logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#76 21-05-2018 08:35:39

Henry33
Membre
Inscription : 23-12-2016

Re : [Résolu] Configuration iptables à 4 réseaux

Salut,

Premier fichier corrigé.

J'ai une question concernant les requêtes echo-request: je comprends l'état NEW, mais est-ce qu'elles peuvent avoir l'état ESTABLISHED ? Je me dis que parfois oui, mais j'ai un doute.

Je reprends le deuxième fichier.
--- Fait

Le fait d'ordonner les règles comme tu l'as dit aide à la compréhension... C'est plus facile de suivre deux lignes qui se suivent. Merci pour ce conseil.

Dernière modification par Henry33 (21-05-2018 09:07:17)

Hors ligne

#77 21-05-2018 09:38:29

Henry33
Membre
Inscription : 23-12-2016

Re : [Résolu] Configuration iptables à 4 réseaux

raleur a écrit :

Commentaires sur le second fichier avec chaînes utitisateur.

Tu pourrais alléger encore plus en factorisant les règles des 3 types ICMP d'erreur dans une chaîne utilisateur.



En faisant :

-A in_priv  -j in
-A out_priv -j out

?

Hors ligne

#78 21-05-2018 13:42:31

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Configuration iptables à 4 réseaux

Henry33 a écrit :

concernant les requêtes echo-request: je comprends l'état NEW, mais est-ce qu'elles peuvent avoir l'état ESTABLISHED ?


Oui. Les paquets ICMP echo-request et echo-reply contiennent deux champs particuliers : un numéro d'identification et un numéro de séquence. La commande ping envoie une série de paquets avec le même numéro d'identification et des numéros de séquence qui s'incrémentent. Le suivi de connexion de netfilter considère que tous les paquets ICMP echo-request et echo-reply ayant les mêmes adresses source et destination (interverties pour les réponses) et le même numéro d'identification font partie de la même "connexion". Par conséquent, conformément au principe général des états de suivi de connexion de netfilter, les paquets echo-request ont l'état NEW tant qu'une réponse n'a pas été vue, le premier paquet echo-request a l'état ESTABLISHED et ensuite tous les paquets echo-request et echo-reply suivants ont aussi l'état ESTABLISHED.

(Factorisation des règles ICMP)
Non, pas comme ça.
En créant une chaîne pour les type d'erreur ICMP.
En y mettant les règles de traitement de ces types.
Et en remplaçant ces règles dans les autres chaînes par une règle d'appel à la chaîne.

-N icmp_error
-A icmp_error -p icmp --icmp-type destinatination-unreachable -m state --state RELATED -j ACCEPT
-A icmp_error -p icmp --icmp-type time-exceeded -m state --state RELATED -j ACCEPT
-A icmp_error -p icmp --icmp-type parameter-problem -m state --state RELATED -j ACCEPT
...
-A in_priv  -j icmp_error
-A out_priv -j icmp_error

-A in  -j icmp_error
-A out -j icmp_error
 


Il vaut mieux montrer que raconter.

Hors ligne

#79 21-05-2018 14:17:52

Henry33
Membre
Inscription : 23-12-2016

Re : [Résolu] Configuration iptables à 4 réseaux

Ok, merci pour les précisions sur les requêtes icmp.


Et merci pour les chaînes, je ne savais pas que ça pouvais fonctionner aussi comme ça. Ca me sera sûrement utile plus tard.

Pour les règles de filtrages ipv6, j'ai un peu avancé. C'est pas évident de trouver de la documentations explicative "simple", mais plus je découvre ce protocole, moins je l' apprécie . J'en comprends la nécessité technique, c'est sûr, mais il m'a l'air plus difficile (ou plus complexe) de "se cacher". Je n'aime pas Big Brother et ce protocole m'a l'air de sortir tout droit de son bureau (ce qui n'est certainement pas exacte). Je n'en connais pas assés pour l'instant pour avoir un vrai avis, mais j'apprécie la simplicité de l'ipv4 en comparaison de celui là... C'est une toute autre façon d'aborder le fonctionnement en réseau. Je vais devoir m'y faire, moi qui pensais en avoir (presque) fini avec cette partie...

Bon, je fais une pause parce que j'en ai marre, je reprends tout à l'heure...


Pour info, voici une page sur laquelle je m'appuie. Le type à l'air d'avoir creusé le sujet et je suis en train d'essayer de comprendre ses règles.

https://blog.stephane-huc.net/securite/ … all-icmpv6

EDIT :

En créant une chaîne pour ping, je peux simplifier ces lignes aussi, si je comprends bien.

