• Émettre des données.
• Recevoir des données.
• Émettre et recevoir des données à tour de rôle.

• ouvrir un port (comme un habitant ouvrirait une fenêtre de son immeuble).
• envoyer une requête à la machine serveur, sur le port qui héberge l'information qu'il désire.
• recevoir cette information via le port qu'il avait précédemment ouvert (*).
• refermer son port.

• Les ports dont le numéro est inférieur à 1024 serviront à recevoir des informations. En fait, derrière ces ports se trouverons des logiciels de type serveur (et que l'on appellera par la suite tout simplement "serveur") qui attendrons des requêtes d'autres ordinateurs, afin de fournir une certaine information. Ces ports là sont comme les portes de boutiques dans lesquelles attendent des commerçants. Voici quelques exemples de ports et leur utilisation type :

  Numéro du port	Type de service
  21	FTP : File Transfert Protocol (Échange de fichiers)
  23	Telnet : Terminal en mode texte
  25	SMTP : Simple Mail Transfert Protocol (envoi de mails)
  80	HTTP : HyperText Transfert Protocol (le web, que vous utilisez lorsque vous tapez "http://www...." dans votre navigateur)
  110	POP3 : Réception de mails

  
  Cependant, et comme écrit plus haut, n'importe quel port peut abriter un serveur, y compris ceux supérieur à 1024. Ainsi sur une machine Linux/Unix, les ports 6000 et au-delà servent au serveur graphique X11.
  
  De même, ce n'est pas parce qu'un port est actif sur une machine servant de serveur que forcément celui-ci sert à un usage précis. On peut en effet très bien déclarer sur une machine un serveur logiciel HTTP sur le port 21, au lieu du 80. Simplement, il faudra que le logiciel qui se connecte sur cette machine sache que, si il veut avoir du HTTP, il doit contacter le port 21, et non le port 80.
  
  Pour résumer : Il y a des règles dans la déclaration des ports utilisés par les serveurs logiciels, mais celles-ci peuvent être ignorées.
• Les ports compris entre 32768 et 61000 sont généralement utilisés par les logiciels clients pour dialoguer avec les ports serveurs d'une autre machine.
• Les autres ports peuvent servir à n'importe quel usage (serveur ou client)...

• Le logiciel client pourrait fort bien vouloir accéder à un logiciel serveur qui se trouve sur la même machine. Et dans ce cas là, le port 80 ne peut pas servir à la fois pour le logiciel serveur et le logiciel client.
• Sur une même machine, plusieurs logiciels peuvent accéder à plusieurs serveurs en même temps, en utilisant des services identiques. Par exemple, vous pouvez très bien faire une recherche sur www.google.fr tout en lisant des informations sur linuxfr.org, et en téléchargeant la dernière version de la distribution Debian sur www.debian.org.

• La première série est la plus petite adresse IP du réseau, moins une unité. Par exemple, pour un réseau dont les machines ont une adresse IP variant de 192.168.0.1 à 192.168.0.254, ce chiffre sera 192.168.0.0 .
• La seconde série est tout simplement le masque de sous-réseau : Dans notre exemple, il s'agira de 255.255.255.0 .

• soit l'immeuble en question se trouve dans la même zone, et dans ce cas l'habitant fera directement l'échange d'informations.
• soit l'habitant va donner l'information au garde barrière qui devra se débrouiller pour trouver l'immeuble de destination. Les détails de ce qui se passe après ne sont pas trop important. Ce qui compte c'est la réponse du garde barrière à l'habitant. Soit celui-ci a réussi à transmettre l'information, et donc il rapportera à l'habitant la réponse. Soit il n'a pas réussi à transmettre cette information dans un délai acceptable, auquel cas il le dira à l'utilisateur, qui prendra les décisions qui s'imposent.

• Possède une adresse IP unique dans ce réseau. Exemple : 192.168.0.1.
• Est dotée d'un masque de sous réseau, qui est commun avec les autres machines du réseau. Exemple : 255.255.255.0 .
• Peut ou non connaître l'adresse IP de la passerelle (gateway), seul point de sortie avec l'extérieur du réseau. Exemple : 192.168.0.254 .
• Le réseau qui englobe ces machines possède une dénomination explicite. Exemple : 192.168.0.0 / 255.255.255.0 ou 192.168.0.0 / 24 .

I-6-1 TCP

I-6-2 UDP

I-6-3 ICMP

Je sais que je vais faire hurler les puristes d'IP en mélangeant dans un même paragraphe un élément de la couche 2(*) (ICMP) avec d'autres de la couche 3(*) (TCP et UDP), mais en fait, cette approximation n'est pas si primordiale que cela dans le cadre de cette documentation...
(*): Dans le modèle TCP/IP, et non le modèle OSI. Voir à ce sujet ces pages ici et là.

• A va tout d'abord envoyer un paquet de données à B lui demandant l'autorisation de lui parler. Ce paquet s'appelle un SYN (pour "SYNchronisation").
• B, en machine polie, va renvoyer un paquet à A pour lui dire qu'elle est d'accord pour entamer le dialogue. Ce paquet envoyé en retour devrait s'appeler un ACK (ACKnowledge, pour "reconnaissance"). Mais comme c'est la première fois que B envoie un paquet à A, elle doit lui aussi synchroniser cette connexion. Le paquet est donc un SYN / ACK.
• A est donc contente, elle sait que B est bien présente sur le réseau, et en plus disposée à lui parler. Elle peut donc lui envoyer sa requête. Mais comme le paquet que lui a envoyée B contient un "SYN", c'est que cette dernière attend elle aussi une confirmation que A a bien reçue sa réponse. Donc A va envoyer un second paquet à B, pour l'informer. C'est donc un ACK.
• Et maintenant, B va envoyer à A...
  Naaannnnn, c'est une plaisanterie, c'est juste histoire de vérifier que vous suiviez toujours . En fait, la poignée de mains est maintenant terminée. A et B sont prêtes à s'échanger des informations. Donc A va envoyer sa requête à B, qui décidera quoi répondre à A.

• Une carte réseau, enfichée dans le boîtier de l'ordinateur.
• Un modem interne ou externe, de type RTC (Réseau Téléphonique Commuté) ou Numéris, dialoguant avec la machine par une interface série (COM 1, 2, 3, 4 par exemple).
• Un modem ADSL interne ou externe, dialoguant réciproquement avec la machine via le bus PCI ou une interface USB.
• Une interface virtuelle, donc pas du tout électronique (voir le paragraphe suivant)
• Ou autre chose...

• Pour une carte réseau, l'interface ethX, ou X est un nombre. Par exemple, eth0, eth1, eth2,... En général, une machine possède une seule carte réseau, donc on ne trouvera que eth0.
• Pour un modem, quel que soit le type, l'interface pppX, ou X est un nombre. Par exemple, ppp0, ppp1, ppp2,... Là encore, en général une machine possède qu'un seul modem, donc on ne trouve que ppp0.
• Enfin, même si une machine utilise le protocole IP mais qu'elle n'a pas de carte réseau, elle possède une interface réseau particulière appelée loopback (littéralement "boucle de retour"). On en a déjà parlé précédemment, à propos du réseau 127.0.0.0/8. Et oui, pour qu'un tel réseau existe, il faut qu'il s'appuie sur une interface réseau, et c'est le rôle de l'interface loopback, appelée tout simplement lo. Mis à part une utilité qui peut paraître parfaitement cosmétique, cette interface réseau est primordiale, et vous l'utilisez sans doute parfois sans vous en rendre compte. Si par exemple vous avez une machine dont l'adresse IP est 192.168.0.1 sur l'interface réseau eth0, et que depuis cette machine là vous faite un "ping 192.168.0.1", ce n'est pas votre interface réseau physique "eth0" que vous allez utiliser, mais bien l'interface "lo". En effet, le système utilisera "lo", mais vous laissera à penser que vous avez effectivement utilisé "eth0". Nous verrons plus tard l'importance de cette "auto connexion".
  

• En premier lieu, on trouve la machine Phoenix qui représente soit votre propre machine, soit la machine qui servira de passerelle / firewall pour votre réseau interne. Phoenix est constituée de 2 cartes réseaux, eth0 et eth1, chacune possédant une paire d'adresse IP / nom différente :

  Interface réseau	Adresse IP	Masque de sous-réseau	Réseau	Nom
  eth0	192.168.0.1	255.255.255.0	192.168.0.0/24	phoenix0.sky.net ou phoenix.sky.net(*)
  eth1	10.0.0.1	255.0.0.0	10.0.0.0/8	phoenix1.internet.net

  (*) : phoenix.sky.net est un alias sur phoenix0.sky.net, ce qui veut dire que ces 2 noms pointent sur la même adresse IP. C'est un peu bizarre, mais c'est à usage uniquement cosmétique. Ne vous prenez pas trop la tête avec cela...
  
  Le domaine "sky.net" est bien entendu complètement fictif, ce qui n'a pas d'importance car c'est un réseau privé de classe C. Le réseau "internet.net" est lui aussi fictif, mais il a pour but de simuler la connexion de Phoenix au réseau Internet. J'ai utilisé un réseau privé de classe A pour simuler ce pseudo Internet, mais bien évidement dans le cadre de votre connexion, il s'agirait du réseau public Internet.
  
  Dans le cadre de votre connexion personnelle à Internet, vraisemblablement via un modem ADSL, Numéris, ou RTC, vous pouvez utiliser le tableau d'équivalence suivant :

  Interface réseau	Adresse IP	Masque de sous-réseau	Réseau	Nom
  eth1	10.0.0.1	255.0.0.0	10.0.0.0/8	phoenix1.internet.net
  ppp0	81.53.30.153(*)	255.255.255.255	Point à point	grenoble-153.30.53.81.abo.free.fr(*)

  (*) : Ces valeurs sont fictives, et représentent une connexion point à point à Internet via Free. Comment, je n'ai pas encore parlé de connexion "point à point" ? Aucune importance, cela se passe au-delà de l'interface modem "ppp0", donc cela n'a pas d'importance pour ce document .
  
  Donc dans le reste de ce document, considérez que l'interface eth1 de Phoenix est votre propre interface réseau ppp0 . Ouf, voila une machine qui ne possède qu'une seule carte réseau, cela ressemble sans doute un peu plus à votre propre configuration !
  
  Phoenix va avoir 3 tâches :
  • Fournir des services aux machines du réseau local, comme du partage de fichiers, un service DHCP, de la résolution de noms, une base de données, etc... Il n'est pas très habituel de trouver autant de fonctionnalités de serveur sur une machine personnelle, mais comme sous Linux il est très facile d'en installer (sans pour autant les configurer correctement), j'ai donc grassement chargé cette machine de fonctionnalités... Bien entendu, ces type des services ne sont pas destinés à être exploités par les machines se trouvant sur Internet (donc sur le réseau internet.net), et tout spécialement par pirate.internet.net.
  • Servir de passerelle entre le réseau local (sky.net) et Internet (internet.net), afin que les machines du réseau local puissent surfer sur le net. Par exemple, pour que paradise.sky.net aille sur web.internet.net.
  • Faire du suivi de port ("port fowarding" en anglais), pour que certains serveurs fonctionnant sur paradise.sky.net puissent être visibles sur internet.net.
  • Assurer la sécurité de toutes les machines du réseau sky.net, Phoenix compris.
  
  

• Sur le réseau internet.net se trouve la machine Pirate, qui va jouer le rôle d'un vilain fouineur cherchant un moyen d'accéder à votre machine. Pour les raisons de la conférence qui est associée à cette documentation, cette machine jouera en plus de son rôle d'intrus, celui d'un site web tout ce qu'il y a de plus honnête. Cette machine a donc 2 adresses IP, mais si cela vous pose problème, considérez simplement que ce sont 2 machines indépendantes :

  Adresse IP	Masque de sous-réseau	Réseau	Nom
  10.0.0.66	255.0.0.0	10.0.0.0/8	pirate.internet.net
  10.0.0.200	255.0.0.0	10.0.0.0/8	web.internet.net

  
  
• Enfin, la dernière machine est Paradise, qui se trouve sur le réseau sky.net. Cette machine aura 2 besoins :
  • Accéder à divers informations et services fournis par Phoenix : partage de fichiers, mails, etc...
  • Se connecter à Internet, et notamment à web.internet.net, pour surfer ou pour faire tout ce que l'on peut faire sur Internet.

  Adresse IP	Masque de sous-réseau	Réseau	Nom
  192.168.0.5	255.255.255.0	192.168.0.0/24	paradise.sky.net

  
  

II-2-1 Nmap

[intrus@pirate /]$ nmap phoenix1.internet.net

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on phoenix1.internet.net (10.0.0.1):
(The 1590 ports scanned but not shown below are in state: closed)
Port       State       Service
21/tcp     open        ftp
23/tcp     open        telnet
25/tcp     open        smtp
53/tcp     open        domain
80/tcp     open        http
110/tcp    open        pop-3
111/tcp    open        sunrpc
139/tcp    open        netbios-ssn
443/tcp    open        https
3306/tcp   open        mysql
6000/tcp   open        X11

Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds

II-2-2 Tcpdump

[root@phoenix /]# tcpdump -i eth1
tcpdump: listening on eth1
19:31:25.170017 arp who-has phoenix1.internet.net tell pirate.0.0.10.in-addr.arpa
19:31:25.170079 arp reply phoenix1.internet.net is-at 0:4:75:df:d8:bd
19:31:25.170232 pirate.0.0.10.in-addr.arpa > phoenix1.internet.net: icmp: echo request (DF)
19:31:25.170355 phoenix1.internet.net > pirate.0.0.10.in-addr.arpa: icmp: echo reply

[root@phoenix /]# grep promiscuous /var/log/messages
Jun 28 19:31:21 phoenix kernel: device eth1 entered promiscuous mode
Jun 28 19:31:28 phoenix kernel: device eth1 left promiscuous mode

II-2-3 Ethereal

• On voit bien les demandes de connexions ("SYN") de pirate.internet.net (10.0.0.66), suivi des "ACK/SYN" de phoenix1.internet.net (10.0.0.1), puis le "ACK" en réponse de pirate.internet.net. Bref, c'est toute la poignée de main ("handshake" en anglais) qui se déroule ici.
• On remarque que l'ordre des ports qui sont scannés est croissant, ce qui n'est pas très discret. Mais en fait on peut demander à nmap de faire ses requêtes dans un ordre aléatoire, afin d'être moins visible.
• De même, on voit que les ports sont testés très rapidement (à peine 1/10000ème de seconde pour chaque port), certes sur un réseau rapide (100 Mbit/s). La machine cible est littéralement assaillie. Mais là encore, nmap peut se révéler être plus discret, en espaçant la durée entre chaque connexion.

II-2-4 Netstat

• -t : Indique les connexions TCP.
• -u : Indique les connexions UDP.
• -a : Affiche toutes ("all") les connexions, y comprit celle des serveurs en attente de connexion.
• -e : Affiche le nom de l'utilisateur qui a lancé le programme qui utilise ce port.
• -p : Seul le root peut utiliser cette option. Elle indique quel est le PID (Process Identifiant) et le nom du programme utilisant le port.

[root@phoenix /]# netstat -taupe | sort
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante Etat   Utilisatr  Inode      PID/Program name
tcp        0      0 *:ftp                   *:*              LISTEN root       830048     18450/xinetd
tcp        0      0 *:http                  *:*              LISTEN root       829583     17979/httpd2
tcp        0      0 *:https                 *:*              LISTEN root       829580     17979/httpd2
tcp        0      0 localhost.sky.ne:domain *:*              LISTEN named      835771     18847/
tcp        0      0 localhost.sky.net:rndc  *:*              LISTEN named      835779     18847/
tcp        0      0 localhost.sky.:webcache *:*              LISTEN privoxy    587136     6407/
tcp        0      0 *:mysql                 *:*              LISTEN root       839103     19199/
tcp        0      0 phoenix1.in:netbios-ssn *:*              LISTEN root       839012     19128/smbd
tcp        0      0 phoenix1.interne:domain *:*              LISTEN named      835775     18847/
tcp        0      0 phoenix.sky:netbios-ssn *:*              LISTEN root       839013     19128/smbd
tcp        0      0 phoenix.sky.net:domain  *:*              LISTEN named      835773     18847/
tcp        0      0 *:pop3                  *:*              LISTEN root       830047     18450/xinetd
tcp        0      0 *:smtp                  *:*              LISTEN root       827316     17081/
tcp        0      0 *:sunrpc                *:*              LISTEN root       839095     19208/
tcp        0      0 *:telnet                *:*              LISTEN root       830049     18450/xinetd
tcp        0      0 *:x11                   *:*              LISTEN root       3742       1593/X
udp        0      0 *:bootps                *:*                     root       839078     19191/dhcpd
udp        0      0 localhost.sky.ne:domain *:*                     named      835770     18847/
udp        0      0 *:netbios-dgm           *:*                     root       839024     19138/nmbd
udp        0      0 *:netbios-ns            *:*                     root       839023     19138/nmbd
udp        0      0 phoenix1.in:netbios-dgm *:*                     root       839030     19138/nmbd
udp        0      0 phoenix1.interne:domain *:*                     named      835774     18847/
udp        0      0 phoenix1.int:netbios-ns *:*                     root       839029     19138/nmbd
udp        0      0 phoenix.sky:netbios-dgm *:*                     root       839033     19138/nmbd
udp        0      0 phoenix.sky.:netbios-ns *:*                     root       839031     19138/nmbd
udp        0      0 phoenix.sky.net:domain  *:*                     named      835772     18847/
udp        0      0 *:sunrpc                *:*                     root       839094     19208/

II-2-5 Lsof

• -i : Restreint la recherche aux seuls "fichiers" de connexion IP.
• -P : Converti le numéro de port (exemple : 80) en son nom équivalent (exemple : http).

