets DROPÉ sur la table raw directement

Oui, des paquets ont été bloqués, et alors ? Si ces paquets n'avaient pas été bloqués, que se serait-il passé ?
Il faut arrêter de faire croire qu'un paquet bloqué correspond à une attaque qui aurait réussi sans pare-feu.

Sans ce filtrage, il ne se serait probablement rien passé, ces paquets auraient été "perdus" tout simplement.
Si je donne des longs détails techniques on va encore me traiter de despote alors je ne détaillerai pas...

Haleth

robindesbois a écrit
ignus a écrit
robindesbois a écritDonc pour moi, Iptables fait office d'antispoofing,
C'est en effet l'un des rares cas ou Iptables peut rendre service, tout comme pour un NAT ou PAT...

Bonjour Ignus,

rien que sur la demie journée d'hier sur cette machine, 4 paquets DROPÉ sur la table raw directement, l'antispoffing est bien actif et on le voit utile, sur ce poste.

Copie écran :

http://nsa33.casimages.com/img/2014/12/29/141229124507972893.png

De quel "antispoofing" parles-tu, exactement ?
Est-ce que tu as un cas concret à proposer ?

robindesbois

Je sais ce que je fais avec Iptables, qui reste une brique de plus à la sécurité informatique prévue sous Ubuntu (mais pas activé comme vous le savez). Tor n'est pas inclu d'origine non plus, Thunderbird n'est pas paramétré d'origine non plus pour passer par ce Tor qui est manquant d'origine, et GNUPG est souvent absent aussi des distributions Linux. Une personne avertie des dangers potentiels,va utiliser ces derniers afin de chiffrer ses échanges avec ses proches et ainsi sécuriser leurs contenus, et sécuriser le protocole (en passant par Tor, qui est un protocol), de ce fait, les adresses IP sources de nos emails sont bien plus difficiles à trouver grâce à Tor, donc on ne pas pas laisser facilement n'importe quel quidam nous retrouver et ainsi tracer notre vie privée, et on ne pas las laisser n'importe quel quidam, avoir accès à l'intégralité de nos échanges car nos emaisl sont chiffrées. Au même titre qu'Iptables, Tor n'est pa sinstallé, Thunderbird n'est pas configuré pour passer par Tor, et pourtant ilsjouent un rôle essentiel au maintient de notre vie privée sur les réseaux, et notre sécurité (difficilement traçable via tor, et eamil illisibles grâce au chiffrement GNUPG).

Toujours est-il que cela ne reste que votre point de vue, vous qualifiez Ignus d'utilisateur confirmé au même niveau que vous (ici sur cette discussion), je le suis aussi, les personnes professionnelles qui me forment aussi, mais là, vous n'êtes plus d'accord avec lui, pourtant, je ne fait pas qu'affirmer des choses, je les prouve, et je donne un agrumentaire très détaillé de ce que les professionnels que l'ont trouve en dehors d'ici, savent au même titre qu'Ignus. Quand à savoir ce qu'il se serait probablement passé, si les tentatives de spoofing avaient abouti hier, j'aime mieux ne pas le savoir, et m'en prémunir à la source (table raw sur Iptables), qui est donc la table qui précède toutes les règles de la table -filter. Mais je pense que vous savez de quoi je parle.

Voilà, la sécurité, en informatique, ce n'est pas "ne pas utiliser" les fonctions de sécurité d'une machine informatique (ici le parefeu Iptables et Ubuntu), mais au contraire, les utiliser de façons éclairées, j'ai choisi la lumière comme vous le voyez et je donne toutes les infos aux gens. Je ne désire pas continuer sur cette discussion de Nathaly01, je m'en servirai pour faire un rappel de mon argumentaire lorsque le sujet sera réabordé sur d'autres discussions, je vous sohaite uen bonne journée et vous remercie encore de votre aide l'autre jour sur la commande Netstat, c'était très important pour moi, merci beaucoup pour cela.

tiramiseb

Je suis d'accord sur la fin de ton message, robindesbois, on phagocyte la discussion de Nathaly01 alors qu'elle a peut-être d'autres choses à demander. On pourrait passer longtemps à parler des différentes approches techniques sur les différents aspects que l'on évoque, mais on n'est pas là pour ça.

robindesbois

Haleth a écrit
De quel "antispoofing" parles-tu, exactement ?
Est-ce que tu as un cas concret à proposer ?

