• STATISTIQUES
  • Il y a eu un total de 2 membres et 11973 visiteurs sur le site dans les dernières 24h pour un total de 11 975 personnes!


    Membres: 2 433
    Discussions: 3 585
    Messages: 32 832
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] Le top web
    Nous offrons une sélection la plus large possible de resources webmaster gratuites, hébergement gratuit...
    Webmaster
    [EN] Hack this site
    Basic: 11, Realistic: 17, Application: 18, Programming: 12, Extbasic: 14, Javascript: 7, Stego: 17
    Challenges
    [EN] Rosecode
    Programming: 36, Math: 29, Probability: 5, Sequence: 7, Crypto: 4, Brainf**k: 13, TimeRace: 4, Hack: 9
    Challenges
    [EN] Packet Storm
    Packet Storm est un site qui combine nouvelles de la sécurité informatique, téléchargemen...
    Vulnérabilités
    [FR] Comment ca marche
     Gratuit et accessible à tous, ce site de communauté permet de se dépanner, se faire aider ...
    Webmaster
    [FR] Kalkulators
    Ce projet a plusieurs buts, le premier étant l’étude de toutes formes cryptographiques, le cot&ea...
    Cryptographie
    [EN] social-engineer
    Site dédié au Social Engineering en général.
    Hacking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
IPTABLES / Sécurité
08-04-2013, 17h44 (Modification du message : 08-04-2013, 17h44 par notfound.)
Message : #1
notfound Hors ligne
#!/usr/bin/env bash
*



Messages : 687
Sujets : 47
Points: 272
Inscription : Sep 2012
IPTABLES / Sécurité
Hello tout le monde, enfin un thread qui relève de la technique (ça faisait longtemps, n'en déplaise à notre EpicOut adoré ! ).


Pour commencer, il vaut mieux un beau schéma qu'un long discours.
Voici donc ma topologie réseau (routeur0 est aussi un PC sous linux !)
Le réseau du PC1 en 192.168.2.0/24 est relié via l'interface eth0 du "routeur"
Le réseau du PC2 en 192.168.1.0/24 est relié via l'interface eth1 du "routeur"

[Image: 0-mw70JLBT-schema-debut-s-.png]


Or, j'aimerai que PC1 puisse voir le PC2 mais que le PC2 ne puisse pas voir le PC1.
C'est-à-dire bloquer toutes les connexions venant de PC2 tout en laissant les connexions déjà établies bien entendu.


J'avais donc pensé à faire cela :

Code BASH :

#Supprime toutes les regles
iptables -t filter -F
iptables -t filter -X

#Coupe toutes les connexions entrantes/sortantes de l'interface eth1
#Qui doit correspondre a l'interface d'entrée/sortie de l'école
iptables -t filter -P INPUT -o eth1 DROP
iptables -P INPUT -o eth1 DROP
#iptables -t filter -P OUTPUT -o eth0 DROP

#Laisse les connexions établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 


Mais j'ai un doute quant au fonctionnement de mes règles avec l'option -o eth1 ...
De plus, j'suis pas sûr d'avoir mis les règles dans l'ordre, sachant que l'iptables fait du FirstAs pour le matching.


Edit: Je m'auto réponds un peu

Code BASH :

#!/bin/bash

#Supprime toutes les regles
iptables -t filter -F
iptables -t filter -X

#Laisse les connexions établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#Coupe toutes les connexions entrantes/sortantes de l'interface eth1
#Qui doit correspondre a l'interface d'entrée/sortie de l'école
iptables -t filter -P INPUT -i eth1 DROP
iptables -t filter -P OUTPUT -o eth1 DROP

#Bloque l'adresse IP 192.168.1.2
iptables -A INPUT -s 192.168.1.2 -j DROP
iptables -A FORWARD -s 192.168.1.2 -j DROP
iptables -A OUTPUT -s 192.168.1.2 -j DROP
 
+1 (1) -1 (0) Répondre
08-04-2013, 22h25 (Modification du message : 08-04-2013, 22h27 par gruik.)
Message : #2
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: IPTABLES / Sécurité
je pense pas que "-P INPUT -o eth1" passe, avec un "-I INPUT" ca marchera sans doute mieux
sinon tu peux simplement ne pas router cette interface :
Code BASH :
echo 0 > /proc/sys/net/ipv{4,6}/conf/eth1/forwarding


edit: au temps pour moi, effectivement "INPUT" et "-o" ca va pas ensemble Wink la seconde remarque reste valable...
+1 (1) -1 (0) Répondre
08-04-2013, 22h44 (Modification du message : 08-04-2013, 22h45 par b0fh.)
Message : #3
b0fh Hors ligne
Membre actif
*



Messages : 210
Sujets : 17
Points: 309
Inscription : Jul 2012
RE: IPTABLES / Sécurité
l'option -P règle la policy pour une chaine, c'est à dire la cible qui sera appliquée si aucune règle ne correspond. Le -o ajoute une condition a une règle, donc la combinaison des deux n'a pas de sens.

Comme le dit gruik, -o ne fonctionne que sur les chaines en sortie (FORWARD, OUTPUT et POSTROUTING) et -i ne fonctionne que sur les chaines en entrée (FORWARD, INPUT et PREROUTING).

Couper le forwarding pour une interface ne fera pas ce que tu veux, le traffic dans une direction sera coupé et tcp ne fonctionnera pas correctement ni dans un sens ni dans l'autre.

Sur ce superbe schema (et sur cette version simplifiée)tu peux voir la position des différentes chaines dans le processus. Les chaines INPUT et OUTPUT ne concernent que le traffic ayant pour source ou pour destination la machine locale; dans ton cas c'est uniquement FORWARD qui te concerne.

Tu veux donc un truc du genre:

Code :
iptables -A FORWARD -m state --state established,related -j ACCEPT  # accepter les connexions déja établies
iptables -A FORWARD -m state --state invalid -j DROP           # après ces deux règles, il ne reste que l'état NEW
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT # on accepte les connexions de eth0 vers eth1
iptables -P FORWARD DROP # et on jette tout le reste... y compris ce qui irait vers une 3e interface reliée a internet s'il y en avait une.

Ce qui autorise les connexions de pc1 à pc2 mais pas dans l'autre sens. (après, je ne sais pas si ça correspond à ta définition de "voir")
+1 (2) -1 (0) Répondre
08-04-2013, 22h55
Message : #4
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: IPTABLES / Sécurité
huhu effectivement s'agissait pas de couper le routage, c'est ça de pas lire l'énnoncé dsl Tongue
+1 (0) -1 (0) Répondre
08-04-2013, 23h52
Message : #5
notfound Hors ligne
#!/usr/bin/env bash
*



Messages : 687
Sujets : 47
Points: 272
Inscription : Sep 2012
RE: IPTABLES / Sécurité
b0fh & gruik, tout d'abord merci à vous deux !

@gruik: pas de souci, l'erreur c'est normal Wink

@b0fh c'est exactement ça que je voulais !
+1 (0) -1 (0) Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut