Question iptable

Bonsoir,

Je me suis fais un ptit firewall maison, comme je suis pas parano je bloque tous sauf ce que je veux laisser ouvert. Mais voila, j’aimerai que certaine appli puissent communiquer par les ports quels veulent.

Est ce possible d’authoriser une appli a passer par les ports que l’on veut ou tous pour faire plus simple au début?

Merci

Aurais tu un exemple d’application qui devrait pouvoir choisir les port qu’elle veut ?

nmap par exemple, je fais pas mal de petit tests de scan entre mes pc en ce moment.

Ce n’est pas une application typique ça, c’est un scanneur :exclamation:

Pour faire ça, je baisse le firewall. Et même si je venais à autoriser uniquement nmap à faire ce qu’il veut cela signifierait que quelqu’un sur mon poste pourrait scanner d’autres postes. Pas génial pour les autres ! Mon firewall gère les connexions entrantes mais aussi sortantes. On est jamais à l’abris d’un backdoor ou de gens malhonnètes pour utiliser sa machine.

Oui donc tu coupe carrement le firewall. C’est pas ce que je veux faire. Je veux authoriser l’émission ou la reception sur un ou plusieurs ports précis uniquement pour une applications précise, nmap n’était qu’un exemple, c’est lui qui m’en a donnée l’idée.

Et bien jusqu’à présent j’ai toujours trouvé une solution pour imposer aux serveurs/applications d’utiliser les ports que je voulais ; c’est mon firewall qui dirige, pas mes applications. Je ne penses pas qu’il y ai de raison de faire autrement (pour ce que j’en connais en tout cas). Si c’est un simple problème de compréhension des protocoles, les rfcs sont la pour aider à comprendre le fonctionnement.

Je n’ai pas de solution a t’apporter car je n’ai jamais procédé de cette façon.
Désolé.

Tout est possible tout est réalisable, c’est le jeu de linux.

:arrow_right: http://www.nufw.org/-Francais-.html :wink: :wink:

Au fait, si tu arrives à le faire via iptables, un retour est le bien venu. (C’est de la curiosité)

http://iptables-tutorial.frozentux.net/iptables-tutorial.html
http://www.netfilter.org/documentation/index.html#documentation-howto

Ben ca marche avec --cmd owner --cmd-owner nmap. Mais c’est plus supporter depuis les noyaux 2.6.15 :cry: . Et je trouve pas pas quoi sa a été remplacer, si ca a été remplacer.

Ce n’est pas cela que tu cherches :

http://iptables-tutorial.frozentux.net/iptables-tutorial.html#OWNERMATCH

Si mais ce n’est plus supporter depuis les noyaux 2.6.15 apparament. J’ai essayer tous de même:

iptables -A OUTPUT -m owner --cmd-owner sshd
iptables: Invalid argument

Et un message d’insulte dans la syslog:

Jun 22 22:26:01 Etch kernel: ipt_owner: pid, sid and command matching not supported anymore

Man iptables :

hum ok. Je croyais qu’il s’agissait de ca en faite:

grep -i owner /boot/config-2.6.18-4-k
CONFIG_IP_NF_MATCH_OWNER=m
CONFIG_IP6_NF_MATCH_OWNER=m

Bon faut que je trouve quel patch rajouter pour avoir le support.

http://www.plouf.fr.eu.org/bazar/netfilter/changements-netfilter-2.6.html#linux-2.6.14

Les options --pid-owner, --sid-owner et --cmd-owner ne sont plus disponibles, il faut donc se débrouiller autrement. Si tu veux vraiment des informations sur comment te débrouiller pour mettre quelque chose de similaire en place c’est par là :

http://lists.netfilter.org/

Personne n’est mieux placé qu’eux pour t’aider.

Au fait, il n’a eu qu’une seule réponse sur la liste netfilter.

http://tuxguardian.sf.net.

quote="thialme"
On est jamais à l’abris d’un backdoor ou de gens malhonnètes pour utiliser sa machine.[/quote]Non, mais on est sous linux, donc la probabilité est quasi nulle (sous debian encore réduite). En 10 ans avec foultitude de serveurs, j’ai été pourri une fois par un rootkit, et par le biais d’une faille apache.
Protèger la sortie n’aurait rien changé, et de toutes les manières, je ne surveille les flux qui traversent en sortie qu’au niveau de mon routeur.

Matt: Qu’avais tu fait à l’époque? J’ai eu une fois affaire à un rootkit (à travers wu-ftpd et faille ptrace alors que je recompilais le noyau pour cette faille :confused:). J’avais fait une image du disque et avas pu tout reconstituer. Le gars n’était pas un gentil, il avait installé 2 backdoor, un SMTP et un bazar dont j’ai oublié le nom permettant de faire des requêtes sur une machine distante. Cet imbécile se croyait sur une RedHat et avait oublié de modifier les logs de wu-ftpd, j’ai pu retrouver son origine comme ça. J’avais fait un mail à son FAI (ou au FAI de la machine d’où il agissait) mais n’ai jamais eu de réponse. Il faudrait que je le remrcie car j’ai beaucoup appris à cause de lui…

Je préfère la prévention, plutôt que la réparation.

[quote=“fran.b”]Matt: Qu’avais tu fait à l’époque?
(…)[/quote]
J’avais eu l’injection du rookit, mais pas d’exploitation visible derrière: je m’en suis aperçu avant je pense.
Ceci étant, j’ai sauvé mon /etc et reinstallé hors ligne: impossible de faire confiance à une machine compromise. :wink:

thialme: le filtrage de l’output ne sert pas à protèger, mais uniquement à détecter, et je fais confiance à d’autres outils pour faire ça mieux (dont netstat, du noexec sur les partoches tmp + ma cervelle et mon attention). Quand les flux commencent à être bizarre en output, c’est soit qu’un service bizarre fait un callback soit que le type s’est déjà connecté (en entrée) par un port autorisé pour bidouiller, mais dans tous les cas, la machine n’est plus fiable: il est déjà trop tard.
Alors plutot que de me prendre la tête à trouver pourquoi à cause du filtrage d’output tel ou tel service légitime ne fonctionne pas, je préfère mettre mon temps dans d’autres modes de surveillance en amont.
Et comme j’ai dit, une machine compromise ne se répare pas, elle se formatte. :wink:

[quote=“mattotop”]
thialme: le filtrage de l’output ne sert pas à protèger, mais uniquement à détecter, et je fais confiance à d’autres outils pour faire ça mieux (dont netstat, du noexec sur les partoches tmp + ma cervelle et mon attention). Quand les flux commencent à être bizarre en output, c’est soit qu’un service bizarre fait un callback soit que le type s’est déjà connecté (en entrée) par un port autorisé pour bidouiller, mais dans tous les cas, la machine n’est plus fiable: il est déjà trop tard.
Alors plutot que de me prendre la tête à trouver pourquoi à cause du filtrage d’output tel ou tel service légitime ne fonctionne pas, je préfère mettre mon temps dans d’autres modes de surveillance en amont.
Et comme j’ai dit, une machine compromise ne se répare pas, elle se formatte. :wink:[/quote]

J’admets que tu as raison :smt010 sur l’utilité du filtrage de sortie. Mais bon, je préfère ; d’ailleurs il faut que j’ajoute des logs sur le filtrage de sortie (je n’en démordrais pas)
J’ajoute un IDS pour mettre en évidence les éventuelles failles + un petit chkrootkit et mes petits yeux pour regarder mes logs et mes graphes. Pour l’instant je n’ai jamais eu de problème, mais je ne l’ai peut-être pas encore trouvé (un peu moins de deux ans d’xp sous Linux et Debian)