iptables / vpn / git / ssh

Doug713705

21/12/2017 à 07:28

Le 20-12-2017, Yliur nous expliquait dans
fr.comp.os.linux.configuration
() :

Bonjour

Bonjour,
[SNIP]

# Paquets entrants : accepter seulement les connexions déjà établies
iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

Je ne suis pas specialiste iptables masi j'aurai volontiers ajouter
RELATED à la règle:
itables -A input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Ça permettrait aux connexions initiées suite aux connexions actives et
donc déjà acceptées par ailleurs d'être acceptées. Cas typique du FTP
par exemple.
[Re-SNIP]

Et a priori remplacer DROP par ACCEPT dans la
politique par défaut sur INPUT résout le problème.

Du coup on peut raisonnablement penser que la politique en entrée est un
poil trop sévère. La règle proposée plus haut devrait assouplir tout ça.
--
Nous étions les danseurs d'un monde à l'agonie,
En même temps que fantômes conscients d'êtremort-nés.
Nous étions fossoyeurs d'un monde à l'agonie.
-- H.F. Thiéfaine, Exil Sur planète fantôme

Yliur

21/12/2017 à 13:58

Le Thu, 21 Dec 2017 06:28:20 +0000 (UTC)
Doug713705 a écrit :

Le 20-12-2017, Yliur nous expliquait dans
fr.comp.os.linux.configuration
() :
Bonjour

Bonjour,
[SNIP]
# Paquets entrants : accepter seulement les connexions déjà établies
iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

Je ne suis pas specialiste iptables masi j'aurai volontiers ajouter
RELATED à la règle:
itables -A input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Ça permettrait aux connexions initiées suite aux connexions actives et
donc déjà acceptées par ailleurs d'être acceptées. Cas typique du FTP
par exemple.
[Re-SNIP]
Et a priori remplacer DROP par ACCEPT dans la
politique par défaut sur INPUT résout le problème.

Du coup on peut raisonnablement penser que la politique en entrée est
un poil trop sévère. La règle proposée plus haut devrait assouplir
tout ça.

Je pensais que RELATED servait dans des cas très précis, qui
nécessitaient un complément de configuration...
J'ai ajouté ça aux cas endroits à côté de ESTABLISHED. Sur un essai ça
semble marcher, mais comme ce n'était pas systématique je ne peux pas
encore me prononcer.
Merci en tout cas :) .

Pascal Hambourg

22/12/2017 à 00:48

Le 21/12/2017 à 13:58, Yliur a écrit :

Je pensais que RELATED servait dans des cas très précis, qui
nécessitaient un complément de configuration...

Non, pas forcément. Cela concerne aussi tous les messages d'erreur ICMP
(y compris quelques indésirables comme redirect et source quench).

Yliur

22/12/2017 à 02:35

Le Fri, 22 Dec 2017 00:48:27 +0100
Pascal Hambourg a écrit :

Le 21/12/2017 à 13:58, Yliur a écrit :
Je pensais que RELATED servait dans des cas très précis, qui
nécessitaient un complément de configuration...

Non, pas forcément. Cela concerne aussi tous les messages d'erreur
ICMP (y compris quelques indésirables comme redirect et source
quench).

D'accord, merci.
Pour le filtrage des éventuels indésirables, on est loin en dehors de
ma compréhension du sujet, je ne vais pas trop finasser à moins que ce
soit vraiment grave...

Pascal Hambourg

22/12/2017 à 11:23

Le 20/12/2017 à 15:10, Yliur a écrit :

Les règles iptables sur la machine cliente (iptables -L) :

Peu lisible et potentiellement incomplet : n'affiche que le contenu de
la table filter, et pas les interfaces d'entrées et de sortie.
La sortie la plus lisible et complète est obtenue avec iptables-save qui
liste toutes les tables dans un format proche de celui des commandes
iptables de création de règles.

Et le script d'origine, peut-être plus lisible)
"
#!/bin/bash
# Script de configuration iptables
# Supprimer les règles existantes
iptables -F
# Accepter les connexions locales
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

Trop et pas assez restrictif.
- Trop restrictif car le trafic sur l'interface de loopback peut avoir
d'autres adresses source et destination que 127.0.0.1 : tout
127.0.0.0/8, toutes les autres adresses locales affectées aux interfaces.
- Pas assez restrictifs car cela autorise l'adresse 127.0.0.1 sur les
interfaces non loopback alors qu'elle y est invalide.
Il est plus simple et plus sûr de se baser sur l'interface d'entrée ou
sortie (-i/-o lo) que sur les adresses source et destination.