[root@phoenix /]# lsof -Pi | sort
COMMAND   PID    USER   FD   TYPE DEVICE SIZE NODE NAME
dhcpd   19191    root    6u  IPv4 839078       UDP *:67
httpd2  17979    root    3u  IPv4 829580       TCP *:443 (LISTEN)
httpd2  17979    root    4u  IPv4 829583       TCP *:80 (LISTEN)
httpd2  17987  apache    3u  IPv4 829580       TCP *:443 (LISTEN)
httpd2  17987  apache    4u  IPv4 829583       TCP *:80 (LISTEN)
httpd2  17988  apache    3u  IPv4 829580       TCP *:443 (LISTEN)
httpd2  17988  apache    4u  IPv4 829583       TCP *:80 (LISTEN)
httpd2  17989  apache    3u  IPv4 829580       TCP *:443 (LISTEN)
httpd2  17989  apache    4u  IPv4 829583       TCP *:80 (LISTEN)
httpd2  17990  apache    3u  IPv4 829580       TCP *:443 (LISTEN)
httpd2  17990  apache    4u  IPv4 829583       TCP *:80 (LISTEN)
httpd2  17991  apache    3u  IPv4 829580       TCP *:443 (LISTEN)
httpd2  17991  apache    4u  IPv4 829583       TCP *:80 (LISTEN)
httpd2  18591  apache    3u  IPv4 829580       TCP *:443 (LISTEN)
httpd2  18591  apache    4u  IPv4 829583       TCP *:80 (LISTEN)
master  17081    root   11u  IPv4 827316       TCP *:25 (LISTEN)
mysqld  19199   mysql    3u  IPv4 839103       TCP *:3306 (LISTEN)
mysqld  19215   mysql    3u  IPv4 839103       TCP *:3306 (LISTEN)
mysqld  19216   mysql    3u  IPv4 839103       TCP *:3306 (LISTEN)
named   18847   named   10u  IPv4 835771       TCP localhost.sky.net:53 (LISTEN)
named   18847   named   11u  IPv4 835772       UDP phoenix.sky.net:53
named   18847   named   12u  IPv4 835773       TCP phoenix.sky.net:53 (LISTEN)
named   18847   named   13u  IPv4 835774       UDP phoenix1.internet.net:53
named   18847   named   14u  IPv4 835775       TCP phoenix1.internet.net:53 (LISTEN)
named   18847   named   17u  IPv4 835779       TCP localhost.sky.net:953 (LISTEN)
named   18847   named    8u  IPv4 835778       UDP *:32803
named   18847   named    9u  IPv4 835770       UDP localhost.sky.net:53
named   18848   named   10u  IPv4 835771       TCP localhost.sky.net:53 (LISTEN)
named   18848   named   11u  IPv4 835772       UDP phoenix.sky.net:53
named   18848   named   12u  IPv4 835773       TCP phoenix.sky.net:53 (LISTEN)
named   18848   named   13u  IPv4 835774       UDP phoenix1.internet.net:53
named   18848   named   14u  IPv4 835775       TCP phoenix1.internet.net:53 (LISTEN)
named   18848   named   17u  IPv4 835779       TCP localhost.sky.net:953 (LISTEN)
...

II-2-6 Fuser

• -v [type de ports] : Affiche les ports ouverts du type [type de ports]. Exemple : "80/tcp" pour les port TCP 80.

[root@phoenix /]# fuser -v 80/tcp

                     USER        PID ACCESS COMMAND
80/tcp               root      17979 f....  httpd2
                     root      17987 f....  httpd2
                     root      17988 f....  httpd2
                     root      17989 f....  httpd2
                     root      17990 f....  httpd2
                     root      17991 f....  httpd2
                     root      18591 f....  httpd2

[root@phoenix /]# fuser 67/tcp 67/udp 80/tcp
67/udp:              19191
80/tcp:              17979 17987 17988 17989 17990 17991 18591

II-2-7 Ping

• Saturer une machine, en la noyant sous un flot de paquets, ce qui a pour effet de consommer la bande passante et d'augmenter la charge CPU. Une utilisation particulière basé sur la technique du "ping" est l'attaque DDOS (Distributed Deny Off Service, ou "attaque distribuée par refus de service"), qui peut ralentir énormément une machine, voir un réseau...
• Donner des informations sur la machine cible. Même si une machine n'exécute aucun serveur (voir le paragraphe suivant), "ping" peut indiquer à l'intrus que sa cible est quand même en fonctionnement, ce qui peut être un premier pas pour exciter sa curiosité... Par défaut, les machines ne sont pas configurées pour ne pas répondre aux ping. Dans le chapitre suivant, nous verrons comment configurer la machine pour qu'elle ne réponde pas à "ping", et aux autres paquets ICMP en général.

[olivier@phoenix /]$ ping www.google.fr
PING www.google.com (216.239.39.99) 56(84) bytes of data.
64 bytes from 216.239.39.99: icmp_seq=1 ttl=49 time=519 ms
64 bytes from 216.239.39.99: icmp_seq=2 ttl=49 time=229 ms
64 bytes from 216.239.39.99: icmp_seq=3 ttl=49 time=229 ms
64 bytes from 216.239.39.99: icmp_seq=4 ttl=49 time=229 ms
64 bytes from 216.239.39.99: icmp_seq=6 ttl=49 time=229 ms
64 bytes from 216.239.39.99: icmp_seq=7 ttl=49 time=229 ms
64 bytes from 216.239.39.99: icmp_seq=8 ttl=49 time=219 ms
64 bytes from 216.239.39.99: icmp_seq=10 ttl=49 time=219 ms

--- www.google.com ping statistics ---
10 packets transmitted, 8 received, 20% packet loss, time 9349ms
rtt min/avg/max/mdev = 219.981/263.552/519.507/96.831 ms

II-2-8 Traceroute

[root@phoenix /]# ls -la /usr/sbin/traceroute
-rwsr-xr-x    1 root     bin         18136 mai  7  2002 /usr/sbin/traceroute*

[root@phoenix /]# traceroute 200.165.134.194
traceroute to 200.165.134.194 (200.165.134.194), 30 hops max, 38 byte packets
 1  192.168.254.254 (192.168.254.254)  119.244 ms  110.262 ms  109.510 ms
 2  grenoble-3k-1-a5.routers.proxad.net (213.228.10.30)  109.974 ms  109.811 ms  120.138 ms
 3  cbv-6k-1-a7.routers.proxad.net (213.228.3.120)  129.695 ms  119.787 ms  130.286 ms
 4  prs-b2-geth6-0.telia.net (213.248.71.13)  129.895 ms  129.943 ms  119.906 ms
 5  prs-bb1-pos1-2-0.telia.net (213.248.70.5)  129.947 ms  120.188 ms  119.663 ms
 6  ldn-bb1-pos0-2-0.telia.net (213.248.64.157)  130.058 ms  119.730 ms  129.883 ms
 7  ldn-bb2-pos0-0-0.telia.net (213.248.64.162)  149.989 ms  150.124 ms  139.694 ms
 8  nyk-bb2-pos2-3-0.telia.net (213.248.65.38)  220.042 ms  219.873 ms  219.907 ms
 9  nyk-bb1-pos0-0-0.telia.net (213.248.80.1)  189.920 ms  190.519 ms  199.344 ms
10  sl-gw27-nyc-10-0.sprintlink.net (144.232.230.29)  190.289 ms  190.159 ms  189.732 ms
11  sl-bb24-nyc-15-0.sprintlink.net (144.232.7.25)  210.080 ms  199.748 ms  199.883 ms
12  sl-bb21-nyc-6-0.sprintlink.net (144.232.13.186)  189.992 ms  209.842 ms  199.948 ms
13  sl-bb21-atl-11-1.sprintlink.net (144.232.18.69)  220.024 ms  209.990 ms  219.963 ms
14  sl-bb20-orl-14-2.sprintlink.net (144.232.19.170)  239.885 ms  229.955 ms  229.944 ms
15  sl-bb21-orl-15-0.sprintlink.net (144.232.2.146)  230.250 ms  239.882 ms  230.041 ms
16  sl-st21-mia-15-1.sprintlink.net (144.232.20.13)  239.983 ms  229.887 ms  239.914 ms
17  sl-splkt1-3-0.sprintlink.net (144.223.244.78)  349.943 ms  349.903 ms  349.912 ms
18  200.187.128.69 (200.187.128.69)  350.908 ms  349.908 ms  349.933 ms
19  200.223.131.213 (200.223.131.213)  389.949 ms  399.927 ms  390.009 ms
20  PO0-0.BOT-RJ-ROTN-01.telemar.net.br (200.223.131.122)  389.862 ms  399.640 ms  389.948 ms
21  PO6-0.ASGS-BA-ROTN-01.telemar.net.br (200.223.131.73)  390.002 ms  379.775 ms  379.940 ms
22  PO4-0.BVG-PE-ROTN-01.telemar.net.br (200.223.131.17)  390.056 ms  389.770 ms  390.063 ms
23  PO10-0.BVG-PE-ROTD-02.telemar.net.br (200.223.131.22)  399.816 ms  389.723 ms  389.966 ms
24  200.164.204.198 (200.164.204.198)  399.975 ms  389.775 ms  390.692 ms
25  200.164.234.34 (200.164.234.34)  1379.447 ms  2529.793 ms  1259.899 ms
26  200.165.134.194 (200.165.134.194)  1809.956 ms  2259.911 ms  2969.929 ms

• La première ligne est le point de départ de la commande "traceroute", c'est à dire Phoenix. Remarquez qu'il s'agit d'une adresse IP privée, ce qui n'est pas anormal pour une connexion point à point.
• La 2nde ligne montre ma propre adresse IP sur Internet. Comme je n'utilise qu'un modem RTC pour me connecter, cette adresse IP change tout le temps. Donc inutile de vous acharner sur cette adresse afin de pirater ma machine, ce ne sera pas la mienne qui se trouvera à cette adresse IP lorsque vous lirez ces lignes . Au passage, on voit que ma machine se trouve dans la région de Grenoble (en Isère / France / Europe / Terre / Système solaire / Voie lactée), et que mon fournisseur d'accès est Free (Proxad.net <-> Free), mais cela, vous deviez déjà vous en douter...
• La ligne 5 indique que l'on sort du réseau de Free, pour rentrer sur le réseau de TeliaSonera, qui est un groupe Européen de transmissions réseaux.
• En 6 nous sommes à Londre (indicatif "lnd" <-> Londre).
• En 8 nous sommes à New-York (indicatif "nyk" <-> New-York).
• En 10, nous entrons dans le réseau de SprintLink, un autre grand réseau de communications. Les lignes suivantes nous font descendre la coté Est des États-Unis pour Miami. Afin de déterminer le chemin emprunté, on s'aide des règles d'appellation des routeurs de ce réseau.
• En 20, nous sommes maintenant au Brésil !
• En 23, cela se précise, nous somme dans la région de Pernambuco, sur la pointe Est du Brésil.
• Enfin, la ligne 25 nous indique que nous avons atteint notre but. Il est difficile de déterminer quelle est la nature de cette machine, et si ou non c'est un "script kiddy" qui tue le temps à faire du port scanning, au lieu d'aller sur la plage (quoi que là bas, c'est l'hiver, et l'eau n'est peut-être qu'à seulement 25 degrés... ). Mais comme c'est le port 137 de ma machine (le partage de fichiers) qui l'intéressait, j'ose espérer que ce n'était pas une société, en mal de recherche de secrets industriels !

II-2-9 Autres informations

II-3-1 Démons

• cron, qui lance des tâches à intervalles réguliers.
• dm qui gère la sourie en mode texte.
• xfs, le serveur de fontes de X.
• etc...

II-3-2 Serveurs

II-3-3 Démons de service (inetd / xinetd)

• L'utilisateur : Faire tourner un serveur, c'est bien. Mais ce programme là tourne avec quels droits ? Je m'explique : Sous Linux, nous avons différents utilisateurs (par exemple "olivier"), qui ont leur propre compte, et qui utilisent des logiciels. Si l'utilisateur fait un erreur en utilisant un logiciel (ou que celui-ci fasse une erreur), les conséquences ne pourront avoir lieu qu'avec les droits de l'utilisateur.
  
  Par exemple, la commande "rm -rf /" va avoir pour conséquence de supprimer tous les fichiers et tous les répertoires accessibles par la machine (Non, je ne ferais pas un exemple de cette commande, même pour vous faire plaisir... ). Tout les fichiers vont être détruits ? Non, en fait seul ceux dont l'utilisateur "olivier" a les droits d'écriture y passerons, à commencer par les fichiers de "/home/olivier". Mais les principaux fichiers de la machines (les exécutables, les fichiers de configuration, etc...), et les fichiers des autres utilisateurs seront épargnés. Ouf...
  
  Oui, mais si la commande "rm -rf /" avait été lancé par l'utilisateur root, que ce serait t'il passé ? Et bien, je n'aurais eu plus qu'à m'arracher les cheveux, et tout réinstaller.
  
  Ce petit exemple a pour but de vous faire prendre conscience des problèmes de droits d'accès. Imaginez maintenant qu'un programme serveur soit lancé avec les droits root, et que d'une manière ou d'une autre un logiciel client puisse arriver à faire exécuter une commande par le logiciel serveur, de type "rm -rf /"... Vous avez compris, ou il faut que je vous fasse un dessin ? Cet exemple est malheureusement très représentatif de la situation d'Internet actuellement. Et si des milliers de machines se font pirater tout les jours par le dernier virus-vers à la mode ("nimda", "kournikova", etc...), c'est souvent parce que le serveur web qui a été touché était lancé avec les droits les plus élevés.
  
  Heureusement il y a une solution. C'est de lancer le serveur avec les droits d'un utilisateur particulier, qui n'a pas accès à grand chose. Si on reprend les commandes "netstat" ou "lsof" vues plus haut, on voit par exemple que :
  • Le programme qui tourne sur "localhost.sky.:webcache" a été lancé avec l'utilisateur "privoxy".
  • Les différents programmes de type ":domain" sont lancés avec l'utilisateur "named".
  Évidement, ces programmes n'ont que des droits très limités, donc les risques sont faibles. En cas d'attaque un peu sévère, ces programmes ne pourraient supprimer qu'une poignée de fichiers.
  
  Certains autres programmes ("httpd2", "ftp", etc...) sont lancés avec des droits root. Horreur ?!?!?! En fait non, car ceux-là peuvent être capable de changer d'utilisateur à la volé, juste avant de commencer à analyser les données venant du client. On le voit bien avec le logiciel "http2", qui :
  • Selon "netstat" tourne sous le compte de root ("root  829583   17979/httpd2").
  • Par contre, "lsof" indique que la connexion IP est ouverte par l'utilisateur "apache" ("httpd2  17987  apache").
  
  Conclusion : Avant de lancer un serveur, bien faire attention à l'utilisateur qui le lance. Cela se paramètre soit dans les fichiers de configuration du serveur (répertoire "/etc/"), ou carrément dans le script qui lance le démon (répertoire "/etc/init.d/").
  
  
• La prison : Même si on a bien fait attention à lancer un serveur avec les droits d'un utilisateur non root, il peut arriver 2 choses :
  • Il existe quelque part sur la machine, des fichiers ou des répertoires qui sont en écriture pour tout le monde (Et cela, C'est Mal). Auquel cas cet utilisateur, même si il n'a que des droits limités, pourra quand même supprimer des fichiers.
  • Mais le but d'un pirate n'est pas que de détruire. Il peut aussi vouloir récupérer des informations sur votre machine. Par exemple, l'état de votre compte saisit dans gnucash, vos mots de passe pour vos comptes email (exemple : "~/.fetcmailrc"), ou pire encore... Êtes vous sûr que tous vos fichiers et vos répertoires sont tous interdit en lecture / exécution ("rwxr-x--") ? Nannn, pas sur du tout, hein ? Bon, alors vous êtes mûre pour le chroot, "the jail", bref la prison.
  L'idée de la technique du "chroot", est de faire exécuter une commande en lui faisant croire que le "/" est à un autre endroit. Pour les utilisateurs de Windows®, cela reviendrait à lancer par exemple le "notepad.exe" depuis le "C:\JAIL\WINDOWS\notepad.exe", en lui faisant croire qu'il est en fait en "C:\WINDOWS\notepad.exe". Mais la technique du "chroot" n'existe pas du tout sous Windows®.
  
  L'intérêt de cette technique est évidente. Le programme s'exécute dans un vrai - faux "/", dans lequel il n'y a rien d'important. Ainsi, si le programme passe sous l'influence de l'intrus, il ne pourra pas sortir de ce faux "/", qui sera donc sa prison...
  
  Pour mettre en oeuvre un "chroot", il faut que le programme en question ait été conçu un minimum pour cela (afin d'éviter d'avoir besoin d'une grande quantité de programmes externes, de devices, etc...), et que surtout la technique de mise en place du "chroot" soit bien documentée ! Cela ne se voit pas dans les exemples ci-dessus, mais sur la configuration de Phoenix, le démon "named" (c'est un "DNS", un Serveur de Nom de Domaine, quoi !) est lancé depuis un "chroot". Je passerai les détails de la configuration, mais voici le résultat.
  