Je vous renvoie à une simple recherche Google, qui vous renseignera beaucoup mieux que moi, et renseignera aussi n'importe quelle personne qui veut en savoir plussur ce que représente le danger des attaques par spoofing sur le portocol TCP/IP.(je susi désolé, j'ai des obligations aujourd'hui, je m'excuse de vous laisser,enfin bref, ce type de question est extrêmement débattue et ses réponses documenté via votre moteur de recherches préféré). Vraiment désolé, je dosi y aller, je ne me défile pas hein, je pense juste en partant maintenant, que vous saurez trouver d tous les cas qu'il convient sur Internet, car j'ai dans l'esprit, que vous savez vous servir d'un moteur de recherches.

tiramiseb

robindesbois: ce que Haleth sous-entend, c'est que le filtrage que tu as mis en place n'est pas une protection "anti-spoofing", ça permet juste de valider qu'un paquet provient du "bon" réseau : ça peut bloquer certains cas précis de spoofing, mais c'est loin d'être un réel anti-spoofing.

robindesbois

tiramiseb a écritJe suis d'accord sur la fin de ton message, robindesbois, on phagocyte la discussion de Nathaly01 alors qu'elle a peut-être d'autres choses à demander. On pourrait passer longtemps à parler des différentes approches techniques sur les différents aspects que l'on évoque, mais on n'est pas là pour ça.

Comme toi et moi avons un argumentaire étoffé, et vérifiable, je ne suis pas contre à ce que l'on le propose aux autres personne sur le forum quand elles se présenteront, nos avis différents.

En tous cas je ne suis pas là pour faire la guerre aux gens qui ne sont pas de mon avis, et surtout quand elels ont comm eje le dis au dessus un argumentaire solide. Le tout est toujours de savoir en premier :

"Qu'est-ce que la personne en face fait déjà avec son Parfeu sons Linux, quelle est sa distrib bien sûr, qu'elle utilisation veut-elle en faire, si elle est dans le cas d'une inutilité du parefeu, il faut toujours le dire, maintenant si on se rend compte après notre enquête que pas mal de choses sont paramétrées en tant que "serveurs" sur sa machine (comme nous l'avons vu ici pour Nath avec nmbd), il faudra alors peut-être ne plus avoir la position de dire "Tu n'as pas besoin de parefeu", mais l'aider sur ce qu'elle veut faire. @ l'invers, je serai le premier à t'épauler si la personne n'a pas du tout besoin d'un parefeu, aucun problème là dessus, je pense que tu as dans tes 12 ans d'expérience, justement de...
l'expérience.

Comme nous sommes d'accord sur le fait que nous avons trop insisté sur notre différence de point de vue, et que cela n'a plus engagé Nathaly01 à venir nous répondre, on peut revenir en arrière dans la discussion et se mettre à l'aider de nouveau pile au point où elle s'est arrêtée, de mémoire (plus le temps de tout relire), personne ne lui a donné une règle qui pouvait lui permettre de filtrer son "nmbd" grâce à son Iptables (qu'elle utilise déjà). Ce serait un bon début pour elle, bonne journée.

Haleth

robindesbois a écrit
Haleth a écrit
De quel "antispoofing" parles-tu, exactement ?
Est-ce que tu as un cas concret à proposer ?
Je vous renvoie à une simple recherche Google, qui vous renseignera beaucoup mieux que moi, et renseignera aussi n'importe quelle personne qui veut en savoir plussur ce que représente le danger des attaques par spoofing sur le portocol TCP/IP.(je susi désolé, j'ai des obligations aujourd'hui, je m'excuse de vous laisser,enfin bref, ce type de question est extrêmement débattue et ses réponses documenté via votre moteur de recherches préféré). Vraiment désolé, je dosi y aller, je ne me défile pas hein, je pense juste en partant maintenant, que vous saurez trouver d tous les cas qu'il convient sur Internet, car j'ai dans l'esprit, que vous savez vous servir d'un moteur de recherches.

Zut
Je connais
Et mon avis est que cela n'a pas de sens, dans l'écrasante majorité des cas
En fait, cela ne serait utile que pour empêcher un équipement de ton réseau local de faire d'envoyer des messages UDP avec une IP spoofée.

L'application m'est étrangement étrangère

« Page précédente Page suivante »