# Accepter les ping entrants (mais doucement)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit-burst 10 --limit 2/s -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -m limit --limit-burst 10 --limit 2/s -j ACCEPT

Je ne vois pas l'intérêt de limiter les réponses en sortie si les
requêtes en entrée sont limitées.

Dans les traces j'obtiens des lignes qui ressemblent à ça (ça
semble correspondre : quand je tape la commande j'ai un petit groupe
de lignes puis une de temps en temps, de plus en plus espacées) :
"
IN=eth0 OUT= MAC=<une longue adresse en hexa> SRC2.168.0.1 DST2.168.0.5 LENW6 TOS=0x00 PREC=0xC0 TTLd ID(091 PROTO=ICMP TYPE=3 CODE=4 [SRC2.168.0.5 DST1.222.xxx.xxx LEN73 TOS=0x00 PREC=0x00 TTLd IDc824 DF PROTO=UDP SPTG536 DPTP12 LEN53 ] MTU62
"

C'est un message d'erreur ICMP type 3 (destination unreachable) code 4
(fragmentation needed but DF set) qui indique qu'un paquet émis par la
machine pour 31.222.xxx.xxx est trop gros (1473 octets) pour passer par
un lien en chemin mais n'a pu être fragmenté car il a l'indicateur DF
(don't fragment), indiquant quelle est la taille maximum (1462). Le
blocage de ce message d'erreur empêche la machine d'ajuster la taille
maxi des paquets émis (MTU) et de réémettre le paquet perdu en fragments
de taille.
Je suppose que l'émetteur de ce message ICMP 192.168.0.1 est le routeur
VPN du réseau local. Il est classique que le passage dans un VPN
provoque une diminution de MTU utile à cause de l'encapsulation qui
augmente la taille des paquets retransmis.
Comme il a été dit, ce type de message est classé dans l'état RELATED.

Le 20/12/2017 à 15:10, Yliur a écrit :

Les règles iptables sur la machine cliente (iptables -L) :

Peu lisible et potentiellement incomplet : n'affiche que le contenu de
la table filter, et pas les interfaces d'entrées et de sortie.
La sortie la plus lisible et complète est obtenue avec iptables-save qui
liste toutes les tables dans un format proche de celui des commandes
iptables de création de règles.

Et le script d'origine, peut-être plus lisible)
"
#!/bin/bash
# Script de configuration iptables

# Supprimer les règles existantes
iptables -F

# Accepter les connexions locales
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

Trop et pas assez restrictif.
- Trop restrictif car le trafic sur l'interface de loopback peut avoir
d'autres adresses source et destination que 127.0.0.1 : tout
127.0.0.0/8, toutes les autres adresses locales affectées aux interfaces.
- Pas assez restrictifs car cela autorise l'adresse 127.0.0.1 sur les
interfaces non loopback alors qu'elle y est invalide.

Il est plus simple et plus sûr de se baser sur l'interface d'entrée ou
sortie (-i/-o lo) que sur les adresses source et destination.

# Accepter les ping entrants (mais doucement)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit-burst 10 --limit 2/s -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -m limit --limit-burst 10 --limit 2/s -j ACCEPT

Je ne vois pas l'intérêt de limiter les réponses en sortie si les
requêtes en entrée sont limitées.

Dans les traces j'obtiens des lignes qui ressemblent à ça (ça
semble correspondre : quand je tape la commande j'ai un petit groupe
de lignes puis une de temps en temps, de plus en plus espacées) :
"
IN=eth0 OUT= MAC=<une longue adresse en hexa> SRC2.168.0.1 DST2.168.0.5 LENW6 TOS=0x00 PREC=0xC0 TTLd ID(091 PROTO=ICMP TYPE=3 CODE=4 [SRC2.168.0.5 DST1.222.xxx.xxx LEN73 TOS=0x00 PREC=0x00 TTLd IDc824 DF PROTO=UDP SPTG536 DPTP12 LEN53 ] MTU62
"

C'est un message d'erreur ICMP type 3 (destination unreachable) code 4
(fragmentation needed but DF set) qui indique qu'un paquet émis par la
machine pour 31.222.xxx.xxx est trop gros (1473 octets) pour passer par
un lien en chemin mais n'a pu être fragmenté car il a l'indicateur DF
(don't fragment), indiquant quelle est la taille maximum (1462). Le
blocage de ce message d'erreur empêche la machine d'ajuster la taille
maxi des paquets émis (MTU) et de réémettre le paquet perdu en fragments
de taille.