  Les fichiers dont "named" à besoin sont ici :

  [root@phoenix /]# find /var/named/
  /var/named/
  /var/named/dev
  /var/named/dev/log
  /var/named/dev/null
  /var/named/dev/random
  /var/named/dev/zero
  /var/named/etc
  /var/named/etc/localtime
  /var/named/etc/named.conf
  /var/named/etc/rndc.conf
  /var/named/etc/rndc.key
  /var/named/var
  /var/named/var/named
  /var/named/var/named/localhost
  /var/named/var/named/10.0.0
  /var/named/var/named/internet.net
  /var/named/var/named/192.168.0
  /var/named/var/named/127.0.0
  /var/named/var/named/sky.net
  /var/named/var/run
  /var/named/var/run/named.pid
  

  Mais en fait, ce que voit "named" lorsqu'il est lancé c'est :

  /
  /dev
  /dev/log
  /dev/null
  /dev/random
  /dev/zero
  /etc
  /etc/localtime
  /etc/named.conf
  /etc/rndc.conf
  /etc/rndc.key
  /var
  /var/named
  /var/named/localhost
  /var/named/10.0.0
  /var/named/internet.net
  /var/named/192.168.0
  /var/named/127.0.0
  /var/named/sky.net
  /var/run
  /var/run/named.pid
  

  Bilan : La technique du chroot est une option intéressante qui permet de limiter grandement les indiscrétions d'un démon qui "serait passé entre les mains" de l'intrus. Malheureusement, cette technique n'est pas fiable à 100%, et si l'intrus est assez fort, il arrivera quand même à sortir de sa prison... C'est dingue, non ?
  
  
• Le User-Mode kernel : Bon, là on s'accroche car c'est du costaud ! C'est une nouvelle (*) fonctionnalité du kernel Linux 2.5.x, qui permet de faire fonctionner un kernel Linux dans un autre kernel Linux. Les performances sont clairement réduites, mais c'est l'équivalent à un "chroot" sur le kernel lui-même. Et à priori, on ne peut pas sortir d'une prison comme celle là. Même si cela doit marcher (je ne sais pas, je n'ai pas testé. Un jour peut-être...), c'est quand même sacrément lourd comme technique. Et à moins d'être complètement paranoïaque, ce n'est pas vraiment utilisable pour un particulier. En fait, cette technique a principalement été développée afin de faciliter l'écriture des pilotes de périphériques pour le kernel Linux.
  
  (*) : Disponible à la fin 2002 (kernel 2.5.35). Il m'est d'avis que dans quelques mois, cela paraîtra excessivement moins nouveau comme fonctionnalité...

II-5-1 Un peu de bon sens

[root@phoenix /]# nmap phoenix0.sky.net -p 138,139 && nmap phoenix0.sky.net -p 137,138 -sU

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on phoenix.sky.net (192.168.0.1):
(The 1 port scanned but not shown below is in state: closed)
Port       State       Service
139/tcp    open        netbios-ssn

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on phoenix.sky.net (192.168.0.1):
Port       State       Service
137/udp    open        netbios-ns
138/udp    open        netbios-dgm

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second

[root@phoenix /]# netstat -taupe | sort
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante Etat   Utilisatr  Inode      PID/Program name
tcp        0      0 phoenix1.in:netbios-ssn *:*              LISTEN root       4583       2157/smbd
tcp        0      0 phoenix.sky:netbios-ssn *:*              LISTEN root       4584       2157/smbd
udp        0      0 phoenix1.in:netbios-dgm *:*                     root       4599       2167/nmbd
udp        0      0 phoenix1.int:netbios-ns *:*                     root       4598       2167/nmbd
udp        0      0 phoenix.sky:netbios-dgm *:*                     root       4601       2167/nmbd
udp        0      0 phoenix.sky.:netbios-ns *:*                     root       4600       2167/nmbd

[root@phoenix /]# ls -la /etc/init.d/
-rwxr--r--    1 root     root         1838 mar 14 17:11 smb*

[root@phoenix /]# /etc/init.d/smb
Utilisation : /etc/init.d/smb {start|stop|restart|status|condrestart}

• start : Démarre le démon.
• stop : Arrête le démon.
• restart : Redémarre le démon. En fait, c'est exactement la même chose que de faire un "stop" puis un "start".
• reload : Relit le(s) fichier(s) de configuration du démon, afin de prendre en compte un changement de configuration. Cette option ne marche pas toujours très bien, et parfois, il vaut mieux faire un "restart" plutôt qu'un "reload". Mais cela coupe temporairement le serveur, ce qui peut poser problèmes aux clients qui y sont déjà connectés.
• condrestart : Redémarre le démon si celui-ci est déjà démarré. Ne fait rien sinon.
• status : Affiche le status du démon.

[root@phoenix /]# /etc/init.d/smb status
smbd (pid 2157) est en cours d'exécution...
nmbd (pid 2167) est en cours d'exécution...

[root@phoenix /]# /etc/init.d/smb stop
Arrêt des services SaMBa :                                      [  OK  ]
Arrêt du service NMB :                                          [  OK  ]
[root@phoenix /]# /etc/init.d/smb status
smbd est arrêté
nmbd est arrêté

[root@phoenix /]# nmap phoenix0.sky.net -p 139 && nmap phoenix0.sky.net -p 137 -sU

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
The 1 scanned port on phoenix.sky.net (192.168.0.1) is: closed

Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
The 1 scanned port on phoenix.sky.net (192.168.0.1) is: closed

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second

[root@phoenix /]# netstat -taupe | grep netbios | sort

[olivier@phoenix /]$ ls -la /etc/rc.d/rc3.d/ /etc/rc.d/rc5.d/
/etc/rc.d/rc3.d/ :
total 8
drwxr-xr-x    2 root     root         4096 jun 28 11:35 ./
drwxr-xr-x   10 root     root         4096 mar 27 20:23 ../
lrwxrwxrwx    1 root     root           20 mar 27 20:32 K15postgresql -> ../init.d/postgresql*
lrwxrwxrwx    1 root     root           16 mar 27 20:28 K55routed -> ../init.d/routed*
lrwxrwxrwx    1 root     root           23 mar 27 20:27 S01switchprofile -> ../init.d/switchprofile*
lrwxrwxrwx    1 root     root           18 mai 27 19:43 S03iptables -> ../init.d/iptables*
lrwxrwxrwx    1 root     root           17 mar 27 20:33 S10network -> ../init.d/network*
lrwxrwxrwx    1 root     root           15 mai  4 21:02 S10ulogd -> ../init.d/ulogd*
lrwxrwxrwx    1 root     root           17 mar 27 20:33 S11portmap -> ../init.d/portmap*
lrwxrwxrwx    1 root     root           16 mar 27 20:33 S12syslog -> ../init.d/syslog*
lrwxrwxrwx    1 root     root           14 mar 27 20:23 S17alsa -> ../init.d/alsa*
lrwxrwxrwx    1 root     root           15 mar 27 20:33 S18sound -> ../init.d/sound*
lrwxrwxrwx    1 root     root           16 mar 27 20:33 S20random -> ../init.d/random*
lrwxrwxrwx    1 root     root           13 mar 27 20:24 S20xfs -> ../init.d/xfs*
lrwxrwxrwx    1 root     root           12 mar 27 20:23 S30dm -> ../init.d/dm*
lrwxrwxrwx    1 root     root           13 mar 27 20:28 S40atd -> ../init.d/atd*
lrwxrwxrwx    1 root     root           19 mar 27 20:26 S40saslauthd -> ../init.d/saslauthd*
lrwxrwxrwx    1 root     root           15 avr  3 23:23 S55named -> ../init.d/named*
lrwxrwxrwx    1 root     root           16 mar 27 20:32 S56xinetd -> ../init.d/xinetd*
lrwxrwxrwx    1 root     root           15 avr  3 20:02 S65dhcpd -> ../init.d/dhcpd*
lrwxrwxrwx    1 root     root           18 mar 27 20:33 S75keytable -> ../init.d/keytable*
lrwxrwxrwx    1 root     root           17 mar 27 20:26 S80postfix -> ../init.d/postfix*
lrwxrwxrwx    1 root     root           15 mar 27 20:25 S85httpd -> ../init.d/httpd*
lrwxrwxrwx    1 root     root           17 mar 27 20:28 S85numlock -> ../init.d/numlock*
lrwxrwxrwx    1 root     root           15 mar 27 20:33 S90crond -> ../init.d/crond*
lrwxrwxrwx    1 root     root           15 mai 25 17:48 S90mysql -> ../init.d/mysql*
lrwxrwxrwx    1 root     root           13 mar 27 20:30 S91smb -> ../init.d/smb*
lrwxrwxrwx    1 root     root           17 mar 30 22:37 S92privoxy -> ../init.d/privoxy*
lrwxrwxrwx    1 root     root           17 mar 27 20:33 S95kheader -> ../init.d/kheader*
lrwxrwxrwx    1 root     root           16 mar 27 20:28 S99devfsd -> ../init.d/devfsd*
lrwxrwxrwx    1 root     root           11 mar 27 20:23 S99local -> ../rc.local*

/etc/rc.d/rc5.d/ :
total 8
drwxr-xr-x    2 root     root         4096 jun 28 11:35 ./
drwxr-xr-x   10 root     root         4096 mar 27 20:23 ../
lrwxrwxrwx    1 root     root           20 mar 27 20:32 K15postgresql -> ../init.d/postgresql*
lrwxrwxrwx    1 root     root           16 mar 27 20:28 K55routed -> ../init.d/routed*
lrwxrwxrwx    1 root     root           23 mar 27 20:27 S01switchprofile -> ../init.d/switchprofile*
lrwxrwxrwx    1 root     root           18 mai 27 19:43 S03iptables -> ../init.d/iptables*
lrwxrwxrwx    1 root     root           17 mar 27 20:33 S10network -> ../init.d/network*
lrwxrwxrwx    1 root     root           15 mai  4 21:02 S10ulogd -> ../init.d/ulogd*
lrwxrwxrwx    1 root     root           17 mar 27 20:33 S11portmap -> ../init.d/portmap*
lrwxrwxrwx    1 root     root           16 mar 27 20:33 S12syslog -> ../init.d/syslog*
lrwxrwxrwx    1 root     root           14 mar 27 20:23 S17alsa -> ../init.d/alsa*
lrwxrwxrwx    1 root     root           15 mar 27 20:33 S18sound -> ../init.d/sound*
lrwxrwxrwx    1 root     root           16 mar 27 20:33 S20random -> ../init.d/random*
lrwxrwxrwx    1 root     root           13 mar 27 20:24 S20xfs -> ../init.d/xfs*
lrwxrwxrwx    1 root     root           12 mar 27 20:23 S30dm -> ../init.d/dm*
lrwxrwxrwx    1 root     root           13 mar 27 20:28 S40atd -> ../init.d/atd*
lrwxrwxrwx    1 root     root           19 mar 27 20:26 S40saslauthd -> ../init.d/saslauthd*
lrwxrwxrwx    1 root     root           15 avr  3 23:23 S55named -> ../init.d/named*
lrwxrwxrwx    1 root     root           16 mar 27 20:32 S56xinetd -> ../init.d/xinetd*
lrwxrwxrwx    1 root     root           15 avr  3 20:02 S65dhcpd -> ../init.d/dhcpd*
lrwxrwxrwx    1 root     root           18 mar 27 20:33 S75keytable -> ../init.d/keytable*
lrwxrwxrwx    1 root     root           17 mar 27 20:26 S80postfix -> ../init.d/postfix*
lrwxrwxrwx    1 root     root           15 mar 27 20:25 S85httpd -> ../init.d/httpd*
lrwxrwxrwx    1 root     root           17 mar 27 20:28 S85numlock -> ../init.d/numlock*
lrwxrwxrwx    1 root     root           15 mar 27 20:33 S90crond -> ../init.d/crond*
lrwxrwxrwx    1 root     root           15 mai 25 17:48 S90mysql -> ../init.d/mysql*
lrwxrwxrwx    1 root     root           13 mar 27 20:30 S91smb -> ../init.d/smb*
lrwxrwxrwx    1 root     root           17 mar 30 22:37 S92privoxy -> ../init.d/privoxy*
lrwxrwxrwx    1 root     root           17 mar 27 20:33 S95kheader -> ../init.d/kheader*
lrwxrwxrwx    1 root     root           16 mar 27 20:28 S99devfsd -> ../init.d/devfsd*
lrwxrwxrwx    1 root     root           11 mar 27 20:23 S99local -> ../rc.local*

[root@phoenix /]# rm /etc/rc.d/rc3.d/S91smb /etc/rc.d/rc5.d/S91smb
rm: détruire lien symbolique `/etc/rc.d/rc3.d/S91smb'? y
rm: détruire lien symbolique `/etc/rc.d/rc5.d/S91smb'? y

II-5-2 Restrictions des connexions aux ports : Généralités

• Only from : Ce mot permet de restreindre les demandes de connexions à une catégorie d'adresse IP sources. On peut par exemple passer les paramètres paradise.sky.net, 192.168.0.5, 192.168.0.0/255.255.255.0, ou encore 192.168.0.0/24. Ainsi, seul certaines adresses IP / réseaux seront autorisés à lancer des requêtes.
• Allow : Idem que "From"
• Bind : Cette option indique en général l'adresse IP à qui est destinée la demande de connexion. Pour Phoenix par exemple, il y a 2 cartes réseaux, donc 2 adresses IP sur lesquelles peuvent arriver des requêtes externes (comme par exemple celles envoyées par "nmap"). Dans ce cas, on peut donner le paramètre phoenix0.sky.net ou 192.168.0.1 à l'option "bind", ce qui aura pour effet de refuser les demandes de connexions faites à l'adresse IP phoenix1.internet.net. Et donc les requêtes venant de pirate.internet.net seront refusées.
• Listen : Idem que "Bind".
• Interface : Idem que "Bind".

II-5-3 Samba / NetBIOS

  hosts allow = 192.168.0.0/255.255.255.0 10.0.0.0/255.0.0.0
  interfaces = 192.168.0.1/26 10.0.0.1/8
  bind interfaces only = yes

II-5-4 Apache

  [Fichier : /etc/httpd/conf/httpd2.conf]
  Listen phoenix0:80
  Listen phoenix1:80

  [Fichier : /etc/httpd/conf/common/httpd.conf]
  <Directory />
    AllowOverride None
    <IfModule mod_access.c>
      Order deny,allow
      Deny from all
    </IfModule>
  </Directory>

II-5-5 Xinetd

• De définir un paramétrage global pour tout les serveurs que va surveiller Xinetd ("/etc/xinetd.conf", dans une section "defaults")
• Définir ensuite un paramétrage indépendant par serveur ("/etc/xinetd.d/*")

  [Fichier : /etc/xinetd.conf]
  defaults
  {
          instances               = 60
          log_type                = SYSLOG authpriv
          log_on_success          = HOST PID
          log_on_failure          = HOST
          cps                     = 25 30
  # Remarque : On n'écrit rien en paramètre, et c'est VOLONTAIRE ! Ainsi, TOUS les accès sont interdit...
          no_access               =
  }
  includedir /etc/xinetd.d

  [Fichier : /etc/xinetd.d/proftpd-xinetd]
  # Service FTP pour phoenix0.sky.net (réseau local)
  service ftp
  {
          id                      = ftp:0
          socket_type             = stream
          wait                    = no
          user                    = root
          server                  = /usr/sbin/proftpd
          flags                   = REUSE
          log_on_failure          += USERID
          log_on_success          += USERID DURATION
          nice                    = 10
          instances               = 4
          bind                    = phoenix0
          only_from               = 192.168.0.0/24
          disable                 = no
  }

• Première protection ("no_access = ") : personne n'a accès aux serveurs protégés par Xinetd
• Seconde protection ("bind = phoenix0") : seul les requêtes arrivant sur phoenix0.sky.net sont autorisées.
• Troisième protection ("only_from = 192.168.0.0/24") : le client doit avoir une adresse IP appartenant au réseau sky.net.

II-5-6 X11

[olivier@phoenix /]$ nmap phoenix0.sky.net

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on phoenix.sky.net (192.168.0.1):
(The 1591 ports scanned but not shown below are in state: closed)
Port       State       Service
21/tcp     open        ftp
23/tcp     open        telnet
25/tcp     open        smtp
53/tcp     open        domain
80/tcp     open        http
110/tcp    open        pop-3
111/tcp    open        sunrpc
443/tcp    open        https
6000/tcp   open        X11

• Si vous démarrez votre machine en ligne de commande ("init 3"), vous avez l'habitude de taper la commande "startx" pour lancer l'interface graphique. Lancez donc plutôt : "/usr/X11R6/bin/startx -- -nolisten tcp"
• Si au contraire vous démarrez directement en mode graphique ("init 5"), cela va dépendre du gestionnaire de fenêtres qui est utilisé. Si il s'agit de "xdm" ("/usr/X11R6/bin/xdm"), rajoutez "-nolisten tcp" à la ligne lançant "X", dans le fichier "/etc/X11/xdm/Xservers". Ainsi,
  

    [Fichier : /etc/X11/xdm/Xservers]
    :0 local /bin/nice -n -10 /usr/X11R6/bin/X -deferglyphs 16
  

  devient :
  

    [Fichier : /etc/X11/xdm/Xservers]
    :0 local /bin/nice -n -10 /usr/X11R6/bin/X -nolisten tcp -deferglyphs 16
  

  Pour les autres gestionnaires de fenêtres, je vous laisse chercher par vous même !
  