Avec :

-N ping

-A ping -p icmp --icmp-type echo-request -m state --state NEW,ESTABLISHED -j ACCEPT

-A ping -p icmp --icmp-type echo-reply -m state --state ESTABLISHED -j ACCEPT



Ca :

# - PING - sens réseau privé -> routeur

-A in_priv -p icmp --icmp-type echo-request -m state --state NEW,ESTABLISHED -j ACCEPT
-A out_priv -p icmp --icmp-type echo-reply -m state --state ESTABLISHED -j ACCEPT

# - PING - sens routeur -> réseau privé

-A out_priv -p icmp --icmp-type echo-request -m state --state NEW,ESTABLISHED -j ACCEPT
-A in_priv -p icmp --icmp-type echo-reply -m state --state ESTABLISHED -j ACCEPT

 



Devient ça :


-A in_priv -j ping  
-A out_priv -j ping



C'est bon, non ?

EDIT : mais par contre, je ne dois pas le faire avec les réseaux publiques sinon ils se mettront à répondre au ping, alors que je ne veux pas. Toujours correct ?

Ca:

# - PING - sens routeur et réseau privé -> réseau publique

-A out -p icmp --icmp-type echo-request -m state --state NEW,ESTABLISHED -j ACCEPT
-A in -p icmp --icmp-type echo-reply -m state --state ESTABLISHED -j ACCEPT

# - PING - sens réseau publique -> routeur et réseau privé

#-A in -p icmp --icmp-type echo-request -m state --state NEW,ESTABLISHED -j ACCEPT
#-A out -p icmp --icmp-type echo-reply -m state --state ESTABLISHED -j ACCEPT
 



N'est pas remplaçable par ça:

# - PING - sens routeur et réseau privé -> réseau publique

-A out -j ping
-A in -j ping

# - PING - sens réseau publique -> routeur et réseau privé

#-A in -j ping
#-A out -j ping
 

Dernière modification par Henry33 (21-05-2018 14:53:52)

Hors ligne

#80 21-05-2018 16:02:44

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Configuration iptables à 4 réseaux

Correct. C'est pour cela que je n'ai pas suggéré de factoriser les règles de ping : 2 occurrences de 2 règles, le gain est maigre.
En fait, on peut ruser pour utiliser la chaîne ping dans in et out, par exemple en jouant avec les états :

-A out -j ping
-A in -m state --state ESTABLISHED -j ping


Ainsi on exclut les requêtes dans l'état NEW provenant de l'extérieur.
Mais je me dis que cela pourrait nuire à la lisibilité.


Il vaut mieux montrer que raconter.

Hors ligne

#81 21-05-2018 16:07:15

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Configuration iptables à 4 réseaux

J'oubliais un conseil : évite de modifier un message pour autre chose qu'une correction car contrairement à un nouveau message cela ne fait pas remonter la discussion et cela ne l'affiche pas comme contenant des messages non lus.

Il vaut mieux montrer que raconter.

Hors ligne

#82 21-05-2018 18:33:53

Henry33
Membre
Inscription : 23-12-2016

Re : [Résolu] Configuration iptables à 4 réseaux

--Chaînes

Cool, ça fait un truc de plus que j'ai compris.


--Forum

Ca marche !


--Ipv6

J'ai pas envie mais je m'y recolle...

Hors ligne

#83 21-05-2018 18:41:05

Henry33
Membre
Inscription : 23-12-2016

Re : [Résolu] Configuration iptables à 4 réseaux

Et est ce que ça c'est valable :


-A in -m state ! --state NEW -j ping
 

Dernière modification par Henry33 (22-05-2018 11:06:59)

Hors ligne

#84 21-05-2018 19:38:29

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Configuration iptables à 4 réseaux

Oui, aussi.
Si je ne m'abuse, tu verras avec iptables-save que cette forme négative est remplacée par la liste de tous les autres états (dont INVALID,RAW,UNTRACKED).

Il vaut mieux montrer que raconter.

Hors ligne

#85 21-05-2018 19:38:40

Henry33
Membre
Inscription : 23-12-2016

Re : [Résolu] Configuration iptables à 4 réseaux

Concernant l'ipv6, est-ce que je peux me passe du multicast ? J'ai compris que c'est un truc de Microsoft et d'Apple, mais est-ce qu'il est nécessaire dans l'ipv6 ?