Je suppose que l'émetteur de ce message ICMP 192.168.0.1 est le routeur
VPN du réseau local. Il est classique que le passage dans un VPN
provoque une diminution de MTU utile à cause de l'encapsulation qui
augmente la taille des paquets retransmis.

Comme il a été dit, ce type de message est classé dans l'état RELATED.

Vous avez filtré cet utilisateur ! Consultez son message

Le 20/12/2017 à 15:10, Yliur a écrit :

Les règles iptables sur la machine cliente (iptables -L) :

Peu lisible et potentiellement incomplet : n'affiche que le contenu de
la table filter, et pas les interfaces d'entrées et de sortie.
La sortie la plus lisible et complète est obtenue avec iptables-save qui
liste toutes les tables dans un format proche de celui des commandes
iptables de création de règles.

Et le script d'origine, peut-être plus lisible)
"
#!/bin/bash
# Script de configuration iptables
# Supprimer les règles existantes
iptables -F
# Accepter les connexions locales
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

Trop et pas assez restrictif.
- Trop restrictif car le trafic sur l'interface de loopback peut avoir
d'autres adresses source et destination que 127.0.0.1 : tout
127.0.0.0/8, toutes les autres adresses locales affectées aux interfaces.
- Pas assez restrictifs car cela autorise l'adresse 127.0.0.1 sur les
interfaces non loopback alors qu'elle y est invalide.
Il est plus simple et plus sûr de se baser sur l'interface d'entrée ou
sortie (-i/-o lo) que sur les adresses source et destination.

# Accepter les ping entrants (mais doucement)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit-burst 10 --limit 2/s -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -m limit --limit-burst 10 --limit 2/s -j ACCEPT

Je ne vois pas l'intérêt de limiter les réponses en sortie si les
requêtes en entrée sont limitées.

Dans les traces j'obtiens des lignes qui ressemblent à ça (ça
semble correspondre : quand je tape la commande j'ai un petit groupe
de lignes puis une de temps en temps, de plus en plus espacées) :
"
IN=eth0 OUT= MAC=<une longue adresse en hexa> SRC2.168.0.1 DST2.168.0.5 LENW6 TOS=0x00 PREC=0xC0 TTLd ID(091 PROTO=ICMP TYPE=3 CODE=4 [SRC2.168.0.5 DST1.222.xxx.xxx LEN73 TOS=0x00 PREC=0x00 TTLd IDc824 DF PROTO=UDP SPTG536 DPTP12 LEN53 ] MTU62
"

C'est un message d'erreur ICMP type 3 (destination unreachable) code 4
(fragmentation needed but DF set) qui indique qu'un paquet émis par la
machine pour 31.222.xxx.xxx est trop gros (1473 octets) pour passer par
un lien en chemin mais n'a pu être fragmenté car il a l'indicateur DF
(don't fragment), indiquant quelle est la taille maximum (1462). Le
blocage de ce message d'erreur empêche la machine d'ajuster la taille
maxi des paquets émis (MTU) et de réémettre le paquet perdu en fragments
de taille.
Je suppose que l'émetteur de ce message ICMP 192.168.0.1 est le routeur
VPN du réseau local. Il est classique que le passage dans un VPN
provoque une diminution de MTU utile à cause de l'encapsulation qui
augmente la taille des paquets retransmis.
Comme il a été dit, ce type de message est classé dans l'état RELATED.