  Pour les utilisateurs de distributions Mandrake, prenez bien garde de mettre le "-nolisten tcp" juste après le "/usr/X11R6/bin/X". En effet, sur cette distribution tourne un logiciel ("/usr/sbin/msec") qui surveille à heure régulière les changements de "/etc/X11/xdm/Xservers". Il supprimera l'option "-nolisten tcp" si elle n'est pas mise à l'emplacement décrit. "Msec" considère que tout changement non référencé à ce fichier, et à tout un tas d'autres, sont des atteintes potentielles à la sécurité de la machine, ce en quoi il a raison... Pour les détails, je vous laisse regarder le fichier de configuration de msec : "/usr/share/msec/libmsec.py"

II-5-7 Bind / Named

  allow-transfer {
    192.168.0.0/24;
  };

  allow-query {
    192.168.0.0/24;
  };

  listen-on {
    192.168.0.0/24;
  };  

II-5-8 Postfix

  mynetworks_style = subnet
  mynetworks = 192.168.0.0/24
  inet_interfaces = phoenix0.sky.net

• Le ping : A aucun moment nous n'avons vu comment interdire à notre machine de répondre aux commandes de type "ping" ou "traceroute". En effet, ce n'est pas un serveur qui est responsable de répondre à ce type de sollicitation, mais le kernel lui-même via la couche IP. On peut donc à tout moment savoir que votre machine est allumée, ou effondrer son CPU sous une attaque DOS / DDOS.
• Ports fermés : Dans de rares cas, et bien que vos ports soient fermés, l'intrus peut soupçonner la présence de "quelque chose" derrière l'un de vos ports. J'en ai fait l'expérience il y a un bout de temps, lorsque j'ai voulu faire tester en ligne la sécurité de ma machine par le site http://www.pcflank.com/ . J'ignore comment ce serveur a fait, mais il a réussi à trouver pour l'un ou l'autre de mes serveurs une trace d'activité. Et donc il a indiqué qu'il y avait probablement "quelque chose" derrière ce port, ce en quoi il avait raison. Mais avec les informations que vous trouverez dans ce chapitre, c'est le genre de chose qui n'arrivera plus !
• L'IP spoofing : Dans les différents paramétrages que nous avons vu précédemment, nous avons configuré les serveurs pour qu'ils ne fassent confiance qu'à certaines adresses IP sources. Oui, mais que se passe t'il si l'intrus ment délibérément sur son adresse IP source, et envoie une demande de connexion semblant venir de votre propre réseau local ? C'est tout à fait faisable, et c'est ce que l'on appelle l'IP spoofing... Cette technique a un inconvénient, c'est que l'intrus ne pourra pas recevoir les réponses de la machine cible (car celle-ci renverra l'information là où elle semble venir, c'est à dire sur le réseau local). Mais il n'empêche que cela peut suffit au pirate à envoyer des paquets d'informations qui peuvent corrompre le serveur, via la technique du "buffer overflow" ("Dépassement de tampon" en français). Internet fourmille d'exemples réussis de ce type d'attaque, et seul une mise à jour régulière de ses logiciels serveur peut réussir à les stopper.

• Nous n'avons aucun contrôle sur l'origine précise des requêtes IP. Nos serveurs ne peuvent en général pas savoir si une trame IP arrive ou part d'une interface où d'une autre.
• Nous ne pouvons pas empêcher notre machine de répondre à certaines requêtes.
• Nous aimerions avoir une trace des activités réseaux suspectes de notre machine, et donner l'alerte le cas échéant.

[olivier@phoenix /]$ rpm -q iptables
iptables-1.2.7a-2mdk

[root@phoenix /]# urpmi iptables

• Enable loadable module support (CONFIG_MODULES) : Y
• Packet socket (CONFIG_PACKET) : Y
• Network packet filtering (replaces ipchains) (CONFIG_NETFILTER) : Y
• Unix domain sockets (CONFIG_UNIX) : Y
• TCP/IP networking (CONFIG_INET) : Y
• IP: advanced router (CONFIG_IP_ADVANCED_ROUTER) : Y
• Connection tracking (required for masq/NAT) (CONFIG_IP_NF_CONNTRACK) : M
• FTP protocol support (CONFIG_IP_NF_FTP) : M
• IRC protocol support (CONFIG_IP_NF_IRC) : M
• IP tables support (required for filtering/masq/NAT) (CONFIG_IP_NF_IPTABLES) : M
• Packet filtering (CONFIG_IP_NF_FILTER) : M
• Full NAT (CONFIG_IP_NF_NAT) : M
• Limit match support (CONFIG_IP_NF_MATCH_LIMIT) : M
• Connection state match support (CONFIG_IP_NF_MATCH_STATE) : M
• MASQUERADE target support (CONFIG_IP_NF_TARGET_MASQUERADE) : M
• REDIRECT target support (CONFIG_IP_NF_TARGET_REDIRECT) : M
• LOG target support (CONFIG_IP_NF_TARGET_LOG) : M
• ULOG target support (CONFIG_IP_NF_TARGET_ULOG) : M

[root@phoenix /]# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination

• Sous Windows®, c'est l'OS qui met à disposition les paquets IP qu'il désire(*) dans l'espace utilisateur ("user space"), où un programme externe ("ZoneAlarm®", "Tiny Firewall®", etc...) décide si oui ou non ce paquet doit être accepter pas le système. Tout cela est bien joli, mais que se passe t'il si un autre programme de la machine, un virus par exemple, attaque le firewall et le force à s'éteindre ? La machine perd tout simplement sa protection... Ne souriez pas, ce type d'attaque est très en vogue à l'heure où j'écris ces lignes. En effet c'est parfaitement faisable, car la plus grande partie des utilisateurs de Windows® utilisent leur machine avec les droits administrateurs (même si ils ne sont pas connectés spécifiquement sous ce nom). Ou pire encore, ils utilisent les versions 95, 98, ou Millenium, qui n'ont aucune notion de restriction de droits. Enfin, si c'est le même utilisateur qui utilise la machine et qui a démarré le firewall, alors tout programme lancé, par inadvertance ou non, par cet utilisateur pourra arrêter le firewall...
  Quand au fonctionnement du firewall intégré dans la version XP de Windows®, même si il *semble* intégré dans l'OS, il est similaire aux logiciels de Firewall dont nous venons de parler. Donc c'est un produit insuffisant et à éviter...
• Sous Linux par contre, tout reste au niveau de l'espace kernel ("kernel space"), c'est à dire qu'à l'exception d'"iptables", aucun programme ne peut interférer avec Netfilter. Comme il faut impérativement avoir les droits de root pour lancer "iptables", et que bien entendu vous n'utilisez que rarement les droits root, vous pouvez être tranquilles.

• Imposer au kernel de supprimer le paquet ("drop" en anglais). Auquel cas, il est jeté aux oubliettes, et c'est comme si le paquet n'avait jamais existé.
• Indiquer au kernel que le paquet est accepté. Dans ce cas là, le kernel peut continuer à travailler dessus.
• Modifier le paquet, puis le rendre au kernel.

III-4-1 La table Filter

• INPUT : Cette chaîne contrôle les paquets à destination des applications.
• OUTPUT : Elle analyse les paquets qui sortent des applications.
• FORWARD : Elle filtre les paquets qui passent d'une interface réseau à l'autre. Notez au passage que les paquets de ce type ne passent jamais par les chaînes INPUT et OUTPUT.

• Premièrement, interdire par défaut tous les paquets. C'est facile à faire, car les 3 chaînes que nous utilisons (INPUT, OUTPUT et FORWARD) ont une valeur par défaut. Donc par défaut, nous allons supprimer toutes les trames (on utilisera par la suite le terme de "DROP").
• Dans un second temps, nous n'allons autoriser que certains flux bien particuliers. Ce sera un juste équilibre entre la sécurité du système et les fonctionnalités dont nous avons besoin.

III-4-2 La table NAT

• PREROUTING : Les paquets vont être modifiés à l'entrée de la pile réseaux, et ce, qu'ils soient à destination des processus locaux où d'une autre interface.
• OUTPUT : Les paquets sortant des processus locaux sont modifiés.
• POSTROUTING : les paquets qui sont près à être envoyés aux interfaces réseaux sont modifiés.

III-4-3 La table Mangle

• PREROUTING : Les paquets vont être marqués en entrée de la couche réseau, en fonction de certains critères, de type de service (grâce aux numéros de ports source et/ou de destination), d'adresses IP de source et/ou de destination, de taille des paquets, etc. Ces informations seront utilisés par un programme fonctionnant dans l'espace kernel.
• INPUT : Les paquets sont marqués juste avant d'être envoyés aux processus locaux.
• FORWARD : Les paquets passant d'une interface réseau à l'autre sont marqués.
• OUTPUT : Là, ce sont les paquets générés par les applications locales (un client web par exemple) qui vont être marqués, tout comme les paquets entrant dans la couche réseau.
• POSTROUTING : Les paquets prêt à être envoyés sur le réseau sont marqués. L'utilisation de cette chaîne dans la table Mangle n'est cependant pas très évident.

III-5-1 Les chaînes utilisateurs

• Êtres utilisées par une chaîne en particulier : perso_2
• Êtres appelées par plusieurs chaînes : perso_1
• Ne pas êtres appelées du tout (perso_3). A quoi cela sert il alors ? A rien tout simplement : le root qui a écrit ces chaînes là à oublié pourquoi il les as créées, et il a du s'endormir sur son clavier avant de faire le ménage...

III-5-2 Règles et cibles

• Interface source ou destination.
• Adresse IP source ou de destination.
• Port source ou de destination.
• Type de trame.
• Nombre de paquets.
• Paquet marqué par la table Mangle.
• Etc.

• DROP : Le paquet est détruit purement et simplement. C'est typique du "délit de sale gueule"...
• ACCEPT : Le paquet a une "bonne tête", il est donc autorisé à continuer à passer. Mais une autre règle située après la règle qui a accepté ce paquet peut très bien finalement décider de le supprimer.
• LOG / ULOG : Le paquet est autorisé à continuer de passer, mais ses caractéristiques sont notées au passage. En général, c'est qu'on estime que le paquet est "louche", et que l'on veut en prendre note. Mais plus souvent encore, on décidera de le supprimer. Car, en informatique, tout ce qui est louche est anormal, et tout ce qui est anormal doit être supprimé !
• MASQUERADE : Le paquet va être modifié, afin de dissimuler (de masquer en fait) certaines informations concernant son origine. Cette technique sera utilisée un peu plus loin.
• MARK : le paquet est marqué en y attachant une information. Ceci est principalement utilisé avec les tables "Mangle", donc nous n'y reviendrons pas dessus.
• Une chaîne utilisateur : Nous avons vu un peu plus haut qu'il existe des chaînes utilisateurs. Dans le cas de cette action, le paquet est envoyé à une chaîne définie par l'utilisateur, où il passera à travers de nouvelles règles. Ceci est illustré par les flèches rouges dans ce schéma ci. Si aucune décision n'est prise à la fin de la chaîne utilisateur, le paquet revient dans la chaîne courante, et passe à la règle suivante. C'est ce qu'indiquent les flèches bleues de ce même schéma.

III-5-3 Iptables

• Rajouter des règles / chaînes.
• Supprimer des règles / chaînes.
• Modifier des règles / chaînes.
• Afficher les règles / chaînes

• "iptables -I INPUT -p tcp -sport 80 -j DROP" : Supprime toutes les trames HTTP rentrant dans l'espace utilisateur.
• "iptables -I INPUT -p tcp -sport ! 80 -j DROP" : Supprime toutes les trames rentrant dans l'espace utilisateur, excepté celles de HTTP.

III-6-1 Un script ? Késako ?

[olivier@phoenix /]$ cat archives/scripts/exemple-01.sh
###############################################################################
# NOM : exemple-01.sh
#
# COMMENTAIRE : Simple exemple de script sh/bash
# 
# Créé le : 2003/07/01                    Dernière modification le : 2003/07/01
###############################################################################

# Les lignes commençant par un "#" sont des commentaires, elles ne sont donc pas
# affichées

echo "+ Bonjour lecteur"
echo "+ Nous somme le `date +%Y/%m/%d` (aaaa/mm/jj) et il est `date +%H:%M:%S`"
echo "+ Vous aimez les scripts ?"

[olivier@phoenix /]$ sh archives/scripts/exemple-01.sh
+ Bonjour lecteur
+ Nous somme le 2003/07/01 (aaaa/mm/jj) et il est 15:51:32
+ Vous aimez les scripts ?

• D'abord, rajoutons "#!/bin/sh" puis "#" aux deux premières lignes de notre script, comme dans l'exemple-02.sh.
• Puis, rendons exécutable le script via la commande "chmod +x exemple-02.sh" (lire "man chmod" afin de comprendre en détail comment on rend exécutable un script).
• Enfin, lançons le : ./exemple-02.sh . Notez bien le "./" en début de commande. Ou tapez le chemin absolue ou relatif de ce script ("archives/scripts/exemple-02.sh") dans notre exemple.

[olivier@phoenix /]$ cat archives/scripts/exemple-02.sh
#!/bin/sh
#
###############################################################################
# NOM : exemple-02.sh
#
# COMMENTAIRE : Simple exemple de script sh/bash
# 
# Créé le : 2003/07/01                    Dernière modification le : 2003/07/01
###############################################################################

# Les lignes commençant par un "#" sont des commentaires, elles ne sont donc pas
# affichées

echo "+ Bonjour lecteur"
echo "+ Nous somme le `date +%Y/%m/%d` (aaaa/mm/jj) et il est `date +%H:%M:%S`"
echo "+ Vous aimez les scripts ?"
[olivier@phoenix /]$ chmod +x archives/scripts/exemple-02.sh
[olivier@phoenix /]$ archives/scripts/exemple-02.sh
+ Bonjour lecteur
+ Nous somme le 2003/07/01 (aaaa/mm/jj) et il est 16:19:04
+ Vous aimez les scripts ?

• que le programme soit fait par quelqu'un de sérieux, ou par une personne que je connaisse.
• ou que j'ai analysé le code, à la recherche de commandes endommageant mon système.

III-6-2 Iptables basique

• Premièrement, vider toutes les chaînes de toutes les tables de Netfilter, afin de savoir exactement ce que l'on a dans notre firewall. Mais il ne faudra pas rester trop longtemps dans cette situation, car la machine sera sans aucune protection.
• Deuxièmement, interdire par défaut tous les paquets. Pour cela, nous allons utiliser l'option "-P" ("Politique par défaut) des chaînes INPUT, FORWARD et OUTPUT de la table filter.
• Dans un dernier temps, nous n'allons autoriser que certains flux bien particuliers.
• Concernant l'ordre des règles : Lorsque nous appelons la commande "iptables" pour rajouter/supprimer des règles, l'ordre d'insertion de celles-ci à une certaine importance. Si une première règle supprime un certain type de paquets, une seconde règle écrite un peu plus loin dans votre script ne verra jamais ces paquets. Donc inutile de les accepter, ou de les supprimer de nouveau. Mais en général, comme on écrit uniquement des règles pour accepter des paquets ("-j ACCEPT"), il n'y pas d'importance dans l'ordre des règles.

• Suppression de toutes les chaînes : C'est facile, il faut supprimer les tables pré-défines (option "-F") et toutes les tables utilisateurs (option "-X"). Que nous en ayons déjà ou pas écrite n'a aucune importance, on supprime tout :
  
  

  [root@phoenix /]# iptables -t filter -F
  [root@phoenix /]# iptables -t filter -X
  

  
  
• Définition de la politique (cibles) par défaut : La table filter possède 3 chaînes, donc elles sont toutes les trois à initialiser. Par défaut, on décide donc de tout détruire (DROP) :

  [root@phoenix /]# iptables -t filter -P INPUT DROP
  [root@phoenix /]# iptables -t filter -P OUTPUT DROP
  [root@phoenix /]# iptables -t filter -P FORWARD DROP
  

  A ce stade là, vous avez court-circuité tout votre système de réseau. Toutes vos connexions réseaux sont hors service. Pas un logiciel que vous utilisez ne peut accéder au réseau, ou à vous propres serveur. J'en veux pour preuve, la commande "ping localhost" ne marche même plus, et pourtant il lui en faut pour ne plus marcher !

  [olivier@phoenix /]$ ping localhost
  PING localhost.sky.net (127.0.0.1) 56(84) bytes of data.
  ping: sendmsg: Operation not permitted
  ping: sendmsg: Operation not permitted
  ping: sendmsg: Operation not permitted
  
  --- localhost.sky.net ping statistics ---
  3 packets transmitted, 0 received, 100% packet loss, time 2011ms
  

  Hahhh bravo, c'est du propre !
  
  Mais cela tombe bien, car c'est exactement ce que nous voulions faire. D'un autre coté, c'est la protection absolue du réseau, qui rivalise presque avec la déconnexion physique des câbles... Mais quand à l'intérêt de la chose, c'est plutôt limité !
  
  
• Autoriser quelques connexions : Dans notre réseau, nous avons 2 cartes réseaux ("eth0" et "eth1"), ainsi que l'interface de loopback ("lo"). Occupons nous donc de chacune des 3 interfaces :
  • lo (réseau virtuel localhost) : C'est le plus facile.
    Nous pouvons avoir toute confiance en ce réseau, car il est interne à la mémoire de notre machine. Nous allons donc autoriser ("-j ACCEPT") toutes les connexions sortantes des processus locaux ("-A OUTPUT") par cette interface virtuelle ("-o lo") ayant une adresse de loopback ("-s 127.0.0.0/8"), et à destination des machines de ce réseau virtuel (-d "127.0.0.0/8) :

    [root@phoenix /]# iptables -t filter -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
    

    Puis nous allons faire l'inverse, c'est à dire autoriser ("-j ACCEPT") toutes les connexions rentrantes dans les processus locaux ("-A INPUT"), par cette interface virtuelle ("-i lo"), venant des machines de ce réseau virtuel (-s "127.0.0.0/8) et à destination des adresses de loopback ("-d 127.0.0.0/8") :

    [root@phoenix /]# iptables -t filter -A INPUT  -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
    

    Et nous pouvons immédiatement vérifier que le "ping localhost" fonctionne à nouveau :

    [olivier@phoenix /]$ ping localhost
    PING localhost.sky.net (127.0.0.1) 56(84) bytes of data.
    64 bytes from localhost.sky.net (127.0.0.1): icmp_seq=1 ttl=64 time=0.134 ms
    64 bytes from localhost.sky.net (127.0.0.1): icmp_seq=2 ttl=64 time=0.091 ms
    
    --- localhost.sky.net ping statistics ---
    2 packets transmitted, 2 received, 0% packet loss, time 999ms
    rtt min/avg/max/mdev = 0.091/0.112/0.134/0.023 ms
    

    Ouuuuiiiii ! Nous sommes très fort ! Bon, une interface de réglée passons aux autres.
    
