Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 10-01-2019 16:13:53

LaFouine
Membre
Distrib. : Debian testing strech
Noyau : 4.9.0-2-amd64
(G)UI : Xfce
Inscription : 10-04-2017

iptables rejeter une connextion

Bonjours, j'essaye avec iptable d'informer et de fermer un connexion a une application sachant que les applications ne sont pas sur la même machine.


63        300    15600 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            mark match 0xfa0 reject-with icmp-host-unreachable
64          0        0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            mark match 0xfa0 reject-with tcp-reset
 


J'ai tester les deux dans l'autre sens le résulta est le même.
le résultat est ceci:
Une application (firefox) attend dans le "vide" (ça mouline quoi) avant d’afficher un message d'erreur (que je voudrais modifier quelque part un jour...) et je voudrais que ça soit instantané ou presque hmm

j'ai rater une option dans iptable qui ferai cela ou c'est simplement impossible ?scratchhead.gif

Merci d'avance


Debian strech, 2 x nvidia 980 gtx sli, cm asurock 16 gb ram

Hors ligne

#2 10-01-2019 16:39:50

raleur
Membre
Inscription : 03-10-2014

Re : iptables rejeter une connextion

Note : le format de sortie d'iptables-save ou iptables -S est plus complet, compact et lisible.

Ces règles iptables sont-elles mises en place sur le serveur (en INPUT), le client (en OUTPUT) ou un routeur/pare-feu intermédiaire (en FORWARD) ?
Les jeux de règles des différentes machines impliquée autorisent-ils l'envoi, la retransmission (forward) et la réception de ces paquets ICMP ou TCP RST ?
Normalement l'envoi d'un TCP RST simule la réponse d'un port fermé, donc ne devrait pas nécessiter de règle particulière sauf s'il est émis par un routeur intermédiaire.

ICMP "host unreachable" ne doit être émis que par l'émetteur ou un routeur, pas par le destinataire (sinon il n'est pas injoignable). Pour les protocoles autres que TCP, on peut renvoyer ICMP "port unreachable" ou "communication administratively prohibited" si le client sait gérer ce type.

En ligne

#3 10-01-2019 17:04:09

LaFouine
Membre
Distrib. : Debian testing strech
Noyau : 4.9.0-2-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : iptables rejeter une connextion

raleur a écrit :

Note : le format de sortie d'iptables-save ou iptables -S est plus complet, compact et lisible.

Ces règles iptables sont-elles mises en place sur le serveur (en INPUT), le client (en OUTPUT) ou un routeur/pare-feu intermédiaire (en FORWARD) ?
Les jeux de règles des différentes machines impliquée autorisent-ils l'envoi, la retransmission (forward) et la réception de ces paquets ICMP ou TCP RST ?
Normalement l'envoi d'un TCP RST simule la réponse d'un port fermé, donc ne devrait pas nécessiter de règle particulière sauf s'il est émis par un routeur intermédiaire.

ICMP "host unreachable" ne doit être émis que par l'émetteur ou un routeur, pas par le destinataire (sinon il n'est pas injoignable). Pour les protocoles autres que TCP, on peut renvoyer ICMP "port unreachable" ou "communication administratively prohibited" si le client sait gérer ce type.



merci pour ta réponse,

les règles son placée dans toute les tables, je ne connaissais pas l'option -S très sympa comme sortie:)


iptables -S |grep REJECT
-A INPUT -m mark --mark 0xfa0 -j REJECT --reject-with icmp-host-unreachable
-A INPUT -p tcp -m mark --mark 0xfa0 -j REJECT --reject-with tcp-reset
-A FORWARD -m mark --mark 0xfa0 -j REJECT --reject-with icmp-host-unreachable
-A FORWARD -p tcp -m mark --mark 0xfa0 -j REJECT --reject-with tcp-reset
-A OUTPUT -m mark --mark 0xfa0 -j REJECT --reject-with icmp-host-unreachable
-A OUTPUT -p tcp -m mark --mark 0xfa0 -j REJECT --reject-with tcp-reset
 



iptable est placée après la box et sers de routeur dhcp/firwall l'icmp est autoriser sur ce dernier (enfin en local)
je vai voir pour les 2 autre solution je donnerai des nouvelles


Debian strech, 2 x nvidia 980 gtx sli, cm asurock 16 gb ram

Hors ligne

#4 10-01-2019 17:57:19

raleur
Membre
Inscription : 03-10-2014

Re : iptables rejeter une connextion

Bien sûr que c'est sympa, c'est le même format que iptables-save, ça ressemble à la syntaxe de création des règles donc c'est plus lisible.

Quelle est la raison d'être des règles en OUTPUT ?
Attention avec la cible REJECT, car il me semble qu'elle "recycle" le paquet rejeté pour le transformer en paquet de rejet, et celui-ci pourrait conserver la marque qui déclenche la correspondance "mark".

Pour investiguer tu peux faire une capture de traffic sur l'interface qui reçoit les paquets rejetés et doit émettre les paquets de rejet.

En ligne

#5 10-01-2019 21:05:24

LaFouine
Membre
Distrib. : Debian testing strech
Noyau : 4.9.0-2-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : iptables rejeter une connextion

La cible MARK est peut être ajouter après être recycler , mai je ne vois pas pourquoi sa aurai un intérêt sur le web ?
Cela rend la paquet plus lourd(la taille) et donc causer la fragmentation de ce dernier  ou je me trompe ?

la raison des règles en output c'est que je filtre ce qui sort, donc sa en fait partie, une interface et en nat sur une autre  vu que je maitrise pas le nat dans le doute j'ai préférer l'ajouter pour voir ce que sa donne. je résume : simple curiosité smile

Merci pour ta réponse.

Debian strech, 2 x nvidia 980 gtx sli, cm asurock 16 gb ram

Hors ligne

#6 11-01-2019 15:13:31

raleur
Membre
Inscription : 03-10-2014

Re : iptables rejeter une connextion

LaFouine a écrit :

La cible MARK est peut être ajouter après être recycler , mai je ne vois pas pourquoi sa aurai un intérêt sur le web ?


Je ne comprends pas ce que tu veux dire.
"peut-être" : c'est toi qui a écrit les règles MARK, c'est à toi de savoir si elles s'appliquent aux paquets émis par REJECT.
"intérêt sur le web" : quel rapport avec le web ?

LaFouine a écrit :

Cela rend la paquet plus lourd(la taille) et donc causer la fragmentation de ce dernier  ou je me trompe ?


Si tu parles de MARK, non cela ne modifie pas le paquet tel qu'il est transmis. C'est seulement une information maintenue en interne par le noyau pour son usage propre.

En ligne

#7 12-01-2019 17:33:34

LaFouine
Membre
Distrib. : Debian testing strech
Noyau : 4.9.0-2-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : iptables rejeter une connextion

Oui , je parle de la cible mark, des que j'ai le temps je me penche dessus merci pour ta réponse:)

Debian strech, 2 x nvidia 980 gtx sli, cm asurock 16 gb ram

Hors ligne

Pied de page des forums