Hors ligne

#86 21-05-2018 19:49:51

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Configuration iptables à 4 réseaux

Le multicast n'est pas du tout un truc de Microsoft et d'Apple. Tu confonds peut-être avec des protocoles comme Zeroconf et Bonjour qui utilisent du multicast local au lien, et notamment du "multicast DNS" (mDNS) qui n'est pas du DNS mais un protocole de résolution de nom aussi distinct de DNS que peut l'être la résolution de nom Netbios.

Autant le multicast était facultatif dans IPv4, autant son rôle est fondamental dans IPv6. En effet IPv6 n'utilise pas de broadcast (qui n'est qu'une forme particulière de multicast) et le remplace par du multicast là où IPv4 utilisait du broadcast. Le protocole NDP dont j'ai parlé plus haut (qui remplace ARP, pour faire simple) est basé sur du multicast local au lien (non routable).
Mais la bonne nouvelle, c'est que tu n'as pas forcément besoin de t'en préoccuper. Par exemple tu peux gérer les types ICMPv6 du protocole NDP sans te soucier de savoir si c'est de l'unicast ou du multicast.

Dernière modification par raleur (21-05-2018 20:14:44)


Il vaut mieux montrer que raconter.

Hors ligne

#87 21-05-2018 20:06:42

Henry33
Membre
Inscription : 23-12-2016

Re : [Résolu] Configuration iptables à 4 réseaux

Oui, je confond.

Bon, le ipv6 ne m'arrange pas la vie... Pour l'instant, j'ai retenu tout ça :


# - ICMP -

-A INPUT -p icmpv6 --icmpv6-type 1 -m conntrack --ctstate NEW -j ACCEPT   # destination-unreachable; Must Not Be Dropped
-A INPUT -p icmpv6 --icmpv6-type 2/0 -m conntrack --ctstate NEW -j ACCEPT   # packet too big; Must Not Be Dropped
-A INPUT -p icmpv6 --icmpv6-type 3/0 -m conntrack --ctstate NEW -j ACCEPT # time exceeded; Must Not Be Dropped
-A INPUT -p icmpv6 --icmpv6-type 3/1 -m conntrack --ctstate NEW -j ACCEPT # time exceeded; Should Not Be Dropped
-A INPUT -p icmpv6 --icmpv6-type 4/0 -m conntrack --ctstate NEW -j ACCEPT   # parameter pb: Erroneous header field encountered; Should Not Be Dropped
-A INPUT -p icmpv6 --icmpv6-type 4/1 -m conntrack --ctstate NEW -j ACCEPT   # parameter pb: Unrecognized Next Header Type encountered; Must Not Be Dropped
-A INPUT -p icmpv6 --icmpv6-type 4/2 -m conntrack --ctstate NEW -j ACCEPT   # parameter pb: Unrecognized IPv6 option encountered; Must Not Be Dropped

# address configuration and routeur selection mssg (received with hop limit = 255)
-A INPUT -p icmpv6 --icmpv6-type 133/0 -m hl --hl-eq 255 -j ACCEPT   # Router Solicitation - Must Not Be Dropped (only RELATED,ESTABLISHED,UNTRACKED)
-A INPUT -s fe80::/64 -p icmpv6 --icmpv6-type 134/0 -m hl --hl-eq 255 -j ACCEPT   # Router Advertisement - Must Not Be Dropped (only RELATED,ESTABLISHED,UNTRACKED)
-A INPUT -p icmpv6 --icmpv6-type 135/0 -m hl --hl-eq 255 -j ACCEPT   # Neighbor Solicitation - Must Not Be Dropped (only RELATED,ESTABLISHED,UNTRACKED)
-A INPUT -p icmpv6 --icmpv6-type 136/0 -m hl --hl-eq 255 -j ACCEPT   # Neighbor Advertisement - Must Not Be Dropped (only RELATED,ESTABLISHED,UNTRACKED)

-A INPUT -p icmpv6 --icmpv6-type 141/0 -d ff02::1 -m hl --hl-eq 255 -j ACCEPT   # Inverse Neighbor Discovery Solicitation Message - Must Not Be Dropped (only RELATED,ESTABLISHED,UNTRACKED)
-A INPUT -p icmpv6 --icmpv6-type 142/0 -m hl --hl-eq 255 -j ACCEPT   # Inverse Neighbor Discovery Advertisement Message - Must Not Be Dropped (only RELATED,ESTABLISHED,UNTRACKED)