    
  • eth0 (réseau interne "sky.net") : Cela reste encore facile. Nous désirons dans un premier temps permettre à paradise.sky.net de dialoguer sans limite avec phoenix0.sky.net. Quoi ? Sans limite ? Mais ce n'est pas un peu dangereux, non ? Certes cela peu se discuter, mais comme à priori nous travaillons dans un réseau local et qui plus est dans le réseau local d'un particulier, nous pouvons avoir une certaine confiance dans les machines de notre propre réseau, non ? Ah, vous utilisez Windows® sur les autres machines de votre réseau ? Et vous avez peur que ce Windows® agresse vos Linux ? Chacun son problème mon (ma) cher (chère) ! En allant un peu plus loin dans ce document, vous comprendrez comment on peut mettre un filtrage un peu plus restrictif, donc n'anticipons pas.
    
    Donc nous avons fait comme pour l'interface "lo", et autoriser les processus locaux à dialoguer en entrée et en sortie avec le réseau local :

    [root@phoenix /]# iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
    [root@phoenix /]# iptables -t filter -A INPUT  -i eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
    

    Bien, et que donne le "ping paradise.sky.net" ?

    [olivier@phoenix /]$ ping paradise.sky.net
    PING paradise.sky.net (192.168.0.2) 56(84) bytes of data.
    64 bytes from paradise.sky.net (192.168.0.2): icmp_seq=1 ttl=64 time=0.134 ms
    64 bytes from paradise.sky.net (192.168.0.2): icmp_seq=2 ttl=64 time=0.091 ms
    
    --- localhost.sky.net ping statistics ---
    2 packets transmitted, 2 received, 0% packet loss, time 999ms
    rtt min/avg/max/mdev = 0.091/0.112/0.134/0.023 ms
    

    Très bien ! 2 de passées, reste la 3ème...
    
    
  • eth1 (réseau Internet "internet.net") : évidement, c'est la dernière, et donc la plus compliquée...
    Que vous nous faire exactement en fait ? Interdire l'accès à pirate.internet.net, mais autoriser celui de web.internet.net. C'est facile alors, il suffit de mettre uniquement des règles "-j ACCEPT" en direction et depuis l'adresse IP de web.internet.net ? En théorie oui... Mais est-ce que vous connaissez l'adresse IP de tous les intrus qui veulent vous ennuyer ? Non hein ? Ce n'est pas le genre d'informations qui se trouve sous le sabot d'un cheval ! Et puis en plus, quelqu'un sur web.internet.net pourrait héberger sans que vous le sachiez un autre intrus... Que la vie est compliquée, non ?
    
    En fait, c'est très simple : nous n'allons autoriser que les connexions vers les services web qui nous intéresse, à savoir le HTTP (port 80 en TCP), et le HTTPS (443 en TCP), et cela pour toutes les machines. Seul les requêtes en direction et venant des ports seront autorisées. Hop, 4 règles d'"iptables" est c'est fait :

    [root@phoenix /]# iptables -t filter -A OUTPUT -o eth1 -s 10.0.0.0/8 -p tcp --dport 80  -j ACCEPT
    [root@phoenix /]# iptables -t filter -A OUTPUT -o eth1 -s 10.0.0.0/8 -p tcp --dport 443 -j ACCEPT
    [root@phoenix /]# iptables -t filter -A INPUT  -i eth1 -d 10.0.0.0/8 -p tcp --sport 80  -j ACCEPT
    [root@phoenix /]# iptables -t filter -A INPUT  -i eth1 -d 10.0.0.0/8 -p tcp --sport 443 -j ACCEPT
    

    Il ne nous reste plus qu'à faire ouvrir une page web sur web.internet.net, ou de faire un petit "nmap" sur ses ports 80 et 443, afin de voir si tout marche bien.

    [olivier@phoenix /]$ nmap web.internet.net -p 80,443
    
    Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
    Interesting ports on web.0.0.10.in-addr.arpa (10.0.0.200):
    Port       State       Service
    80/tcp     open        http
    443/tcp    open        https
    
    Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds
    

    Bingo ! Ca marche ! Faites péter les biscuits apéros ! Ce soir, c'est fête ! Et en plus, ce premier script "iptables" est téléchargeable ici.

[olivier@phoenix /]$ ping phoenix.sky.net
PING phoenix.sky.net (192.168.0.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted

--- phoenix.sky.net ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1010ms

[olivier@phoenix /]$ ping phoenix0.sky.net
PING phoenix0.sky.net (192.168.0.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted

--- phoenix0.sky.net ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1019ms

[olivier@phoenix /]$ ping phoenix1.internet.net
PING phoenix1.internet.net (10.0.0.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted

--- phoenix1.internet.net ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

[root@phoenix /]# iptables -t filter -L -n -v
Chain INPUT (policy DROP 463 packets, 35458 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       127.0.0.0/8          127.0.0.0/8 <-- Ceci est la règle 1
    0     0 ACCEPT     all  --  eth0   *       192.168.0.0/24       0.0.0.0/0
    0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0          tcp spt:80
    0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0          tcp spt:443

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy DROP 71 packets, 10712 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      lo      127.0.0.0/8          127.0.0.0/8 <-- Ceci est la règle 1
    0     0 ACCEPT     all  --  *      eth0    0.0.0.0/0            192.168.0.0/24
    0     0 ACCEPT     tcp  --  *      eth1    0.0.0.0/0            0.0.0.0/0          tcp dpt:80
    0     0 ACCEPT     tcp  --  *      eth1    0.0.0.0/0            0.0.0.0/0          tcp dpt:443
[root@phoenix /]# iptables -t filter -D OUTPUT 1
[root@phoenix /]# iptables -t filter -D INPUT  1
[root@phoenix /]# iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
[root@phoenix /]# iptables -t filter -A INPUT  -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
[root@phoenix /]# iptables -t filter -L -n -v
Chain INPUT (policy DROP 475 packets, 37048 bytes)
 pkts bytes target     prot opt in     out     source               destination
    1   248 ACCEPT     all  --  eth0   *       192.168.0.0/24       0.0.0.0/0
    0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0          tcp spt:80
    0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0          tcp spt:443
  274  166K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy DROP 84 packets, 12080 bytes)
 pkts bytes target     prot opt in     out     source               destination
    9   872 ACCEPT     all  --  *      eth0    0.0.0.0/0            192.168.0.0/24
    0     0 ACCEPT     tcp  --  *      eth1    0.0.0.0/0            0.0.0.0/0          tcp dpt:80
    0     0 ACCEPT     tcp  --  *      eth1    0.0.0.0/0            0.0.0.0/0          tcp dpt:443
  274  166K ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0

• Il sera très important par la suite de comprendre cette histoire d'auto connexion.
• Je ne suis pas sûr que vous vous en seriez souvenu si je ne vous avais pas fait pointer le doigt dessus.
• Au passage, nous avons vu une utilisation de deux commandes que nous ne connaissions pas : "iptables -t filter -L -n -v" pour afficher la liste des chaînes d'une table, et "iptables -t filter -D ...." qui permet de supprimer une règle. Comme quoi, les erreurs sont parfois constructives !

• Dans toutes nos commandes, nous avons utilisé l'option "-t filter", pour indiquer que nous voulions travailler sur cette table. C'est très bien, mais c'est un peu inutile. En effet, par défaut "iptables" considère que c'est la table "filter" qui est utilisée. Donc par la suite, on pourra économiser de la ligne de commande en n'utilisant plus le "-t filter" pour ces commandes iptables là.
• Dans nos commandes iptables ayant pour cible "ACCEPT", nous avons cherché à rajouter le maximum de paramètre, en combinant par exemple les options "-i" avec "-s". C'est une bonne chose, car les règles d'acceptation des paquets doivent toujours être les plus restrictives possible. Ne rentre pas sur notre ordinateur qui veut ! Même si au passage, un peu trop de rigueur amène à des erreurs du type du "localhost"...
• Même si nos règles sur le réseau "internet.net" sont satisfaisantes, car bien strictes, elle sont un peu lourdes à gérer. 4 règles "iptables" uniquement pour autoriser la visite de sites web, sécurisés ou non, cela fait beaucoup... D'autant que nous n'avons pas parlé de FTP, de IRC, de "chat" ("discussion" en français), et que sais je encore.
• Enfin, au point où nous en somme, nous avons l'équivalent d'un petit firewall de type matériel, que l'on peut trouver dans le commerce, voir même équivalent au firewall intégré dans Windows® XP (car au jour où j'écris ces lignes, il ne gère pas le conntrack).

[intrus@pirate /]$ nmap phoenix1.internet.net

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on phoenix1.internet.net (10.0.0.1):
(The 1590 ports scanned but not shown below are in state: closed)
Port       State       Service
21/tcp     open        ftp
23/tcp     open        telnet
25/tcp     open        smtp
53/tcp     open        domain
80/tcp     open        http
110/tcp    open        pop-3
111/tcp    open        sunrpc
139/tcp    open        netbios-ssn
443/tcp    open        https
3306/tcp   open        mysql
6000/tcp   open        X11

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second

[intrus@pirate /]# nmap phoenix1.internet.net

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0
Nmap run completed -- 1 IP address (0 hosts up) scanned in 30 seconds

III-7-1 Comment leurrer un firewall en une leçon...

[root@pirate /]# nmap phoenix1.internet.net -g 80

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on phoenix1.internet.net (10.0.0.1):
(The 1585 ports scanned but not shown below are in state: closed)
Port       State       Service
21/tcp     open        ftp
23/tcp     open        telnet
25/tcp     open        smtp
53/tcp     open        domain
80/tcp     open        http
110/tcp    open        pop-3
111/tcp    open        sunrpc
139/tcp    open        netbios-ssn
307/tcp    filtered    unknown
404/tcp    filtered    nced
443/tcp    open        https
511/tcp    filtered    passgo
578/tcp    filtered    ipdd
607/tcp    filtered    nqs
3306/tcp   open        mysql
6000/tcp   open        X11

Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds

• En rouge : Pirate ouvre une connexion venant du port 80, et à destination d'un port de Phoenix sur lequel il suppose que tourne un démon. Il commence une "handshake" tout à fait classique (SYN), auquel répond Phoenix par un "RESET" (RST, ACK), disant que ce port (932) n'est pas ouvert.
• En bleu : là encore, Pirate ouvre une connexion venant du port 80. Mais cette fois ci, Phoenix l'informe que le port ("pop3" <=> 110) est ouvert. Poliment, Pirate referme la connexion (RST) afin de ne pas donner l'éveil à Phoenix. Mais au passage, il a pu noter que le port en question était ouvert... Victoire sur tout la ligne pour l'intrus...

[root@pirate /]# nc -p 80 phoenix1.internet.net 80
GET /
<!doctype html public "-//w3c//dtd html 4.0 transitional//en">
<html>
<head>
   <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
   <meta name="GENERATOR" content="Mozilla/4.61 [en] (X11; I; Linux 2.2.9-23mdk i686) [Netscape]">
   <meta name="Author" content="MandrakeSoft">
   <title>Welcome to the Advanced Extranet Server, ADVX!</title>

III-7-2 ... Et comment renvoyer l'intrus dans sa niche

[root@phoenix /]# modprobe ip_conntrack

[root@phoenix /]# modprobe ip_conntrack_ftp
[root@phoenix /]# modprobe ip_conntrack_irc

[root@phoenix /]# uname -a
Linux phoenix.sky.net 2.4.21-0.13mdksmp #1 SMP Fri Mar 14 13:41:18 EST 2003 i686 unknown unknown GNU/Linux
[root@phoenix /]# find /lib/modules/2.4.21-0.13mdksmp/ -iname "ip_conntrack_*"
/lib/modules/2.4.21-0.13mdksmp/kernel/net/ipv4/netfilter/ip_conntrack_ftp.o.gz
/lib/modules/2.4.21-0.13mdksmp/kernel/net/ipv4/netfilter/ip_conntrack_proto_gre.o.gz
/lib/modules/2.4.21-0.13mdksmp/kernel/net/ipv4/netfilter/ip_conntrack_h323.o.gz
/lib/modules/2.4.21-0.13mdksmp/kernel/net/ipv4/netfilter/ip_conntrack_irc.o.gz
/lib/modules/2.4.21-0.13mdksmp/kernel/net/ipv4/netfilter/ip_conntrack_pptp.o.gz

[root@phoenix /]# iptables -A OUTPUT -o eth1 -s 10.0.0.1  -d 0.0.0.0/0
                           -p all -m state --state ! INVALID           -j ACCEPT
[root@phoenix /]# iptables -A INPUT  -i eth1 -s 0.0.0.0/0 -d 10.0.0.1 
                           -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

• Le paramètre "-m state" signifie que nous avons besoin du module "state" (celui du suivi de connexion), et de ses options particulières.
• "--state" indique les états qui vont être utilisés pour nos règles.
• "! INVALID" : comme vu plus haut, le module de suivi de connexion gère 4 états, NEW, ESTABLISHED, RELATED et INVALID. Ce paramètre indique que l'on accepte uniquement les connexions qui ne sont pas invalides, donc qui sont "NEW, ESTABLISHED, RELATED". Ceci est uniquement un manière plus rapide d'écrire qu'il faut que les connexions soient d'un des 3 états "NEW, ESTABLISHED, RELATED".

[root@pirate /]# nmap phoenix1.internet.net -g 80 -P0

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
All 1601 scanned ports on phoenix1.internet.net (10.0.0.1) are: filtered

Nmap run completed -- 1 IP address (1 host up) scanned in 1721 seconds

[root@phoenix /]# iptables -L -v -n
Chain INPUT (policy DROP 6571 packets, 268K bytes)
 pkts bytes target     prot opt in     out  source         destination
 3480 2235K ACCEPT     all  --  lo     *    0.0.0.0/0      0.0.0.0/0
    9  2232 ACCEPT     all  --  eth0   *    192.168.0.0/24 192.168.0.0/24
    0     0 ACCEPT     all  --  eth1   *    0.0.0.0/0      10.0.0.1       state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out  source         destination

Chain OUTPUT (policy DROP 22 packets, 1716 bytes)
 pkts bytes target     prot opt in     out  source         destination
    0     0 ACCEPT     tcp  --  *      *    0.0.0.0/0      0.0.0.0/0      tcp spt:6000
    0     0 ACCEPT     tcp  --  *      *    0.0.0.0/0      0.0.0.0/0      tcp spt:6000
 3480 2235K ACCEPT     all  --  *      lo   0.0.0.0/0      0.0.0.0/0
    9  2232 ACCEPT     all  --  *      eth0 192.168.0.0/24 192.168.0.0/24
   97  9096 ACCEPT     all  --  *      eth1 10.0.0.1       0.0.0.0/0      state NEW,RELATED,ESTABLISHED

[olivier@phoenix /]$ ping web.internet.net
PING web.internet.net (10.0.0.200) 56(84) bytes of data.
64 bytes from web.0.0.10.in-addr.arpa (10.0.0.200): icmp_seq=1 ttl=64 time=2.22 ms
64 bytes from web.0.0.10.in-addr.arpa (10.0.0.200): icmp_seq=2 ttl=64 time=0.300 ms

--- web.internet.net ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1010ms
rtt min/avg/max/mdev = 0.300/1.263/2.227/0.964 ms
[olivier@phoenix /]$ nmap web.internet.net -p 80,443

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on web.0.0.10.in-addr.arpa (10.0.0.200):
Port       State       Service
80/tcp     open        http
443/tcp    open        https

Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds

• La première, c'est de charger les modules dont nous allons avoir besoin. En premier, nous avons besoin du module de NAT, c'est à dire "iptables_nat". Comme nous voulons aussi faire du suivi de connexion sur les paquets NAT, nous chargerons de même les modules NAT FTP et IRC, "ip_nat_ftp" et "ip_nat_irc" :

  [root@phoenix /]# modprobe iptable_nat
  [root@phoenix /]# modprobe ip_nat_ftp
  [root@phoenix /]# modprobe ip_nat_irc
  

• Bien entendu, tout comme nous initialisons la table "Filter" nous devons initialiser la tables NAT :

  [root@phoenix /]# iptables -t nat -F
  [root@phoenix /]# iptables -t nat -X
  

• Pour ce qui est des cibles par défaut des chaînes de la table NAT, nous acceptons toutes les connexions. Il n'est pas nécessaire de faire pointer ces cibles sur "DROP", car la sécurité est établie au niveau de la table "Filter", par le "DROP" par défaut de la chaîne FORWARD :

  [root@phoenix /]# iptables -t filter -P FORWARD     DROP
  [root@phoenix /]# iptables -t nat    -P PREROUTING  ACCEPT
  [root@phoenix /]# iptables -t nat    -P POSTROUTING ACCEPT
  [root@phoenix /]# iptables -t nat    -P OUTPUT      ACCEPT
  

• Bien, maintenant nous allons faire suivre sur le réseau internet.net, les connexions issues du réseau sky.net. Bien entendu, nous ne ferons suivre que les connexions qui sont à destination du réseau internet.net, et non celles destinées à la machine Phoenix elle-même. Pour cela, nous allons avoir besoin d'utiliser la table "Filter" (he oui, encore !), afin de faire suivre les paquets venant de la carte eth0 (phoenix0.sky.net) à la carte eth1 (phoenix1.internet.net), et vice versa. En plus de cela, comme ce sont uniquement les connexions initialisées par le réseau interne que nous désirons faire sortir, nous rajouterons un peu de suivi de connexion.

