compréhesion d'un code anti spoofing

spawn63 · 11-07-2020 16:28:43

Bonjour j'ai récupéré un code à mettre dans Iptables afin de se protéger contre le spoofing. Mais voila c'est bien beau les récupérations cependant encore faut il que je comprenne vraiment l'action de ce code je vous le présente:

if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]

then

for filtre in /proc/sys/net/ipv4/conf/*/rp_filter

do

echo 1 > $filtre

done

fi

Ma compréhention et moindre (débutant), donc à mon niveau ce que je ne comprend pas c'est pourquoi faire un echo 1 > dans le fichier correspondant => /proc/sys/net/ipv4/conf/all/rp_filter

Donc après recherche j'ai trouvé en faites c'est l'activation (1) de rp_filter ce qui va permettre la protection contre la contrefaçon des adresses interne. Reprenez moi si je me plante svp.

Quelqu'un pourrais m'en dire plus là dessus ?

Dernière modification par spawn63 (11-07-2020 16:43:42)

raleur · 11-07-2020 17:39:03

La description se trouve dans le fichier Documentation/networking/ip-sysctl.txt de la documentation du noyau :

rp_filter - INTEGER

        0 - No source validation.

        1 - Strict mode as defined in RFC3704 Strict Reverse Path

            Each incoming packet is tested against the FIB and if the interface

            is not the best reverse path the packet check will fail.

            By default failed packets are discarded.

        2 - Loose mode as defined in RFC3704 Loose Reverse Path

            Each incoming packet's source address is also tested against the FIB

            and if the source address is not reachable via any interface

            the packet check will fail.

        Current recommended practice in RFC3704 is to enable strict mode

        to prevent IP spoofing from DDos attacks. If using asymmetric routing

        or other complicated routing, then loose mode is recommended.

        The max value from conf/{all,interface}/rp_filter is used

        when doing source validation on the {interface}.

        Default value is 0. Note that some distributions enable it

        in startup scripts.

Note que ça n'a de sens que pour une machine qui a plusieurs interfaces connectées à des réseaux distincts.

spawn63 · 11-07-2020 17:52:21

Salut raleur, merci à toi, cela voudrais dire que je devrais placer ce code sur le "serveur" qui sert mes vlans:

box par feu ===>switch===>par-feu===>"serveur"===>switch===> vlan
||
||
DMZ

Par ce que avec le peu que je sais à l'instant, j'avais l'intention de mettre cette protection sur le par feu de la box.

raleur · 11-07-2020 18:01:54

Non, ça veut dire ce que j'ai écrit, ni plus, ni moins.

spawn63 · 11-07-2020 18:40:37

Ok, j'adore la réponse

! Bonne soirée à toi !

raleur · 11-07-2020 22:15:39

Que veux-tu que je réponde d'autre que des banalités sans rien savoir de ce réseau, ni contre quelles origines de spoofing tu veux le protéger ?

Debian-facile

#1 11-07-2020 16:28:43

compréhesion d'un code anti spoofing

#2 11-07-2020 17:39:03

Re : compréhesion d'un code anti spoofing

#3 11-07-2020 17:52:21

Re : compréhesion d'un code anti spoofing

#4 11-07-2020 18:01:54

Re : compréhesion d'un code anti spoofing

#5 11-07-2020 18:40:37

Re : compréhesion d'un code anti spoofing

#6 11-07-2020 22:15:39

Re : compréhesion d'un code anti spoofing

Pied de page des forums