Yliur

22/12/2017 à 12:48

Le Fri, 22 Dec 2017 11:23:10 +0100
Pascal Hambourg a écrit :

Le 20/12/2017 à 15:10, Yliur a écrit :
Et le script d'origine, peut-être plus lisible)
"
#!/bin/bash
# Script de configuration iptables
# Supprimer les règles existantes
iptables -F
# Accepter les connexions locales
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -s 127.0.0.1 -d
127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

Trop et pas assez restrictif.
- Trop restrictif car le trafic sur l'interface de loopback peut
avoir d'autres adresses source et destination que 127.0.0.1 : tout
127.0.0.0/8, toutes les autres adresses locales affectées aux
interfaces.
- Pas assez restrictifs car cela autorise l'adresse 127.0.0.1 sur les
interfaces non loopback alors qu'elle y est invalide.
Il est plus simple et plus sûr de se baser sur l'interface d'entrée
ou sortie (-i/-o lo) que sur les adresses source et destination.

D'accord.
Au passage, j'imagine que "RELATED" ne coûte rien ici non plus...
Donc ça ressemble à ça :
iptables -A INPUT -i lo -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
Je suppose que la deuxième ligne est redondante avec l'autorisation
donnée à toutes les connexions sortantes ailleurs dans le script, bien
qu'elle permette d'avoir quelque chose de plus explicite et ne de pas
se tromper si l'autre règle est modifiée ?

# Accepter les ping entrants (mais doucement)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit-burst 10 --limit 2/s -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -m limit --limit-burst 10 --limit 2/s -j ACCEPT

Je ne vois pas l'intérêt de limiter les réponses en sortie si les
requêtes en entrée sont limitées.

C'est noté.
La nouvelle sortie de iptables-save :
"
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 2/sec --limit-burst 10 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
"

Dans les traces j'obtiens des lignes qui ressemblent à ça (ça
semble correspondre : quand je tape la commande j'ai un petit groupe
de lignes puis une de temps en temps, de plus en plus espacées) :
"
IN=eth0 OUT= MAC=<une longue adresse en hexa> SRC2.168.0.1 DST2.168.0.5 LENW6 TOS=0x00 PREC=0xC0 TTLd ID(091 PROTO=ICMP TYPE=3 CODE=4 [SRC2.168.0.5 DST1.222.xxx.xxx LEN73 TOS=0x00 PREC=0x00 TTLd IDc824 DF PROTO=UDP SPTG536 DPTP12 LEN53 ] MTU62 "

C'est un message d'erreur ICMP type 3 (destination unreachable) code
4 (fragmentation needed but DF set) qui indique qu'un paquet émis par
la machine pour 31.222.xxx.xxx est trop gros (1473 octets) pour
passer par un lien en chemin mais n'a pu être fragmenté car il a
l'indicateur DF (don't fragment), indiquant quelle est la taille
maximum (1462). Le blocage de ce message d'erreur empêche la machine
d'ajuster la taille maxi des paquets émis (MTU) et de réémettre le
paquet perdu en fragments de taille.
Je suppose que l'émetteur de ce message ICMP 192.168.0.1 est le
routeur VPN du réseau local. Il est classique que le passage dans un
VPN provoque une diminution de MTU utile à cause de l'encapsulation
qui augmente la taille des paquets retransmis.
Comme il a été dit, ce type de message est classé dans l'état RELATED.

D'accord, merci pour l'explication complète.
Et ça confirme que le problème ne devrait plus apparaître.

Le Fri, 22 Dec 2017 11:23:10 +0100
Pascal Hambourg <pascal@plouf.fr.eu.org> a écrit :

Le 20/12/2017 à 15:10, Yliur a écrit :

> Et le script d'origine, peut-être plus lisible)
> "
> #!/bin/bash
> # Script de configuration iptables
>
> # Supprimer les règles existantes
> iptables -F
>
> # Accepter les connexions locales
> iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -s 127.0.0.1 -d
> 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

Trop et pas assez restrictif.
- Trop restrictif car le trafic sur l'interface de loopback peut
avoir d'autres adresses source et destination que 127.0.0.1 : tout
127.0.0.0/8, toutes les autres adresses locales affectées aux
interfaces.
- Pas assez restrictifs car cela autorise l'adresse 127.0.0.1 sur les
interfaces non loopback alors qu'elle y est invalide.

Il est plus simple et plus sûr de se baser sur l'interface d'entrée
ou sortie (-i/-o lo) que sur les adresses source et destination.

D'accord.

Au passage, j'imagine que "RELATED" ne coûte rien ici non plus...