  [root@phoenix ]# iptables -t filter -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/24 -d 0.0.0.0/0 \
                            -m state --state ! INVALID           -j ACCEPT
  [root@phoenix ]# iptables -t filter -A FORWARD -i eth1 -o eth0 -s 0.0.0.0/0 -d 192.168.0.0/24 \
                            -m state --state ESTABLISHED,RELATED -j ACCEPT
  

  L'accumulation des paramètres "-i", "-o", "-s", "-d" et "--state" permettent de garantir que seul les connexions initialisées par le domaine sky.net seront autorisées à passer, et non l'inverse.
  

• Au point où nous en somme, les paquets venant de sky.net et sortant par l'interface eth1, ont :
  • pour adresse de destination, une adresse du réseau internet.net, ce qui est parfaitement normale. Celle de web.internet.net par exemple
  • pour adresse source, l'adresse d'une machine du domaine sky.net, comme par exemple celle de paradise.sky.net (voir lien "(1)"). Oui, mais ce domaine est un réseau privé, dont l'adresse IP n'est pas du tout routable sur Internet. Conclusion : lorsque web.internet.net recevra la requête, il ne saura absolument pas où envoyer la réponse... C'est assez ennuyeux, non ?
  Il va donc falloir que Phoenix subtilise l'adresse IP source des trames qui le traverse, et la remplace par la sienne (voir lien "(2)"). C'est là qu'intervient (enfin !) la table NAT, avec la cible "MASQUERADE" (pour "masquage" en anglais) :

  [root@phoenix /]# iptables -t nat -A POSTROUTING -o eth1 \
                             -s 192.168.0.0/24 -j MASQUERADE
  

  Vous pouvez cependant vous poser la question suivante : que deviennent les paquets revenant du réseau internet.net sur l'interface eth1 ? Ils ont pour adresse source web.internet.net, et pour adresse cible phoenix1.internet.net (voir lien "(3)"). Donc si ils sont recopiés sur le réseau sky.net, ils ne saurons pas qu'ils doivent aller sur paradise.sky.net, non ? En théorie, ceci est exacte, et demanderait la mise en place d'une seconde règle de de "MASQUERADE". Mais en fait, c'est inutile, car avec la première règle, Netfilter gère une table en mémoire qui suit ces masquage d'adresses IP, et elle réassigne aux connexions rentrantes la bonnes adresse IP cibles (voir lien "(4)").
  
  En fait, ce serait même terriblement dangereux de mettre en place une telle règle de ce type. En effet, cela pourrait faire passer pour des connexions de Phoenix, des connexions initialisées par les machines de internet.net ! C'est comme si vous poussiez vous-même le loup dans la bergerie ! Donc l'utilisation de la table NAT et de la cible "MASQUERADE" doivent se faire avec le plus rigueur possible, souvenez vous en bien.
  
  
• Enfin, maintenant que tout le NAT est configuré, il ne reste plus qu'à autoriser dûment votre Linux à faire jouer son rôle de gateway. Pour cela, il faut utiliser simplement écrire un "1" dans le "/proc/sys/net/ipv4/ip_forward". Ce fichier est en fait un fichier virtuel, qui permet de dialoguer directement avec le kernel. Nous allons donc utiliser la commande suivante :

  [root@phoenix /]# echo 1 > /proc/sys/net/ipv4/ip_forward
  

[root@paradise /]# route add default gw phoenix0.sky.net
[root@paradise /]# route
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         phoenix0.sky.ne 0.0.0.0         UG    0      0        0 eth0

[olivier@paradise /]$ nmap web.internet.net -p 80,443

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on web.0.0.10.in-addr.arpa (10.0.0.200):
Port       State       Service
80/tcp     open        http
443/tcp    open        https

Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds

[root@phoenix ]# iptables -t filter -A FORWARD -i eth0 -o eth1 -s 192.168.0.2 -d 0.0.0.0/0 \
                          -m state --state ! INVALID           -j ACCEPT
[root@phoenix ]# iptables -t filter -A FORWARD -i eth1 -o eth0 -s 0.0.0.0/0 -d 192.168.0.2 \
                          -m state --state ESTABLISHED,RELATED -j ACCEPT

[root@pirate /]# route add default gw phoenix1.internet.net
[root@pirate /]# route
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
10.0.0.0        *               255.0.0.0       U     0      0        0 eth0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         phoenix1.intern 0.0.0.0         UG    0      0        0 eth0

[root@pirate /]# ping -c 3 192.168.0.2
PING 192.168.0.2 (192.168.0.2) 56(84) bytes of data.

--- 192.168.0.2 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2014ms

[root@phoenix /]# iptables -L -v -n -t nat
Chain PREROUTING (policy ACCEPT 3 packets, 252 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  *     eth1    192.168.0.0/24       0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

[root@phoenix /]# iptables -L -v -n -t filter
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out  source         destination
    0     0 ACCEPT     all  --  lo     *    0.0.0.0/0      0.0.0.0/0
    0     0 ACCEPT     all  --  eth0   *    192.168.0.0/24 192.168.0.0/24

Chain FORWARD (policy DROP 3 packets, 252 bytes)
 pkts bytes target     prot opt in     out  source         destination
    0     0 ACCEPT     all  --  eth0   eth1 192.168.0.0/24 0.0.0.0/0      state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  eth1   eth0 0.0.0.0/0      192.168.0.0/24 state RELATED,ESTABLISHED

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out  source         destination
    0     0 ACCEPT     all  --  *      lo   0.0.0.0/0      0.0.0.0/0
    0     0 ACCEPT     all  --  *      eth0 192.168.0.0/24 192.168.0.0/24

[root@phoenix /]# iptables -t filter -P FORWARD ACCEPT

[intrus@pirate /]$ ping -c 3 192.168.0.2
PING 192.168.0.2 (192.168.0.2) 56(84) bytes of data.
64 bytes from 192.168.0.2: icmp_seq=1 ttl=254 time=0.957 ms
64 bytes from 192.168.0.2: icmp_seq=2 ttl=254 time=0.987 ms
64 bytes from 192.168.0.2: icmp_seq=3 ttl=254 time=0.957 ms

--- 192.168.0.2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2021ms
rtt min/avg/max/mdev = 0.957/0.967/0.987/0.014 ms

[root@phoenix /]# iptables -L -v -n -t filter
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out  source         destination
    0     0 ACCEPT     tcp  --  *      *    0.0.0.0/0      0.0.0.0/0      tcp dpt:6000
    0     0 ACCEPT     tcp  --  *      *    0.0.0.0/0      0.0.0.0/0      tcp dpt:6000
    0     0 ACCEPT     all  --  lo     *    0.0.0.0/0      0.0.0.0/0
    0     0 ACCEPT     all  --  eth0   *    192.168.0.0/24 192.168.0.0/24

Chain FORWARD (policy ACCEPT 3 packets, 252 bytes)
 pkts bytes target     prot opt in     out  source         destination
    3   252 ACCEPT     all  --  eth0   eth1 192.168.0.0/24 0.0.0.0/0      state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  eth1   eth0 0.0.0.0/0      192.168.0.0/24 state RELATED,ESTABLISHED

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out  source         destination
    0     0 ACCEPT     tcp  --  *      *    0.0.0.0/0      0.0.0.0/0      tcp spt:6000
    0     0 ACCEPT     tcp  --  *      *    0.0.0.0/0      0.0.0.0/0      tcp spt:6000
    0     0 ACCEPT     all  --  *      lo   0.0.0.0/0      0.0.0.0/0
    0     0 ACCEPT     all  --  *      eth0 192.168.0.0/24 192.168.0.0/24

• 3 paquets sont passés par la cible "ACCEPT" par défaut de la chaîne "Filter". Se sont les 3 pings venant de pirate.internet.netà destination de paradise.sky.net. Notre trou de sécurité se trouve indéniablement ici.
• 3 autres paquets ont utilisés la règle basée sur du suivi de connexion, partant du réseau sky.net et allant sur internet.net. Bien sûr, c'est tout à fait normal. Car pour Netfilter, une connexion sky.net -> internet.net est bien initialisée ou en relation avec une autre...

[root@phoenix /]# iptables -L -v -n -t nat
Chain PREROUTING (policy ACCEPT 3 packets, 252 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 3 packets, 252 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  *      eth1    192.168.0.0/24       0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

• Il faut toujours initialiser les cibles par défaut, même pour les chaînes des tables que nous ne pensons peut-être pas utiliser. Il faut en toute situation connaître l'état de de ces cibles. Un script Netfilter devrait donc toujours commencer par :

  # Initialisation de la table FILTER
  iptables -t filter -F
  iptables -t filter -X
  iptables -t filter -P INPUT   DROP
  iptables -t filter -P OUTPUT  DROP
  iptables -t filter -P FORWARD DROP
  
  # Initialisation de la table NAT
  iptables -t nat -F
  iptables -t nat -X 
  iptables -t nat -P PREROUTING  ACCEPT
  iptables -t nat -P POSTROUTING ACCEPT
  iptables -t nat -P OUTPUT      ACCEPT
  
  # Initialisation de la table MANGLE
  iptables -t mangle -F
  iptables -t mangle -X 
  iptables -t mangle -P PREROUTING  ACCEPT
  iptables -t mangle -P INPUT       ACCEPT
  iptables -t mangle -P OUTPUT      ACCEPT
  iptables -t mangle -P FORWARD     ACCEPT
  iptables -t mangle -P POSTROUTING ACCEPT
  

• Avant de mettre en place un système de NAT, il faut bien prendre en compte tous les paramètres, et se rendre compte de l'impact que cela peut avoir sur la sécurité de votre réseau. Il n'y a rien de pire que de copier/coller un mauvais morceau de script "iptables", et de se dire que cela doit bien marcher tout seul. Voir de bidouiller affreusement le script dans son coin, et de jouer à l'apprenti sorcier !
• En cas de doute, ou de problème sur l'utilisation de Netfilter, il ne fait pas hésiter à utiliser la commande "iptables -L -v -t [table]" qui donne plein d'informations quand aux nombre de paquets passant par une règle ou un comportement par défaut.

• Dans cette configuration, nous ne faisons que déplacer le problème de sécurité sur Paradise. Il faut donc que cette machine soit très bien sécurisée, avec les paramétrages vus dans la section "risque" du chapitre II. Mais ce ne sera pas suffisant.
• Paradise devenant donc un serveur web à part entière, et du fait des risques énoncés, Phoenix devra donc s'en méfier comme de la peste. Fini les gentilles règles Netfilter laissant paradise.sky.net pleinement accéder à phoenix0.sky.net. Il faudra durcir tout cela, et utiliser le conntrack ! Dans notre esprit, paradise.sky.net devra devenir aussi soupçonnable que pirate.internet.net.
• Enfin, dans le cas où un intrus prendrait le contrôle de Paradise, et même si Phoenix à des règles Netfilter très strictes, rien n'empêcherait l'intrus de s'attaquer à une autre machine du réseau sky.net ! Voir dans le pire des cas, de s'approprier le contrôle d'une autre machine de sky.net, puis d'attaquer Phoenix par l'arrière, en profitant d'éventuelles règles Netfilter plus souples vis à vis de ce 2nd hôte...

• Tout d'abord, nous devons initialiser la table NAT, tout comme nous l'avons fait pour le IP masquerading. Et aussi bien sûr charger le module "iptables_nat" :

  [root@phoenix /]# modprobe iptable_nat
  [root@phoenix /]# iptables -t nat -F
  [root@phoenix /]# iptables -t nat -X
  [root@phoenix /]# iptables -t filter -P FORWARD     DROP
  [root@phoenix /]# iptables -t nat    -P PREROUTING  ACCEPT
  [root@phoenix /]# iptables -t nat    -P POSTROUTING ACCEPT
  [root@phoenix /]# iptables -t nat    -P OUTPUT      ACCEPT
  

• Comme nous voulons partager un serveur HTTP, il peut être intéressant d'autoriser les machines de internet.net de pouvoir utiliser le "ping" sur notre serveur. Ce n'est absolument pas une obligation, mais cela peut-être pratique pour les Internautes qui, avant de lancer la connexion HTTP, vérifient que notre machine est bien active. Ce choix relève plus d'une bonne manière qu'autre chose, et n'est donc pas obligatoire. Notre "port forwarding" pourra très bien marcher sans cela. On utilise quand même du "suivi de connexion", afin de ne pas accepter les paquets ICMP volontairement mal formatés :

  [root@phoenix /]# iptables -t filter -A INPUT  -i eth1 -s 0.0.0.0/0 -d 10.0.0.1 \
                             -p icmp -m state --state ! INVALID           -j ACCEPT
  [root@phoenix /]# iptables -t filter -A OUTPUT -o eth1 -s 10.0.0.1  -d 0.0.0.0/0 \
                             -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
  

  Au passage, vous noterez qu'il n'est pas nécessaire d'ouvrir d'autres accès. Et notamment via les chaînes "INPUT" et "OUTPUT" afin autoriser l'échange avec le port 80. Pourquoi ? Simplement parce que dans le cas du port forwarding, les trames à destination de paradise.sky.net ne sont pas destinées aux processus locaux, et donc elle ne passent pas à travers les chaînes "INPUT" et "OUTPUT". En fait, comme on le verra tout de suite, seul la chaîne "FORWARD" de la table "Filter" devra être modifiée.
• Nous allons maintenant faire suivre un certain type de paquets de l'interface "eth1" à l'interface "eth0" : Ce sera les paquets à destination du serveur HTTP. De même que nous laisserons passer les paquets en réponse. Là encore, nous utilisons du "conntrack" afin d'améliorer la sécurité de ce suivi de port :

  [root@phoenix /]# iptables -t filter -A FORWARD -i eth1 -o eth0 -s 0.0.0.0/0   \
                             -d 192.168.0.2 -p tcp --dport 80                    \
                             -m state --state ! INVALID           -j ACCEPT
  [root@phoenix /]# iptables -t filter -A FORWARD -i eth0 -o eth1 -s 192.168.0.2 \
                             -d 0.0.0.0/0   -p tcp --sport 80                    \
                             -m state --state RELATED,ESTABLISHED -j ACCEPT
  

• Nous arrivons à la 1er spécificité du "port forwarding". Pour les paquets entrant sur phoenix1.internet.net et à destination du port 80, nous allons modifier l'adresse de destination. Ce ne sera plus phoenix1.internet.net, mais paradise.sky.net, c'est à dire notre réel serveur HTTP. Pour cela, nous allons utiliser dans la table NAT, la chaîne "PREROUTING" et la cible "DNAT" (pour "Destination Network Adress Translation" en anglais).