# SEND certificate path notification mssg (received with hop limit = 255)
-A INPUT -p icmpv6 --icmpv6-type 148 -m hl --hl-eq 255 -j ACCEPT   # Certification Path Solicitation Message - Must Not Be Dropped (only RELATED,ESTABLISHED,UNTRACKED)
-A INPUT -p icmpv6 --icmpv6-type 149 -m hl --hl-eq 255 -j ACCEPT   # Certification Path Advertisement Message - Must Not Be Dropped (only RELATED,ESTABLISHED,UNTRACKED)

# - PING -
#-A INPUT -p icmpv6 --icmpv6-type 128/0 -m conntrack --ctstate NEW -j ACCEPT   # ping tool: echo request message; Must Not Be Dropped
#-A INPUT -p icmpv6 --icmpv6-type 129/0 -m conntrack --ctstate NEW -j ACCEPT  # ping tool: echo reply message; Must Not Be Dropped
 



Est-ce qu'il y en a de trop ? Est-ce qu'il en faut plus ?

J'ai mis de coté le multicast, mais à ce que j'ai compris (d’après les adresses), c'est que c'est pour le local. Donc est-ce qu'il ne vaut mieux pas que je les ajoute ou est-ce que le routeur (par dnsmasq ou autre que je ne connais pas encore) peut gérer ça ? A savoir qu'il est possible que des machines extérieur (non paramétrée pour mon réseau) viennent se connecter occasionnellement (ordi/tablette d'un pote ou d'une copine).

Sources :

https://blog.stephane-huc.net/securite/ … all-icmpv6

https://www.iana.org/assignments/icmpv6 … ters.xhtml

Dernière modification par Henry33 (21-05-2018 21:13:02)

Hors ligne

#88 21-05-2018 20:34:09

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Configuration iptables à 4 réseaux

- Utilise de préférence les noms des types/codes, c'est plus lisible. Et si ip6tables n'a pas de nom pour un type ou code, mets un commentaire pour l'identifier.

- Les type d'erreur doivent avoir l'état RELATED, comme en IPv4.

- A mon avis ce n'est pas demain la veille que tu auras besoin de SEND (Secure ND, signature cryptographique pour authentifier les paquets NDP).

Henry33 a écrit :

J'ai mis de coté le multicast, mais à ce que j'ai compris (d’après les adresses), c'est que c'est pour le local. Donc est-ce qu'il ne vaut mieux pas que je les ajoute


Que tu ajoutes quoi ?
Pour naviguer sur le web, pas besoin de multicast autre que le NDP.


Il vaut mieux montrer que raconter.

Hors ligne

#89 21-05-2018 20:47:29

Henry33
Membre
Inscription : 23-12-2016

Re : [Résolu] Configuration iptables à 4 réseaux

Ok, je vais clarifier les règles.

raleur a écrit :


Que tu ajoutes quoi ?



Tout ça :

# link-local multicast receive notification mssg (need link-local src address, with hop-limit: 1)
-A INPUT -p icmpv6 --icmpv6-type 130/0 -s fe80::/64 -m conntrack --ctstate NEW -m hl --hl-eq 1 -j ACCEPT   # Multicast Listener Query - Must Not Be Dropped
-A INPUT -p icmpv6 --icmpv6-type 131/0 -s fe80::/64 -m conntrack --ctstate NEW -m hl --hl-eq 1 -j ACCEPT   # Multicast Listener Report - Must Not Be Dropped
-A INPUT -p icmpv6 --icmpv6-type 132/0 -s fe80::/64 -m conntrack --ctstate NEW -m hl --hl-eq 1 -j ACCEPT   # Multicast Listener Done - Must Not Be Dropped

# link-local multicast receive notification mssg (need link-local src address, with hop-limit: 1)
-A INPUT -p icmpv6 --icmpv6-type 143 -s fe80::/64 -m conntrack --ctstate NEW -m hl --hl-eq 1 -j ACCEPT   # Version 2 Multicast Listener Report - Must Not Be Dropped


# multicast routeur discovery mssg (need link-local src address and hop limit = 1)
-A INPUT -p icmpv6 --icmpv6-type 151 -s fe80::/64 -m conntrack --ctstate NEW -m hl --hl-eq 1 -j ACCEPT   # Multicast Router Advertisement - Must Not Be Dropped
-A INPUT -p icmpv6 --icmpv6-type 152 -s fe80::/64 -m conntrack --ctstate NEW -m hl --hl-eq 1 -j ACCEPT   # Multicast Router Solicitation - Must Not Be Dropped
-A INPUT -p icmpv6 --icmpv6-type 153 -s fe80::/64 -m conntrack --ctstate NEW -m hl --hl-eq 1 -j ACCEPT   # Multicast Router Termination - Must Not Be Dropped
 

Hors ligne

#90 21-05-2018 21:03:12

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Configuration iptables à 4 réseaux

C'est toi qui vois. Moi, je n'y connais rien en multicast.

