nat et filtrage iptables

Le
mpg
Bonjour,

Soit une machine A située derrière une passerelle P. La machine A n'a qu'une
interface, dont l'adresse est locale (genre 192.168.0.1), et la passerelle
a une interface en 192.168.0.254, et l'autre avec un IP routable vers le
vaste monde. Soit alors une machine M dudit vaste monde, qui contacte le la
passerelle sur un port tel que les règles de routage de la passerelle font
que les paquets sont redirigés vers A.

Quand A voit arriver un paquet, sait-elle qu'il vient de M ou le voit-elle
comme provenant de P ? Jusqu'à présent je croyais que la réponse était M,
mais j'ai cru voir récemment en me logant sur une machine qui pourrait être
le A de l'exemple, « last login: <date> from 192.168.0.254 ».

En fait, je me demande donc si c'est fiable ou pas dans ses règles de
filtrage iptable d'être un peu plus coulant avec les gens du réseau local
192.168.0.0/16 (ce qui simplifie quand même pas mal la vie) ou pas. (En
supposant par ailleurs l'accès à ce réseau sécurisé (porte d'entrée, WPA).)

Pour info, la passerelle est une freebox.

Merci pour vos lumières,
Manuel.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pascal Hambourg
Le #884904
Salut,


Soit une machine A située derrière une passerelle P. La machine A n'a qu'une
interface, dont l'adresse est locale (genre 192.168.0.1), et la passerelle
a une interface en 192.168.0.254, et l'autre avec un IP routable vers le
vaste monde. Soit alors une machine M dudit vaste monde, qui contacte le la
passerelle sur un port tel que les règles de routage de la passerelle font
que les paquets sont redirigés vers A.

Quand A voit arriver un paquet, sait-elle qu'il vient de M ou le voit-elle
comme provenant de P ?


Cela dépend si P a modifié l'adresse source de la connexion ou pas.

Jusqu'à présent je croyais que la réponse était M,
mais j'ai cru voir récemment en me logant sur une machine qui pourrait être
le A de l'exemple, « last login: <date> from 192.168.0.254 ».


Il faudrait examiner le jeu de règles iptables de P à la recherche d'une
règle SNAT ou MASQUERADE qui pourrait s'appliquer aux paquets sortant
par l'interface LAN.

En fait, je me demande donc si c'est fiable ou pas dans ses règles de
filtrage iptable d'être un peu plus coulant avec les gens du réseau local
192.168.0.0/16 (ce qui simplifie quand même pas mal la vie) ou pas.


Oui, à condition de bien filtrer en bordure du réseau local et de ne pas
trafiquer les adresses sources n'importe comment.

Pour info, la passerelle est une freebox.


Ah. Si elle modifie effectivement l'adresse source des connexions
entrantes faisant l'objet d'une redirection de port, c'est un problème.
C'est quelque chose qui peut être utile lorsque la connexion est
redirigée depuis l'intérieur, afin que la redirection fonctionne, mais
c'est inutile voire dangereux lorsque la connexion vient de l'extérieur.

mpg
Le #884903
Le (on) samedi 12 janvier 2008 23:15, Pascal Hambourg a écrit (wrote) :

Quand A voit arriver un paquet, sait-elle qu'il vient de M ou le
voit-elle comme provenant de P ?


Cela dépend si P a modifié l'adresse source de la connexion ou pas.

Oki.


Il faudrait examiner le jeu de règles iptables de P à la recherche d'une
règle SNAT ou MASQUERADE qui pourrait s'appliquer aux paquets sortant
par l'interface LAN.

Vu la nature de la machine, je crains que ça ne soit pas possible...


En fait, je me demande donc si c'est fiable ou pas dans ses règles de
filtrage iptable d'être un peu plus coulant avec les gens du réseau local
192.168.0.0/16 (ce qui simplifie quand même pas mal la vie) ou pas.


