Re: [P2P & iptables]

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
CC: Guilde Linux
Subject: Re: [P2P & iptables]
    Bonsoir,

Edgar Bonet wrote:
> Elles marchent. Je viens de faire l'essai en faisant précisément le
> remplacement que tu suggères : j'accède toujours au web.
>
> Petit test :
>
>     iptables -Z; \
>     lynx -dump http://www.guilde.asso.fr/ > /dev/null; \
>     iptables -L -v

>
> je vois 11 paquets acceptés par la règle
>
>     iptables -A OUTPUT -j ACCEPT

>
> et 8 par la règle
>
>     iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

>
> aucun paquet dropé (euh, je veux dire « jeté »).


    Tu as raison. J'ai fait les mêmes tests chez moi (kernel 2.4.22) et 
j'arrive au même résultats :


# Test 1 : On accepte toutes les connexions sortantes, et celles en
# retour
iptables -F
iptables -X
iptables -I OUTPUT -o eth0 -j ACCEPT
iptables -I INPUT -i eth0 -m state --state ESTABLISHED,RELATED \
          -j ACCEPT


# Test 2 : On accepte toutes les connexions entrantes, et celles en
# retour
iptables -F
iptables -X
iptables -I INPUT -i eth0 -j ACCEPT
iptables -I OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED \
          -j ACCEPT


    Dans le 1er test, les trames peuvent sortir et leurs réponses 
reviennent bien. Dans le 2nd test, les trames extérieur rentrent bien, 
et leurs réponses repartent correctement.


    Autant pour moi, on peut donc écrire des règles iptables + conntrack 
"dissymétriques", sans statut "NEW" pour les trames émises.



> Je fais confiance à Linux pour ne pas faire une chose pareille si je ne
> le lui demande pas.


    Je fais confiance moi aussi à Linux, mais pas forcément à ceux qui 
utilisent mon réseau en NAT !!! :=)


    Et puis, cela permet de voir nmap râler lorsqu'on veut lui faire faire 
des trucs bizarres... :=))



> Bof. Moi je pense que si un petit malin prend le contrôle de ma machine,
> c'est déjà perdu, il faut réinstaller et re-blinder. Et de toutes
> façons, s'il est assez fort pour prendre une machine firewallée, il
> connaît probablement iptables. Il commencera donc par faire
>
>     iptables -F; iptables -P INPUT ACCEPT; iptables -P OUTPUT ACCEPT


    C'est clair, je ne sous-estime en aucun cas ce type de petits malins. 
Mais ce n'est pas parce que certains sont très forts, ou qu'ils savent 
bien utiliser les outils développés par leurs aînés, qu'il faut leur 
faciliter le travail... Bref, comme aucune protection n'est pas 
inviolable, autant en accumuler un maximum pour retarder le plus 
possible l'adversaire... Même si cela ne lui fait perdre qu'un seconde, 
c'est toujours cela de pris.


> Bonne soirée.
>
> Edgar.


    Bonne nuit !


                    Olivier


-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  olivieraj.free.fr
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!