Il vaut mieux montrer que raconter.

Hors ligne

#91 21-05-2018 21:17:09

Henry33
Membre
Inscription : 23-12-2016

Re : [Résolu] Configuration iptables à 4 réseaux

Ok, je vais aller creuser de ce coté là.

Est-ce que tu sais si les Certification Path sont nécessaires ? Pour ce qui est des autres lignes de mon message #87, il me semble que c'est le cas.

Hors ligne

#92 21-05-2018 21:25:21

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Configuration iptables à 4 réseaux

Henry33 a écrit :

Est-ce que tu sais si les Certification Path sont nécessaires ?


Déjà répondu en #88 :

raleur a écrit :

A mon avis ce n'est pas demain la veille que tu auras besoin de SEND (Secure ND, signature cryptographique pour authentifier les paquets NDP).


Il vaut mieux montrer que raconter.

Hors ligne

#93 21-05-2018 21:38:20

Henry33
Membre
Inscription : 23-12-2016

Re : [Résolu] Configuration iptables à 4 réseaux

Ok, tout ça te parle beaucoup plus qu'a moi. Bon, j'ai de quoi commencer à travailler.

Merci pour les infos !

Hors ligne

#94 21-05-2018 21:43:39

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Configuration iptables à 4 réseaux

J'ai juste lu quelques infos sur SEND et vu que c'était une usine à gaz (comme tout ce qui est crypto) pas très utile pour son petit réseau domestique.

Il vaut mieux montrer que raconter.

Hors ligne

#95 21-05-2018 22:47:23

Henry33
Membre
Inscription : 23-12-2016

Re : [Résolu] Configuration iptables à 4 réseaux

De mon coté, je suis en train de comprendre que ma volonté de juste finir le boulot avec une table de filtrage ipv6 est une illusion... Si je veux faire les choses convenablement, il faut que je configure le routeur pour l'ipv6, sinon les filtres ne servent à rien... Logique tu me diras, j'aurai pu commencer par ça...

La chose qui me dérange le plus avec l'ipv6, mais je n'en sais pas encore assés sur le sujet, c'est il ne semble pas possible de cacher les machines d'un réseau privé derrière l'adresse du routeur. Dans ce que le lis sur le sujet du routage ipv6, c'est que toutes les adresses sont publiques. Je suis en train de voir comment paramétrer dnsmasq pour faire du DHCPv6 mais il y a cette histoire de double adresse que je ne maîtrise pas encore... Autant avec l'ipv4, c'est une pratique habituelle, autant avec l'ipv6, j'ai l'impression que tout le monde s'affiche aux yeux de tout le monde... Ce ne me plaît pas du tout comme concept...

Bon allez, encore un p'tit effort !

Hors ligne

#96 22-05-2018 06:36:54

Henry33
Membre
Inscription : 23-12-2016

Re : [Résolu] Configuration iptables à 4 réseaux

Salut,

Mon histoire de double adresse, qui a dû te faire froncer les sourcils, vient de ma clé wifi connectée à la box

ifconfig

Link encap:Ethernet  HWaddr 60:e3:27:19:9d:7c  
          inet addr:192.168.1.18  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::2f75:52db:4eb8:ffd9/64 Scope:Link
          inet6 addr: 2a01:cb06:24e:dd00:2e7a:a796:36fc:e308/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7057 errors:0 dropped:37 overruns:0 frame:0
          TX packets:5390 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:5889056 (5.6 MiB)  TX bytes:739604 (722.2 KiB)
 



Je ne sais pas encore ce que ça veut dire mais ça vient de là. Concernant la vie privée, j'ai peut-être un début de réponse mais pas encore la solution.

https://linuxfr.org/news/proteger-sa-vi … vec-l-ipv6

Dernière modification par Henry33 (22-05-2018 08:01:43)

Hors ligne

#97 22-05-2018 08:26:46

Henry33
Membre
Inscription : 23-12-2016

Re : [Résolu] Configuration iptables à 4 réseaux

Un début de réponse grâce à Korben :

https://korben.info/ipv6-anonymat.html

Hors ligne

Pied de page des forums