Oui, à condition de bien filtrer en bordure du réseau local et de ne pas
trafiquer les adresses sources n'importe comment.

Je ne suis pas sûr de comprendre ce que tu entends pas « filtrer en bordure

du réseau local »...

Pour info, la passerelle est une freebox.


Ah. Si elle modifie effectivement l'adresse source des connexions
entrantes faisant l'objet d'une redirection de port, c'est un problème.
C'est quelque chose qui peut être utile lorsque la connexion est
redirigée depuis l'intérieur, afin que la redirection fonctionne, mais
c'est inutile voire dangereux lorsque la connexion vient de l'extérieur.


En fait je n'arrive pas à savoir. Je ne pense pas avoir inventé ce
message « last login from 192.168.0.254 » et pourtant je n'arrive pas à le
reproduire... Ce genre de trucs devrait pourtant être déterministe...

Manuel.


Pascal Hambourg
Le #884902

En fait, je me demande donc si c'est fiable ou pas dans ses règles de
filtrage iptable d'être un peu plus coulant avec les gens du réseau local
192.168.0.0/16 (ce qui simplifie quand même pas mal la vie) ou pas.


Oui, à condition de bien filtrer en bordure du réseau local et de ne pas
trafiquer les adresses sources n'importe comment.


Je ne suis pas sûr de comprendre ce que tu entends pas « filtrer en bordure
du réseau local »...


Les équipements réseau qui font l'interface entre le réseau local et le
reste du monde doivent vérifier l'adresse source des paquets entrants et
bloquer ceux qui usurpent les adresses internes.

Pour info, la passerelle est une freebox.


Ah. Si elle modifie effectivement l'adresse source des connexions
entrantes faisant l'objet d'une redirection de port, c'est un problème.
C'est quelque chose qui peut être utile lorsque la connexion est
redirigée depuis l'intérieur, afin que la redirection fonctionne, mais
c'est inutile voire dangereux lorsque la connexion vient de l'extérieur.


En fait je n'arrive pas à savoir. Je ne pense pas avoir inventé ce
message « last login from 192.168.0.254 » et pourtant je n'arrive pas à le
reproduire... Ce genre de trucs devrait pourtant être déterministe...


Ce ne serait pas une connexion qui aurait été faite depuis un poste du
réseau local vers l'adresse publique de la Freebox qui l'aurait
redirigée vers le serveur ?



mpg
Le #884899
Le (on) dimanche 13 janvier 2008 12:32, Pascal Hambourg a écrit (wrote) :

Je ne suis pas sûr de comprendre ce que tu entends pas « filtrer en
bordure du réseau local »...


Les équipements réseau qui font l'interface entre le réseau local et le
reste du monde doivent vérifier l'adresse source des paquets entrants et
bloquer ceux qui usurpent les adresses internes.

Oki, je vois. En effet c'est important. Par contre, vu qu'il s'agit d'une

freebox et pas d'une machine sur laquelle j'aurais réellement la main, je
ne sais pas trop si c'est fait ou pas. La seule solution que je vois serait
d'essayer, mais je ne pense pas savoir faire ça... (C'est ce qu'on appelle
du spoofing IP, non ?)

En fait je n'arrive pas à savoir. Je ne pense pas avoir inventé ce
message « last login from 192.168.0.254 » et pourtant je n'arrive pas à
le reproduire... Ce genre de trucs devrait pourtant être déterministe...


Ce ne serait pas une connexion qui aurait été faite depuis un poste du
réseau local vers l'adresse publique de la Freebox qui l'aurait
redirigée vers le serveur ?


Si, je crois bien. En tout cas j'arrive en effet à reproduire ce phénomène
comme ça, et il me semble que j'avais bien fait ce genre de connexion
auparavant. Par contre je ne suis pas sûr de comprendre pourquoi ça se
passe comme ça.

Manuel.


