FireWall NetFilter/IPTables: filtrage applicatif

Bonjour,

Il m’ arrive parfois de le connecter à des réseau (WiFi ou LAN) en lesquels je n’ai pas forcément grande confiance.

J’ai donc configuré NetFilter avec IPTables à ma sauce pour le filtrage IP, me voilà donc relativement plus serein de ce coté mais quid du filtrage applicatif. Je ne voudrais pas avoir un processus qui emette des données vers le net ou, où que se soit sans que j’en ai pleinement conscience et sans mon consentement.

Suite à quelques recherches, je découvres des possibilité de correspondance de NetFilter/IPTables qui vont dans mon sens: les owner match. Qui permettent de filtrer selon le processus créateur du paquet.

Je découvre donc:

Pour matcher selon l’ UID du processus créateur du paquet:
iptables -A OUTPUT -m owner --uid-owner 500
Pour matcher selon le GID du processus créateur du paquet:
iptables -A OUTPUT -m owner --gid-owner 0
Pour matcher selon le PID du processus créateur du paquet:
iptables -A OUTPUT -m owner --pid-owner 78
Pour matcher selon le SID du processus créateur du paquet:
iptables -A OUTPUT -m owner --sid-owner 100
Pour matcher selon selon le nom du processus créateur du paquet:
iptables -A OUTPUT -m owner --cmd-owner “une_commande”

Suite à cette découverte, je m’empresse de tester mais …
… parmis ces correspondances je ne parviens à faire fonctionner que --uid-owner et --gid-owner
les autres me renvoient un :
iptables: Invalid argument

Je ne sais plus ou chercher, ces correspondances que j’arrive à utiliser ne sont pas suffisantes pour faire du filtrage applicatif.

Merci d’avance pour votre aide.

avec lien recherche du forum, sur owner+iptables, tu trouveras 6 liens qui répondront à tes questions.

sinon, il y a un autre moteur de recherche sur le forum que celui qui est proposé en standard:
google.com/coop/cse?cx=003036737 … eiooiloi7c

et avec la même recherche, ça donne:
google.com/custom?cx=0030367 … oogle-coop

Allez va, je te donne la solution a ton problème.

Les options --pid-owner, --sid-owner et --cmd-owner ne sont plus disponibles depuis le noyau 2.6.14.

Pour tout ceux qui liront le post : la man page de itpables fournie toutes les options disponibles pour les différentes versions, cad même celles qui ne sont plus présentes dans la dernière version !

[quote=“mattotop”]avec lien recherche du forum, sur owner+iptables, tu trouveras 6 liens qui répondront à tes questions.

sinon, il y a un autre moteur de recherche sur le forum que celui qui est proposé en standard:
google.com/coop/cse?cx=003036737 … eiooiloi7c

et avec la même recherche, ça donne:
google.com/custom?cx=0030367 … oogle-coop[/quote]
Dis donc Matt, il faut que je t’apprenne à raccourcir des liens URL ?
Tu vas t’exécuter et me copier 100 fois :
“je n’embêterai plus mes petits camarades en les obligeant à se servir de l’ascenseur horizontal pour lire un msg”. :unamused:

gnagnagna :stuck_out_tongue:

Merci pour vos reponses. Je dois avoué que je me suis laissé avoir par le man page de iptables. Puisque je voyais apparaître dedans les options --pid-owner, --sid-owner et --cmd-owner, je croyais quelles étaient disponibles.

Sinon, désolé mattotop. J’ai passé une journée a chercher sur google une réponse satisfaisant mais pas sur le forum. :blush: Sorry.

Sinon, je suis vraiment déçu que ces options ne soient plus dans le noyau. Pourquoi une telle décision ? Il est peut être possible de les charger en tant que module peut être ?

Je trouverais ça assez lourd d’utiliser fireflier pour une utilisation locale.

Encore merci thialme et mattotop.

dans les différents fils qui en parlent ici, il y a des solutions alternatives.

Après recherches, je décide de m’orienter vers NuFW qui se compose d’une partie Serveur (utilisant netfilter) et une partie client. D’après mes lectures il semble tout à fait raisonnable d’installer le client ainsi que le serveur sur la même machine pour un usage en local.
J’ai quand même éprouvé une certaine déception en constatant que le client windows n’est pas libre et est même payant.
Linux n’est pas assez user friendly pour ma femme et , au bureau le langage utilisé nous impose l’utilisation de windows pour les postes de travail.
Dommage, c’était presque parfait.