  [root@phoenix /]# iptables -t nat -A PREROUTING  -i eth1 -s 0.0.0.0/0   \
                             -d 10.0.0.1  -p tcp --dport 80               \
                             -m state --state ! INVALID -j DNAT --to-destination 192.168.0.2:80
  

  Au passage, on voit que l'on peut aussi modifier le port de destination, et mettre autre chose que 80. Cela peut-être utile si le serveur HTTP sur paradise.sky.net tourne sur autre chose que le port 80.
• La seconde spécificité du "port forwarding", c'est de modifier aussi l'adresse source de la requête. En effet, si nous laissons l'adresse source actuelle (une adresse de 10.0.0.0/8 par exemple), paradise.sky.net sera bien ennuyé pour répondre, car ce sera une adresse d'un réseau qu'il ne peut pas joindre. Évidement, nous pourrions indiquer à paradise.sky.net que phoenix0.sky.net est une passerelle, et dans ce cas là les paquets retrouveraient tout de suite la sortie du réseau sky.net. Mais, et même si cette solution marche effectivement très bien, c'est une solution particulièrement mal propre, comme nous le verrons un peu plus loin. Donc, modifions cette adresse source :

  [root@phoenix /]# iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 \
                             -d 192.168.0.2 -p tcp --dport 80            \
                             -m state --state ! INVALID -j SNAT --to-source 192.168.0.1
  

• Bien, au niveau de Netfilter, tout est configuré. Il nous reste qu'à activer le NAT par la commande que nous connaissons déjà :

  [root@phoenix /]# echo 1 > /proc/sys/net/ipv4/ip_forward
  

[intrus@pirate /]$ telnet phoenix1.internet.net 80
Escape character is '^]'.
GET /
<!doctype html public "-//w3c//dtd html 4.0 transitional//en">
<html>
<head>
   <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
   <meta name="GENERATOR" content="Mozilla/4.61 [en] (X11; I; Linux 2.2.9-23mdk i686) [Netscape]">
   <meta name="Author" content="MandrakeSoft">
   <title>Welcome to the Advanced Extranet Server, ADVX!</title>
   <LINK REL="SHORTCUT ICON" HREF="/favicon.ico">
<!-- Background white, links blue (unvisited), navy (visited), red (active) --> </head>

<body text="#000000" bgcolor="#FFFFFF" link="#0000FF" vlink="#000080" alink="#FF0000">
<table border=0>
<tr>
<td valign=top><a href=http://www.advx.org><img border=0 src=/icons/advx.png
ALT="Powered by ADVX.org software" height=47 width=102 align=LEFT></a></td>
<td valign=top width=100%><h2><center>Welcome to paradise.sky.net
</center></h2>
</td></tr>

[root@paradise /]# tail -1 /var/log/httpd/access_log
192.168.0.1 - - [06/Jul/2003:21:02:21 +0200] "GET /" 200 6988 "-" "-"

[root@phoenix /]# iptables -L -v -n -t filter
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out  source         destination
    0     0 ACCEPT     tcp  --  *      *    0.0.0.0/0      0.0.0.0/0      tcp dpt:6000
    0     0 ACCEPT     tcp  --  *      *    0.0.0.0/0      0.0.0.0/0      tcp dpt:6000
    0     0 ACCEPT     all  --  lo     *    0.0.0.0/0      0.0.0.0/0
    0     0 ACCEPT     all  --  eth0   *    192.168.0.0/24 0.0.0.0/0
    0     0 ACCEPT     icmp --  eth1   *    0.0.0.0/0      10.0.0.1       state NEW,RELATED,
                                                                          ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source      destination
    8   430 ACCEPT     tcp  --  eth1   eth0 0.0.0.0/0      192.168.0.2    tcp dpt:80 state
                                                                          NEW,RELATED,ESTABLISHED
    8  7412 ACCEPT     tcp  --  eth0   eth1 192.168.0.2    0.0.0.0/0      tcp spt:80 state
                                                                          RELATED,ESTABLISHED

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out  source         destination
    0     0 ACCEPT     tcp  --  *      *    0.0.0.0/0      0.0.0.0/0      tcp spt:6000
    0     0 ACCEPT     tcp  --  *      *    0.0.0.0/0      0.0.0.0/0      tcp spt:6000
    0     0 ACCEPT     all  --  *      lo   0.0.0.0/0      0.0.0.0/0
    0     0 ACCEPT     all  --  *      eth0 0.0.0.0/0      192.168.0.0/24
    0     0 ACCEPT     icmp --  *      eth1 10.0.0.1       0.0.0.0/0      state RELATED,
                                                                          ESTABLISHED
[root@phoenix /]# iptables -L -v -n -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out  source         destination
    1    60 DNAT       tcp  --  eth1   *    0.0.0.0/0      10.0.0.1       tcp dpt:80 state NEW,RELATED,
                                                                          ESTABLISHED to:192.168.0.2:80

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out  source         destination
    1    60 SNAT       tcp  --  *      eth0 0.0.0.0/0      192.168.0.2    tcp dpt:80 state NEW,RELATED,
                                                                          ESTABLISHED to:192.168.0.1

[root@phoenix /]# iptables -D POSTROUTING 1 -t nat

[root@paradise /]# route add default gw phoenix0.sky.net
[root@paradise /]# route

Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         phoenix0.sky.ne 0.0.0.0         UG    0      0        0 eth0

[root@phoenix /]# iptables -L -v -n -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out source       destination
    1    60 DNAT       tcp  --  eth1   *   0.0.0.0/0    10.0.0.1    tcp dpt:80 state NEW,RELATED,
                                                                    ESTABLISHED to:192.168.0.2:80

Chain POSTROUTING (policy ACCEPT 1 packets, 60 bytes)
 pkts bytes target     prot opt in     out source       destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

[root@paradise /]# tail -1 /var/log/httpd/access_log
10.0.0.66 - - [06/Jul/2003:22:27:43 +0200] "GET /" 200 6988 "-" "-"

III-9-1 LOG

[root@phoenix /]# iptables -t filter -A INPUT -j LOG

[intrus@pirate /]# nmap phoenix1.internet.net -p 80,443

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0
Nmap run completed -- 1 IP address (0 hosts up) scanned in 30 seconds

[root@phoenix /]# tail -14 /var/log/messages
Jul  8 23:04:59 phoenix nmbd[2178]: [2003/07/08 23:04:59, 0] nmbd/nmbd_packets.c:send_netbios_packet(172) 
Jul  8 23:04:59 phoenix nmbd[2178]:   send_netbios_packet: send_packet() to IP 10.255.255.255 port 137 failed 
Jul  8 23:04:59 phoenix nmbd[2178]: [2003/07/08 23:04:59, 0] nmbd/nmbd_namequery.c:query_name(256) 
Jul  8 23:04:59 phoenix nmbd[2178]:   query_name: Failed to send packet trying to query name WORKGROUP
Jul  8 23:07:03 phoenix kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 LEN=28 TOS=0x00 PREC=0x00
                                TTL=38 ID=41593 PROTO=ICMP TYPE=8 CODE=0 ID=58020 SEQ=0 
Jul  8 23:07:03 phoenix kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 LEN=40 TOS=0x00 PREC=0x00
                                TTL=39 ID=51459 PROTO=TCP SPT=53120 DPT=80 WINDOW=4096 RES=0x00 ACK URGP=0 
Jul  8 23:07:09 phoenix kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 LEN=28 TOS=0x00 PREC=0x00
                                TTL=38 ID=2581 PROTO=ICMP TYPE=8 CODE=0 ID=58020 SEQ=256 
Jul  8 23:07:09 phoenix kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 LEN=40 TOS=0x00 PREC=0x00
                                TTL=39 ID=27444 PROTO=TCP SPT=53121 DPT=80 WINDOW=4096 RES=0x00 ACK URGP=0 
Jul  8 23:07:15 phoenix kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 LEN=28 TOS=0x00 PREC=0x00
                                TTL=38 ID=29887 PROTO=ICMP TYPE=8 CODE=0 ID=58020 SEQ=512 
Jul  8 23:07:15 phoenix kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 LEN=40 TOS=0x00 PREC=0x00
                                TTL=39 ID=48409 PROTO=TCP SPT=53122 DPT=80 WINDOW=4096 RES=0x00 ACK URGP=0 
Jul  8 23:07:21 phoenix kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 LEN=28 TOS=0x00 PREC=0x00
                                TTL=38 ID=37813 PROTO=ICMP TYPE=8 CODE=0 ID=58020 SEQ=768 
Jul  8 23:07:21 phoenix kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 LEN=40 TOS=0x00 PREC=0x00
                                TTL=39 ID=17449 PROTO=TCP SPT=53123 DPT=80 WINDOW=4096 RES=0x00 ACK URGP=0 
Jul  8 23:07:27 phoenix kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 LEN=28 TOS=0x00 PREC=0x00
                                TTL=38 ID=57294 PROTO=ICMP TYPE=8 CODE=0 ID=58020 SEQ=1024 
Jul  8 23:07:27 phoenix kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 LEN=40 TOS=0x00 PREC=0x00
                                TTL=39 ID=64622 PROTO=TCP SPT=53124 DPT=80 WINDOW=4096 RES=0x00 ACK URGP=0 

[root@phoenix /]# iptables -t filter -A INPUT -s 10.0.0.66 -j LOG --log-prefix="AttackPirate"
[root@phoenix /]# iptables -t filter -A INPUT -s 10.0.0.200 -j LOG --log-prefix="AttackWeb"

[intrus@pirate /]$ nmap -p 80 phoenix1.internet.net
[intrus@web /]$ nmap -p 80 phoenix1.internet.net
[root@phoenix /]# tail -f /var/log/messages
Jul  8 23:26:06 phoenix kernel: AttackPirate IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 ...
Jul  8 23:26:06 phoenix kernel: AttackWeb IN=eth1 OUT= SRC=10.0.0.200 DST=10.0.0.1 ...
Jul  8 23:26:12 phoenix kernel: AttackPirate IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 ...
Jul  8 23:26:12 phoenix kernel: AttackWeb IN=eth1 OUT= SRC=10.0.0.200 DST=10.0.0.1 ...
Jul  8 23:26:12 phoenix kernel: AttackPirate IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 ...
Jul  8 23:26:12 phoenix kernel: AttackWeb IN=eth1 OUT= SRC=10.0.0.200 DST=10.0.0.1 ...
Jul  8 23:26:25 phoenix kernel: AttackPirate IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 ...
Jul  8 23:26:28 phoenix kernel: AttackPirate IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 ...
Jul  8 23:26:34 phoenix kernel: AttackPirate IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 ...

[root@phoenix /]# iptables -t filter -A INPUT -j LOG --log-level=4
[root@phoenix /]# less /usr/include/sys/syslog.h
#define LOG_WARNING     4       /* warning conditions */
[root@phoenix /]# less /etc/syslog.conf
kern.=warn                     -/var/log/kernel/warnings
[intrus@pirate /]$ nmap -p 80 phoenix1.internet.net

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0
Nmap run completed -- 1 IP address (0 hosts up) scanned in 60 seconds
[root@phoenix /]# tail -10 /var/log/kernel/warnings
Jul  8 18:55:43 phoenix kernel: MSDOS FS: Using codepage 850
Jul  8 19:26:34 phoenix kernel: i2c-amd756.o version 2.7.0 (20021208)
Jul  8 19:26:34 phoenix kernel: i2c-amd756.o: AMD768 bus detected and initialized
Jul  8 19:28:37 phoenix kernel: UDF-fs: No VRS found
Jul  8 23:53:58 phoenix kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 ...
Jul  8 23:54:01 phoenix kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 ...
Jul  8 23:54:07 phoenix kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 ...
Jul  8 23:54:10 phoenix kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 ...
Jul  8 23:54:13 phoenix kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 ...
Jul  8 23:54:19 phoenix kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 ...

III-9-2 ULOG

• Kernel récent : il faut un Kernel >= 2.4.18-pre8 pour pouvoir utiliser ce module.
• Option de compilation : il faut que votre kernel soit compilé avec l'option CONFIG_IP_NF_TARGET_ULOG=m.
• Une fois compilé, le module ipt_ULOG.o doit se trouver sur votre disque dur (/lib/modules/[version du kernel]/kernel/net/ipv4/netfilter/ipt_ULOG.o.gz par exemple) :

  [root@phoenix /]# find /lib/modules/`uname -r`/ -iname "*ULOG*"
  /lib/modules/2.4.21-0.13mdksmp/kernel/net/ipv4/netfilter/ipt_ULOG.o.gz
  

  Sur une distribution "Mandrake 9.1", tout ceci est fait par défaut.
• Vous devez récupérer et installer le demon "ulogd" sur votre machine. Personnellement, j'ai téléchargé la version 1.0, et je l'ai compilé et installé dans mon "/usr/local/sbin/ulogd".
• Il faut configurer le demon ulogd. Pour cela, il faut éditer son fichier de configuration. Vous pouvez utiliser le mien. Les 2 informations importantes sont de spécifier qu'ULOG doit stocker ses logs sous forme de fichier texte, dans "/var/log/ulogd.syslogemu" par exemple.
• Le demon ULOG ("ulogd") doit tourner sur votre machine. L'idéal est de le lancer au démarrage, en même temps que les autres demons de votre machine. A toute fin utile, voici le script de démarrage du demon ULOG que j'ai écris. Il se place dans le "/etc/init.d/". Pour le démarrer systématiquement, il faut créer un lien symbolique du "/etc/rc.d/rc3.d/S[un nombre]ulogd" ou du "/etc/rc.d/rc5.d/S[un nombre]ulogd" vers "/etc/init.d/ulog". Exemple :

  [root@phoenix scripts]# ls -la /etc/init.d/ulogd
  -rwxr--r--    1 root     root         1821 jui  9 00:30 /etc/init.d/ulogd
  [root@phoenix scripts]# ls -la /etc/rc.d/rc5.d/S10ulogd
  lrwxrwxrwx    1 root     root           15 mai  4 21:02 /etc/rc.d/rc5.d/S10ulogd -> ../init.d/ulogd
  

• Démarrez le demon ulog . Par exemple :

  [root@phoenix /]# /etc/rc.d/rc5.d/S10ulogd start
  

• Vérifiez que le démon fonctionne correctement :

  [root@phoenix /]# cat /var/log/ulogd.log
  Wed Jul  9 00:50:27 2003 <3> ulogd.c:474 ulogd Version 1.00 starting
  Wed Jul  9 00:50:27 2003 <5> ulogd.c:688 initialization finished, entering main loop
  

• Configurez Netfilter pour qu'il utilise la cible ULOG au lieu de la cible LOG. Ici, on log tout ce qui va être supprimé par la chaîne "INPUT" :

  [root@phoenix /]# iptables -t filter -A INPUT -p all -j ULOG --ulog-prefix=DefaultDrop
  

• Et attendez qu'un intrus vienne se frotter à votre Netfiler :

  [root@phoenix /]# tail -f /var/log/ulogd.syslogemu
  Jul  8 20:24:22 phoenix DefaultDrop IN=ppp0 OUT= MAC= SRC=xx.xx.xx.xx DST=62.147.74.21 LEN=61
                  TOS=00 PREC=0x00 TTL=60 ID=0 DF PROTO=UDP SPT=53 DPT=32796 LEN=41 
  Jul  8 20:24:22 phoenix DefaultDrop IN=ppp0 OUT= MAC= SRC=xx.xx.xx.xx DST=62.147.74.21 LEN=40
                  TOS=00 PREC=0x00 TTL=251 ID=0 DF PROTO=TCP SPT=110 DPT=33108 SEQ=0
                  ACK=1355878989 WINDOW=0 ACK RST URGP=0 
  Jul  8 20:24:32 phoenix DefaultDrop IN=ppp0 OUT= MAC= SRC=xx.xx.xx.xx DST=62.147.74.21 LEN=61
                  TOS=00 PREC=0x00 TTL=60 ID=0 DF PROTO=UDP SPT=53 DPT=32797 LEN=41 
  Jul  8 20:24:54 phoenix DefaultDrop IN=ppp0 OUT= MAC= SRC=xx.xx.xx.xx DST=62.147.74.21
                  LEN=61 TOS=00 PREC=0x00 TTL=60 ID=0 DF PROTO=UDP SPT=53 DPT=32799 LEN=41 
  Jul  8 20:25:04 phoenix DefaultDrop IN=ppp0 OUT= MAC= SRC=xx.xx.xx.xx DST=62.147.74.21
                  LEN=61 TOS=00 PREC=0x00 TTL=60 ID=0 DF PROTO=UDP SPT=53 DPT=32800 LEN=41 
  Jul  8 20:25:22 phoenix DefaultDrop IN=ppp0 OUT= MAC= SRC=xx.xx.xx.xx DST=62.147.74.21
                  LEN=78 TOS=00 PREC=0x00 TTL=104 ID=36090 PROTO=UDP SPT=1034 DPT=137 LEN=58 
  Jul  8 20:25:28 phoenix DefaultDrop IN=ppp0 OUT= MAC= SRC=xx.xx.xx.xx DST=62.147.74.21
                  LEN=40 TOS=00 PREC=0x00 TTL=251 ID=0 DF PROTO=TCP SPT=110 DPT=33220 SEQ=0
                  ACK=1428948021 WINDOW=0 ACK RST URGP=0 
  Jul  8 20:25:34 phoenix DefaultDrop IN=ppp0 OUT= MAC= SRC=xx.xx.xx.xx DST=62.147.74.21
                  LEN=61 TOS=00 PREC=0x00 TTL=60 ID=0 DF PROTO=UDP SPT=53 DPT=32802 LEN=41 
  Jul  8 20:25:38 phoenix DefaultDrop IN=ppp0 OUT= MAC= SRC=xx.xx.xx.xx DST=62.147.74.21
                  LEN=61 TOS=00 PREC=0x00 TTL=60 ID=0 DF PROTO=UDP SPT=53 DPT=32803 LEN=41 
  

  Ceci n'est qu'une simple portion de mon log de Netfilter, lors d'une connexion en RTC le 8 Juillet 2003. Remarquez le temps plutôt faible entre les accès. Il s'agit en fait de plusieurs "port scan" effectués par plusieurs machines... Et encore, mon Netfilter est configuré pour ne pas afficher les logs des requêtes P2P qui, bien que je n'ai aucun client P2P, inondent régulièrement ma machine...

• --ulog-prefix : préfixe des log. Même chose que pour "--log-prefix" de la cible LOG
• --ulog-nlgroup : similaire à "--log-level" de la cible LOG

III-10-1 Règles par défaut ("Policy")

[root@phoenix /]# iptables -t filter -F
[root@phoenix /]# iptables -t filter -X
[root@phoenix /]# iptables -t filter -P INPUT   DROP
[root@phoenix /]# iptables -t filter -P FORWARD DROP
[root@phoenix /]# iptables -t filter -P OUTPUT  DROP
[root@phoenix /]# iptables -t nat -F
[root@phoenix /]# iptables -t nat -X
[root@phoenix /]# iptables -t nat -P PREROUTING  ACCEPT
[root@phoenix /]# iptables -t nat -P OUTPUT      ACCEPT
[root@phoenix /]# iptables -t nat -P POSTROUTING ACCEPT
[root@phoenix /]# iptables -t mangle -F
[root@phoenix /]# iptables -t mangle -X
[root@phoenix /]# iptables -t mangle -P PREROUTING  ACCEPT
[root@phoenix /]# iptables -t mangle -P INPUT       ACCEPT
[root@phoenix /]# iptables -t mangle -P FORWARD     ACCEPT
[root@phoenix /]# iptables -t mangle -P OUTPUT      ACCEPT
[root@phoenix /]# iptables -t mangle -P POSTROUTING ACCEPT

echo 0 > /proc/sys/net/ipv4/ip_forward

III-10-2 Chaînes utilisateurs

[root@phoenix /]# iptables -t filter -A INPUT -i eth0 -s 192.168.0.2 -p icmp -j LOG
[root@phoenix /]# iptables -t filter -A INPUT -i eth0 -s 192.168.0.2 -p icmp -j DROP
[root@phoenix /]# iptables -t filter -A INPUT -i eth0 -s 192.168.0.3 -p icmp -j LOG
[root@phoenix /]# iptables -t filter -A INPUT -i eth0 -s 192.168.0.3 -p icmp -j DROP
[root@phoenix /]# iptables -t filter -A INPUT -i eth1 -p icmp -j LOG
[root@phoenix /]# iptables -t filter -A INPUT -i eth1 -p icmp -j DROP

[root@phoenix /]# iptables -t filter -N LogDrop
[root@phoenix /]# iptables -t filter -A LogDrop -j LOG --log-prefix LogDrop
[root@phoenix /]# iptables -t filter -A LogDrop -j DROP

[root@phoenix /]# iptables -t filter -A INPUT -i eth0 -s 192.168.0.2 -p icmp -j LogDrop
[root@phoenix /]# iptables -t filter -A INPUT -i eth0 -s 192.168.0.3 -p icmp -j LogDrop

[root@phoenix /]# iptables -t filter -A INPUT -i eth1 -p icmp -j LogDrop

III-10-3 Script final d'exemple

• LAN_* (Local Area Network) : ces variables définisent le réseau local. Dans notre exemple, il s'agit du réseau "sky.net".
• WAN_* (Wan Area Network) : là, il s'agit des variables définissant le réseau Internet. Elles sont spécialement conçues pour un réseau connecté par l'intermédiaire d'une passerelle. Or, vous devez plutôt avoir un modem RTC/RNIS/ADSL pour vous connecter, non ? Dans ce cas, il vous faudra donc décommenter le 2nd paquet de lignes "WAN_*", qui définirons vos paramètres de connexions Internet. La seule variable qu'il faudra bien vérifier est "WAN_INTERFACE=ppp0", mais à priori, vous ne vous connectez à Internet que par l'interface "ppp0". Dans le doute, et une fois que votre connexion Internet est activé, les commandes "/sbin/ifconfig" et "/sbin/route" vous donnerons plus d'informations.
• NAT (Network Adress Translation) : cette variable définie si ou non vous voulez autorisez les machines de votre réseau interne à se connecter à Internet.
• PF_* (Port Forwarding) : ces variables définissent si ou non vous voulez faire du port forwarding. Notez que j'ai pris ici l'exemple le plus simple : le HTTP ne demande en effet qu'un seul port omnidirectionnel. Si vous voulez faire du port forwarding sur du FTP, ce sera un peu plus compliqué, car il faut laisser passer le canal de données (FTP-DATA) qui utilise le port 20 du coté client. Pour le P2P, c'est votre port de connexion (par exemple, "4660") qu'il faudra laisser passer en entrée.

• Toutes les règles Netfilter qui contrôlent l'accès à Internet utilisent l'adresse IP externe de la machine ("WAN_IP"). C'est une manière de faire, qui je l'admets est contestable. Beaucoup de scripts que vous trouverez sur Internet n'utilisent pas ces options ("-d $WAN_IP" pour les règles "INPUT" et "-s $WAN_IP" pour les règles "OUTPUT"), et ne restreignent tout simplement pas les connexions externes à l'adresse IP externe. Par exemple, au lieu d'écrire :

  [root@phoenix /]# iptables -t filter -A OUTPUT -o $WAN_INTERFACE -s $WAN_IP -d $WAN_NETWORK \
                             -p all -m state --state ! INVALID           -j ACCEPT
  [root@phoenix /]# iptables -t filter -A INPUT  -i $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP \
                             -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
  

  Ces autres scripts écriraient :

  [root@phoenix /]# iptables -t filter -A OUTPUT -o $WAN_INTERFACE -d $WAN_NETWORK \
                             -p all -m state --state ! INVALID           -j ACCEPT
  [root@phoenix /]# iptables -t filter -A INPUT  -i $WAN_INTERFACE -s $WAN_NETWORK \
                             -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
  

  C'est effectivement plus simple à écrire, mais personnellement je n'ai pas confiance en ce type d'écriture "courte". Et ce, pour 2 raisons :
  • On peut toujours craindre une attaque malicieuse où un intrus nous enverrait un paquet mal formé, avec une adresse IP qui n'est pas la nôtre. C'est spécialement faisable si l'intrus se trouve être chez notre propre fournisseur d'accès. Ce paquet n'étant pas du tout normal, il n'a aucune raison de rentrer dans notre machine. On peut aussi imaginer qu'il indique comme adresse de destination une adresse de notre réseau interne. Ce type de paquet n'est pas du tout supposé pouvoir pénétrer dans notre machine, mais les techniques d'intrusion évoluant sans cesse, qui sait si un jour une telle technique ne sera pas capable de contourner les protections de Netfilter ?
  • "Iptables" permet d'être très "fin" au niveau de ses règles de filtrages, je trouve donc tout simplement regrettable de ne pas exploiter au maximum ses possibilités, et donc de ne pas faire des règles "ACCEPT" les plus restrictives possibles.
  Conclusion : dans le doute, je m'abstiens, et j'utilise la "WAN_IP"...
  
  Mais ce choix a un désavantage important : pour que ce script soit fonctionnel, il faut le lancer à chaque fois que la configuration réseau change, c'est à dire à chaque connexion à Internet. Et c'est la commande (barbare ?) "/sbin/ifconfig | grep "P-t-P" | sed "s/^[: a-z]*\([.0-9]*\).*/\1/g"" qui va se charger de trouver l'adresse IP internet de votre machine. Mais plutôt que de le lancer manuellement, vous pouvez laisser Linux s'en occuper pour vous. En effet, à chaque fois que la connexion ppp est initialisée, Linux exécute le script "/etc/sysconfig/network-scripts/ifup-ppp" (*). Vous n'avez donc qu'à rajouter une ligne lançant ce script au début de ce fichier. Par exemple, quelque chose comme "/usr/local/sbin/iptables-final-1.sh".
  
  Pour des raisons de sécurité, je vous conseille de donner la propriété de ce fichier au root, et de le laisser en écriture uniquement pour le super utilisateur.
  Exemple :

  [root@phoenix /]# chown root:root /usr/local/sbin/iptables-final-1.sh
  [root@phoenix /]# chroot 755 /usr/local/sbin/iptables-final-1.sh
  

  (*): en fait, ce n'est pas une obligation absolue. Et cela dépend en partie de l'outil que vous utilisez pour vous connecter sur Internet. Par exemple, pour ma connexion modem j'utilise l'interface graphique "/usr/bin/kppp". Et ce programme propose de lancer un script une fois la connexion Internet établie. C'est là que l'on pourrait mettre le "/usr/local/sbin/iptables-final-1.sh"
• Dans ce script, vous pouvez voir que les règles de port forwarding sont situées avant celles d'IP masquerading. Simple effet de style de ma part ? Non, pas du tout. Un paquet venant d'Internet et à destination du port 80 de la machine satisfait à 2 règles de la chaîne "FORWARD" :

  iptables -t filter -A FORWARD -i $WAN_INTERFACE -o $LAN_INTERFACE -s $WAN_NETWORK -d $LAN_NETWORK \
                     -p $PF_PROTO --dport $PF_PORT -m state --state ! INVALID           -j ACCEPT
  iptables -t filter -A FORWARD -i $WAN_INTERFACE -o $LAN_INTERFACE -s $WAN_NETWORK -d $LAN_NETWORK \
                     -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
  

  De même que pour les paquets sortants de la machine et ayant pour source le port 80 :

  iptables -t filter -A FORWARD -i $LAN_INTERFACE -o $WAN_INTERFACE -s $LAN_NETWORK -d $WAN_NETWORK \
                     -p $PF_PROTO --sport $PF_PORT -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -t filter -A FORWARD -i $LAN_INTERFACE -o $WAN_INTERFACE -s $LAN_NETWORK -d $WAN_NETWORK \
                     -p all -m state --state ! INVALID           -j ACCEPT
  

  Dans les 2 cas, la 1ère règle est une règle de port forwarding et la 2nd d'IP masquerading. Mais comme les 2nd règles sont plus générales que les premières, les statistiques de Netfilter (commande "iptables -L -n -v -t filter") sont faussées si les règles d'IP masquerading sont placées avant les règles de port forwarding.
  
  Cet exemple est intéressant, car c'est un des fameux cas où l'ordre des commandes "iptables" a une certaine importance. Comment cela je chipote ? Et bien oui...
• Notez enfin que les différents modules de Netfilter ("iptable_nat", "ip_nat_ftp", etc ...) ne sont chargés que si c'est nécessaire. On aurait par contre pu tous les charger "en bloc" au début du script.

III-10-4 Autres scripts

Nom du script	Description
iptables-extrem-accept.sh	Ce script vide toutes les chaînes prédéfinies et supprime toute les chaînes utilisateurs de toutes les tables. C'est utile si vous voulez revenir à une configuration de Netfilter complètement vierge, et aussi complètement insécurisée. Bref, c'est la configuration que vous avez probablement actuellement !
iptables-extrem-drop.sh	Ce script est pour les ultra paranoïaques, car contrairement à son prédécesseur, il interdit toute connexion (après avoir au préalable supprimé toutes les règles et toutes les chaînes utilisateurs). Avec une telle configuration, il ne vous reste plus qu'à débrancher les câbles réseaux de votre machine, et en faire des colliers. Au moins, ils vous seront utiles à quelque chose !

III-10-5 Tests d'intrusion

• Vous avez un accès en "telnet" ou en "SSH" (ce qui est mieux, car plus sécurisé) sur une machine situé sur Internet. Vous vous connectez alors dessus, et vous lancez un "nmap" sur l'adresse IP de votre machine. Attention de ne pas vous tromper d'adresse IP, sinon vous iriez tester les ports d'une autre machine, et son propriétaire pourrait ne pas être très content...
• Vous demandez à un de vos amis de faire ce test pour vous. Encore faut il qu'il sache ce qu'est "nmap" !
• Enfin, vous faire faire ce test par un site web. Certains sites proposent gratuitement ce genre de prestation, entre autre pour vous proposer des solutions de firewall ... Windows®

Site de test	Résultat
PcFlank
DSLreports
Shields UP!
AuditMyPc.com	Le site a refusé de tester la machine, ce qui est apparemment dût à la présence du proxy transparent de mon fournisseur d'accès à Internet

III-10-6 Sauvegarde des règles Netfilter

[root@phoenix /]# iptables -t filter -A OUTPUT -o ppp0 -d 0.0.0.0/0 \
                           -p all -m state --state ! INVALID           -j ACCEPT
[root@phoenix /]# iptables -t filter -A INPUT  -i ppp0 -s 0.0.0.0/0 \
                           -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

[root@phoenix /]# /etc/rc.d/init.d/iptables save

[root@phoenix /]# cd /etc/rc.d/rc3.d/
[root@phoenix /]# ln -s ../init.d/iptables s03iptables
[root@phoenix /]# cd /etc/rc.d/rc5.d/
[root@phoenix /]# ln -s ../init.d/iptables s03iptables

[root@phoenix /]# /etc/rc.d/init.d/iptables stop

• Premièrement, il faut charger le module du kernel appelé "ip_queue"

  [root@phoenix /]# modprobe ip_queue
  

• Puis dans les règles de Netfilter, par exemple au niveau des chaînes INPUT et OUTPUT de la table "Filter", il faut créer une règle qui envoie tout les paquets suspects vers la cible "QUEUE" (nous ne l'avons pas encore vue jusqu'ici). L'idéal est de la mettre en tant que dernière règle de la chaîne, afin que les autres règles aient déjà filtrés les paquets :

  [root@phoenix /]# iptable -t filter -A OUTPUT -j QUEUE
  [root@phoenix /]# iptable -t filter -A INPUT -j QUEUE
  

  Dans le jargon du kernel, on dit que l'on envoie le paquet dans le "user space" ("espace utilisateur" en français)
• Enfin, il faut avoir un applicatif qui va recevoir ces paquets, les analyser en fonction par exemple du programme qui a fait la connexion ou à qui elle est destinée, et refusé ou non le paquet. Une interface graphique peut par exemple montrer à l'utilisateur ce qui se passe, libre à ce dernier d'accepter ou non le paquet.

Règles Netfilter

Règles de l'espace utilisateur

• de la LIBIPQ, dont vous trouverez des informations ici.
• éventuellement de ipqmpd qui permet de récolter les paquets IP venant de Netfilter. Vous pourrez le trouver ici
• de quelques neurones, afin de créer votre programme de gestion des paquets, et des règles d'entrée / sorties.

IV-1-1 Interfaces à Iptables

• ShoreWall : Un programme de configuration de Netfilter / Iptables, possédant beaucoup d'options de configuration.
• FWBuilder : Un outil beaucoup plus générique, permettant de configurer facilement divers outils de firewall, comme "ipchaine" (l'ancêtre d'"iptables"), "iptables", certains firewalls matériels, etc...

IV-1-2 Distributions spécialisées

• SME : Distribution avancée permettant de faire office de firewall, serveur de mails, serveur POP, serveur HTTP, etc...
• FloppyFW : Distribution basée sur une simple disquette, et faisant office de firewall.
• IPCop : Une distribution proposant des fonctions de firewall, DNS, serveur DHCP, etc...
• BBIagent : Similaire à "FloppyFW"
• Linux router : Un site qui propose (proposait...) un ensemble d'outils permettant de créer sa propre distribution routeur/firewall personnalisée.

• LWN : Liste de distributions Linux, classées par genre. Les sections "Secured Distributions" et "Floppy-based" sont tout spécialement intéressantes.
• Linux Online : Autre site proposant les distributions, classées par type.
• DistroWatch : Un autre site de référence listant les distributions Linux.

• Ma machine passe régulièrement d'une connexion Internet RTC à une connexion ADSL ou par passerelle, voir à pas de connexion Internet du tout. Il me fallait donc un script qui puisse s'adapter facilement à ces changements de configuration, sans que ce soit trop pénible pour moi.
• Étant de nature assez soupçonneuse vis à vis d'Internet, il me fallait utiliser des commandes "iptables" utilisant mon adresse IP Internet (comme vu précédemment). Donc il fallait que ce script trouve tout seul cette adresse IP.
• Enfin, il m'arrive de me connecter sur Internet, et de rendre temporairement accessible certains serveurs tournant sur ma machine. Je voulais donc un script qui puisse ouvrir le plus simplement possibles certains ports de ma machine.

• Support de multiples interfaces locales : On peut déclarer autant d'interfaces réseaux internes ("eth0", "eth1", "eth2", etc...)
• Connexion externe : RTC / ADSL / passerelle : On peut utiliser tout ces types d'interfaces pour se connecter à Internet. La détection du type de connexion, ou son absence, est automatique.
• Supporte le Conntrack / IP masquerading : Seul le port forwarding n'est pas implémenté. Si nécessaire, je pourrais le développer par la suite.
• LOG / ULOG / Filtrage de logs : Ces différentes techniques de logs sont possible.
• Suppression de certains LOG : Il est possible de ne pas logger certains types de trames, afin d'éviter de surcharger les logs. C'est spécialement utile pour éliminer par exemple les demandes de connexions P2P. Elles sont notamment spécialement importantes en début de connexion.
• Gestion de serveurs : TO / FTP / ... : Ce script gère pour l'instant le passages des trames des serveurs de type Tactical Ops et FTP. Par la suite, d'autre serveurs pourrons être gérés.
• Affichage des règles : Afin de permettre à l'utilisateur de comprendre un peu mieux les règles Netfilter générées, toutes les commandes Iptables utilisées sont affichées ou stockés dans un log.
• Évolutif : De la manière dont ce script est implémenté, il se veut le plus évolutif possible. Vous pourrez rajouter facilement de nouvelles fonctionnalités, voir me proposer d'en rajouter.

[root@phoenix ]# /usr/local/sbin/netfilter_cfg
+ Utilisation des paramètres par défaut :
  --drop-rules' : on
  --spoofing-filter' : on
  --nat' : off
  --wan-ftp-server' : off
  --wan-to-server' : off
  --wan-ping' : off
  (Utiliser '--help pour avoir de l'aide')
+ Règles iptables modifiées. Utilisez 'iptables -L -n' ou 'iptables -L -n -v' pour afficher la liste des tables
+ Fichier de debug : /var/log/netfilter_cfg

[root@phoenix /]# /usr/local/sbin/netfilter_cfg --help

                   netfilter_cfg v0.5.4

Usage: netfilter_cfg [--drop-rules <on|off>]
          [--nat <on|off>] [--spoofing-filter <on|off>] [--help]
          [--wan-ftp-server <on|off>] [--wan-to-server <on|off>]
          [--wan-ping <on|off>]

Options :
--drop-rules      Active/désactive le rejet automatique de certains paquets
                  Défaut : on
--nat             Active/désactive le fonctionnement en passerelle Internet
                  Défaut : off
--spoofing-filter Active/désactive les règles anti-spoofing
                  Défaut : on
--wan-ftp-server  Active/désactive le serveur FTP Internet
                  Défaut : off
--wan-to-server   Active/désactive le serveur Tactical Ops Internet
                  Défaut : off
--wan-ping        Autorise ou nom la machine à répondre aux ping
                  Défaut : off
--help            Affiche l'aide

Exemples :
  netfilter_cfg --nat on --wan-to-server on --wan-ftp-server off
La machine est configurée pour faire du NAT et serveur Tactical Ops.
Le serveur FTP est arrêté