Pascal Hambourg
Le #884898

Les équipements réseau qui font l'interface entre le réseau local et le
reste du monde doivent vérifier l'adresse source des paquets entrants et
bloquer ceux qui usurpent les adresses internes.


Oki, je vois. En effet c'est important. Par contre, vu qu'il s'agit d'une
freebox et pas d'une machine sur laquelle j'aurais réellement la main, je
ne sais pas trop si c'est fait ou pas. La seule solution que je vois serait
d'essayer, mais je ne pense pas savoir faire ça... (C'est ce qu'on appelle
du spoofing IP, non ?)


Oui. Ce n'est pas très difficile, les logiciels de type générateur de
paquets arbitraires permettent d'émettre des paquets avec n'importe
quelle adresse source. Par contre il ne faut pas que le prestataire
depuis lequel on envoie ces paquets ait lui-même mis en place des
filtres anti-spoofing, sinon ils seront bloqués à la source.

En fait je n'arrive pas à savoir. Je ne pense pas avoir inventé ce
message « last login from 192.168.0.254 » et pourtant je n'arrive pas à
le reproduire... Ce genre de trucs devrait pourtant être déterministe...


Ce ne serait pas une connexion qui aurait été faite depuis un poste du
réseau local vers l'adresse publique de la Freebox qui l'aurait
redirigée vers le serveur ?


Si, je crois bien. En tout cas j'arrive en effet à reproduire ce phénomène
comme ça, et il me semble que j'avais bien fait ce genre de connexion
auparavant. Par contre je ne suis pas sûr de comprendre pourquoi ça se
passe comme ça.


Parce que les paquets de réponse doivent passer par le routeur afin que
celui-ci remplace l'adresse source du serveur par l'adresse d'origine à
laquelle le client s'est connecté. Sinon le client ne les reconnaît pas
comme des réponses. Or quand le client et le serveur sont dans le même
réseau (contrairement à une connexion redirigée depuis l'extérieur), si
le routeur ne remplaçait pas l'adresse source du client par la sienne,
les réponses iraient directement du serveur au client avec mauvaise
adresse source.



mpg
Le #886966
Le (on) dimanche 13 janvier 2008 20:44, Pascal Hambourg a écrit (wrote) :

Oui. Ce n'est pas très difficile, les logiciels de type générateur de
paquets arbitraires permettent d'émettre des paquets avec n'importe
quelle adresse source.


Ça se trouve où ce genre de logiciel (pour linux par exemple) ? J'imagine
que ça demande quand même pas mal de connaissances en réseau pour être
manipulé, non ?

Par contre il ne faut pas que le prestataire
depuis lequel on envoie ces paquets ait lui-même mis en place des
filtres anti-spoofing, sinon ils seront bloqués à la source.

C'est courant de nos jours, de mettre ainsi en place des filtres

anti-spoofing dans les deux sens comme ça ? D'ailleurs, si tu devais
spéculer sur le fait que la freebox filtre ou non correctement pour éviter
le spoofing, tu dirais quoi ?

Si, je crois bien. En tout cas j'arrive en effet à reproduire ce
phénomène comme ça, et il me semble que j'avais bien fait ce genre de
connexion auparavant. Par contre je ne suis pas sûr de comprendre
pourquoi ça se passe comme ça.


Parce que les paquets de réponse doivent passer par le routeur afin que
celui-ci remplace l'adresse source du serveur par l'adresse d'origine à
laquelle le client s'est connecté. Sinon le client ne les reconnaît pas
comme des réponses. Or quand le client et le serveur sont dans le même
réseau (contrairement à une connexion redirigée depuis l'extérieur), si
le routeur ne remplaçait pas l'adresse source du client par la sienne,
les réponses iraient directement du serveur au client avec mauvaise
adresse source.


Ah, ouais, c'est très clair vu comme ça. Merci pour cette explication.

Manuel.


Pascal Hambourg
Le #886965
Le (on) dimanche 13 janvier 2008 20:44, Pascal Hambourg a écrit (wrote) :

Oui. Ce n'est pas très difficile, les logiciels de type générateur de
paquets arbitraires permettent d'émettre des paquets avec n'importe
quelle adresse source.


Ça se trouve où ce genre de logiciel (pour linux par exemple) ?


Dans toute bonne distribution, je suppose. Des exemples de générateurs
de paquets sont hping, nemesis, scapy, sendip... Le scanneur nmap permet
aussi l'usurpation d'adresse source.

J'imagine
que ça demande quand même pas mal de connaissances en réseau pour être
manipulé, non ?


Pas forcément, non.

C'est courant de nos jours, de mettre ainsi en place des filtres
anti-spoofing dans les deux sens comme ça ? D'ailleurs, si tu devais
spéculer sur le fait que la freebox filtre ou non correctement pour éviter
le spoofing, tu dirais quoi ?


Aucune idée. Tout ce que je sais c'est que certains FAI ont un filtre
anti-spoofing sur le trafic émis par leurs abonnés et d'autre non.


mpg
Le #886963
Le (on) lundi 14 janvier 2008 10:37, Pascal Hambourg a écrit (wrote) :

Dans toute bonne distribution, je suppose. Des exemples de générateurs
de paquets sont hping, nemesis, scapy, sendip... Le scanneur nmap permet
aussi l'usurpation d'adresse source.

Oki, je note.


J'imagine
que ça demande quand même pas mal de connaissances en réseau pour être
manipulé, non ?


Pas forcément, non.

Ah bah alors peut-être que j'essaierai un jour, pour voir quand même si la

freeboîte filtre bien ou pas.

C'est courant de nos jours, de mettre ainsi en place des filtres
anti-spoofing dans les deux sens comme ça ? D'ailleurs, si tu devais
spéculer sur le fait que la freebox filtre ou non correctement pour
éviter le spoofing, tu dirais quoi ?


Aucune idée. Tout ce que je sais c'est que certains FAI ont un filtre
anti-spoofing sur le trafic émis par leurs abonnés et d'autre non.


D'accord. Si je teste ça un de ces 4, j'essaierai de la faire depuis chez un
autre abonnée free, pour limiter les risques de faux négatif causé par un
filtrage à la sortie de réseau, alors.

Manuel.


Pascal Hambourg
Le #886962

Aucune idée. Tout ce que je sais c'est que certains FAI ont un filtre
anti-spoofing sur le trafic émis par leurs abonnés et d'autre non.


D'accord. Si je teste ça un de ces 4, j'essaierai de la faire depuis chez un
autre abonnée free, pour limiter les risques de faux négatif causé par un
filtrage à la sortie de réseau, alors.


Je crains que le filtre soit placé à la sortie de la connexion du
client, pas à la sortie du réseau.


mpg
Le #886961
Le (on) lundi 14 janvier 2008 15:44, Pascal Hambourg a écrit (wrote) :


Aucune idée. Tout ce que je sais c'est que certains FAI ont un filtre
anti-spoofing sur le trafic émis par leurs abonnés et d'autre non.


D'accord. Si je teste ça un de ces 4, j'essaierai de la faire depuis chez
un autre abonnée free, pour limiter les risques de faux négatif causé par
un filtrage à la sortie de réseau, alors.


Je crains que le filtre soit placé à la sortie de la connexion du
client, pas à la sortie du réseau.


Ah ok. Bon dans ce cas je vais sans doute faire confiance à Free et faire
comme si les paquets que mes babasses voient comme provenant du réseau
local venaient vraiment du réseau local, vu qu'apparement la seule solution
d'être certain que le filtrage soit bien fait en bordure de réseau, serait
d'utiliser ma propre passerelle configurée avec soin, et je ne suis pas sûr
d'avoir le courage de faire ça...

Manuel.



Publicité
Poster une réponse
Anonyme