Donc ça ressemble à ça :
iptables -A INPUT -i lo -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT

Je suppose que la deuxième ligne est redondante avec l'autorisation
donnée à toutes les connexions sortantes ailleurs dans le script, bien
qu'elle permette d'avoir quelque chose de plus explicite et ne de pas
se tromper si l'autre règle est modifiée ?

> # Accepter les ping entrants (mais doucement)
> iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit-burst 10 --limit 2/s -j ACCEPT
> iptables -A OUTPUT -p icmp --icmp-type echo-reply -m limit --limit-burst 10 --limit 2/s -j ACCEPT

Je ne vois pas l'intérêt de limiter les réponses en sortie si les
requêtes en entrée sont limitées.

C'est noté.

La nouvelle sortie de iptables-save :
"
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 2/sec --limit-burst 10 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
"

> Dans les traces j'obtiens des lignes qui ressemblent à ça (ça
> semble correspondre : quand je tape la commande j'ai un petit groupe
> de lignes puis une de temps en temps, de plus en plus espacées) :
> "
> IN=eth0 OUT= MAC=<une longue adresse en hexa> SRC2.168.0.1 DST2.168.0.5 LENW6 TOS=0x00 PREC=0xC0 TTLd ID(091 PROTO=ICMP TYPE=3 CODE=4 [SRC2.168.0.5 DST1.222.xxx.xxx LEN73 TOS=0x00 PREC=0x00 TTLd IDc824 DF PROTO=UDP SPTG536 DPTP12 LEN53 ] MTU62 "

C'est un message d'erreur ICMP type 3 (destination unreachable) code
4 (fragmentation needed but DF set) qui indique qu'un paquet émis par
la machine pour 31.222.xxx.xxx est trop gros (1473 octets) pour
passer par un lien en chemin mais n'a pu être fragmenté car il a
l'indicateur DF (don't fragment), indiquant quelle est la taille
maximum (1462). Le blocage de ce message d'erreur empêche la machine
d'ajuster la taille maxi des paquets émis (MTU) et de réémettre le
paquet perdu en fragments de taille.

Je suppose que l'émetteur de ce message ICMP 192.168.0.1 est le
routeur VPN du réseau local. Il est classique que le passage dans un
VPN provoque une diminution de MTU utile à cause de l'encapsulation
qui augmente la taille des paquets retransmis.

Comme il a été dit, ce type de message est classé dans l'état RELATED.

D'accord, merci pour l'explication complète.

Et ça confirme que le problème ne devrait plus apparaître.

Vous avez filtré cet utilisateur ! Consultez son message

Le Fri, 22 Dec 2017 11:23:10 +0100
Pascal Hambourg a écrit :

Le 20/12/2017 à 15:10, Yliur a écrit :
Et le script d'origine, peut-être plus lisible)
"
#!/bin/bash
# Script de configuration iptables
# Supprimer les règles existantes
iptables -F
# Accepter les connexions locales
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -s 127.0.0.1 -d
127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

Trop et pas assez restrictif.
- Trop restrictif car le trafic sur l'interface de loopback peut
avoir d'autres adresses source et destination que 127.0.0.1 : tout
127.0.0.0/8, toutes les autres adresses locales affectées aux
interfaces.
- Pas assez restrictifs car cela autorise l'adresse 127.0.0.1 sur les
interfaces non loopback alors qu'elle y est invalide.
Il est plus simple et plus sûr de se baser sur l'interface d'entrée
ou sortie (-i/-o lo) que sur les adresses source et destination.

D'accord.
Au passage, j'imagine que "RELATED" ne coûte rien ici non plus...
Donc ça ressemble à ça :
iptables -A INPUT -i lo -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
Je suppose que la deuxième ligne est redondante avec l'autorisation
donnée à toutes les connexions sortantes ailleurs dans le script, bien
qu'elle permette d'avoir quelque chose de plus explicite et ne de pas
se tromper si l'autre règle est modifiée ?

# Accepter les ping entrants (mais doucement)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit-burst 10 --limit 2/s -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -m limit --limit-burst 10 --limit 2/s -j ACCEPT

Je ne vois pas l'intérêt de limiter les réponses en sortie si les
requêtes en entrée sont limitées.

C'est noté.
La nouvelle sortie de iptables-save :
"
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 2/sec --limit-burst 10 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
"

Dans les traces j'obtiens des lignes qui ressemblent à ça (ça
semble correspondre : quand je tape la commande j'ai un petit groupe
de lignes puis une de temps en temps, de plus en plus espacées) :
"
IN=eth0 OUT= MAC=<une longue adresse en hexa> SRC2.168.0.1 DST2.168.0.5 LENW6 TOS=0x00 PREC=0xC0 TTLd ID(091 PROTO=ICMP TYPE=3 CODE=4 [SRC2.168.0.5 DST1.222.xxx.xxx LEN73 TOS=0x00 PREC=0x00 TTLd IDc824 DF PROTO=UDP SPTG536 DPTP12 LEN53 ] MTU62 "

C'est un message d'erreur ICMP type 3 (destination unreachable) code
4 (fragmentation needed but DF set) qui indique qu'un paquet émis par
la machine pour 31.222.xxx.xxx est trop gros (1473 octets) pour
passer par un lien en chemin mais n'a pu être fragmenté car il a
l'indicateur DF (don't fragment), indiquant quelle est la taille
maximum (1462). Le blocage de ce message d'erreur empêche la machine
d'ajuster la taille maxi des paquets émis (MTU) et de réémettre le
paquet perdu en fragments de taille.
Je suppose que l'émetteur de ce message ICMP 192.168.0.1 est le
routeur VPN du réseau local. Il est classique que le passage dans un
VPN provoque une diminution de MTU utile à cause de l'encapsulation
qui augmente la taille des paquets retransmis.
Comme il a été dit, ce type de message est classé dans l'état RELATED.

D'accord, merci pour l'explication complète.
Et ça confirme que le problème ne devrait plus apparaître.

Pascal Hambourg

22/12/2017 à 13:33

Le 22/12/2017 à 12:48, Yliur a écrit :

# Accepter les connexions locales
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

(...)

Il est plus simple et plus sûr de se baser sur l'interface d'entrée
ou sortie (-i/-o lo) que sur les adresses source et destination.

D'accord.
Au passage, j'imagine que "RELATED" ne coûte rien ici non plus...

Ça coûte le temps CPU de vérifier dans chaque règle l'état de suivi de
connexion de chaque paquet qui passe par l'interface de loopback, ce qui
n'est pas très utile à mon avis. Car je ne vois pas comment un processus
peut envoyer un paquet dans l'état INVALID sans avoir les privilèges
root (directement ou par suid) ou au moins la capacité d'injecter des
paquets IP arbitraires (CAP_NET_RAW ?).

Donc ça ressemble à ça :
iptables -A INPUT -i lo -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
Je suppose que la deuxième ligne est redondante avec l'autorisation
donnée à toutes les connexions sortantes ailleurs dans le script, bien
qu'elle permette d'avoir quelque chose de plus explicite et ne de pas
se tromper si l'autre règle est modifiée ?

Oui.

# Accepter les ping entrants (mais doucement)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit-burst 10 --limit 2/s -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -m limit --limit-burst 10 --limit 2/s -j ACCEPT

Je ne vois pas l'intérêt de limiter les réponses en sortie si les
requêtes en entrée sont limitées.

J'oubliais : ces règles ne font qu'accepter les paquets qui ne dépassent
pas la limite, et non bloquer ceux qui dépassent. Or ces derniers sont
acceptés par les règles génériques situées plus loin.

Yliur

22/12/2017 à 14:38

Le Fri, 22 Dec 2017 13:33:56 +0100
Pascal Hambourg a écrit :

Le 22/12/2017 à 12:48, Yliur a écrit :
# Accepter les connexions locales
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
(...)
Il est plus simple et plus sûr de se baser sur l'interface d'entrée
ou sortie (-i/-o lo) que sur les adresses source et
destination.

D'accord.
Au passage, j'imagine que "RELATED" ne coûte rien ici non plus...

Ça coûte le temps CPU de vérifier dans chaque règle l'état de suivi
de connexion de chaque paquet qui passe par l'interface de loopback,
ce qui n'est pas très utile à mon avis. Car je ne vois pas comment un
processus peut envoyer un paquet dans l'état INVALID sans avoir les
privilèges root (directement ou par suid) ou au moins la capacité
d'injecter des paquets IP arbitraires (CAP_NET_RAW ?).

Là les subtilités commencent à me passer un peu loin ;) .
Bon, je peux garder les 3 états mais ce n'est sans doute pas très utile,
ou bien supprimer toute la gestion de l'état sur ces lignes. C'est bien
ça ?

# Accepter les ping entrants (mais doucement)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit-burst 10 --limit 2/s -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -m limit --limit-burst 10 --limit 2/s -j ACCEPT

Je ne vois pas l'intérêt de limiter les réponses en sortie si les
requêtes en entrée sont limitées.

J'oubliais : ces règles ne font qu'accepter les paquets qui ne
dépassent pas la limite, et non bloquer ceux qui dépassent. Or ces
derniers sont acceptés par les règles génériques situées plus loin.

Oups...
J'ajoute cette règle à la suite de la première, pour éliminer ceux qui
n'ont pas été acceptés par le filtre (j'ai supprimé la deuxième ligne) :
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Ça donne ça au final :
"
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 2/sec --limit-burst 10 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
"

Le Fri, 22 Dec 2017 13:33:56 +0100
Pascal Hambourg <pascal@plouf.fr.eu.org> a écrit :

Le 22/12/2017 à 12:48, Yliur a écrit :
>>>
>>> # Accepter les connexions locales
>>> iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
(...)
>> Il est plus simple et plus sûr de se baser sur l'interface d'entrée
>> ou sortie (-i/-o lo) que sur les adresses source et
>> destination.
>
> D'accord.
>
> Au passage, j'imagine que "RELATED" ne coûte rien ici non plus...

Ça coûte le temps CPU de vérifier dans chaque règle l'état de suivi
de connexion de chaque paquet qui passe par l'interface de loopback,
ce qui n'est pas très utile à mon avis. Car je ne vois pas comment un
processus peut envoyer un paquet dans l'état INVALID sans avoir les
privilèges root (directement ou par suid) ou au moins la capacité
d'injecter des paquets IP arbitraires (CAP_NET_RAW ?).

Là les subtilités commencent à me passer un peu loin ;) .

Bon, je peux garder les 3 états mais ce n'est sans doute pas très utile,
ou bien supprimer toute la gestion de l'état sur ces lignes. C'est bien
ça ?

>>> # Accepter les ping entrants (mais doucement)
>>> iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit-burst 10 --limit 2/s -j ACCEPT
>>> iptables -A OUTPUT -p icmp --icmp-type echo-reply -m limit --limit-burst 10 --limit 2/s -j ACCEPT
>>
>> Je ne vois pas l'intérêt de limiter les réponses en sortie si les
>> requêtes en entrée sont limitées.

J'oubliais : ces règles ne font qu'accepter les paquets qui ne
dépassent pas la limite, et non bloquer ceux qui dépassent. Or ces
derniers sont acceptés par les règles génériques situées plus loin.

Oups...

J'ajoute cette règle à la suite de la première, pour éliminer ceux qui
n'ont pas été acceptés par le filtre (j'ai supprimé la deuxième ligne) :
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

Ça donne ça au final :
"
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 2/sec --limit-burst 10 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
"

Vous avez filtré cet utilisateur ! Consultez son message

Le Fri, 22 Dec 2017 13:33:56 +0100
Pascal Hambourg a écrit :

Le 22/12/2017 à 12:48, Yliur a écrit :
# Accepter les connexions locales
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
(...)
Il est plus simple et plus sûr de se baser sur l'interface d'entrée
ou sortie (-i/-o lo) que sur les adresses source et
destination.

D'accord.
Au passage, j'imagine que "RELATED" ne coûte rien ici non plus...

Ça coûte le temps CPU de vérifier dans chaque règle l'état de suivi
de connexion de chaque paquet qui passe par l'interface de loopback,
ce qui n'est pas très utile à mon avis. Car je ne vois pas comment un
processus peut envoyer un paquet dans l'état INVALID sans avoir les
privilèges root (directement ou par suid) ou au moins la capacité
d'injecter des paquets IP arbitraires (CAP_NET_RAW ?).

Là les subtilités commencent à me passer un peu loin ;) .
Bon, je peux garder les 3 états mais ce n'est sans doute pas très utile,
ou bien supprimer toute la gestion de l'état sur ces lignes. C'est bien
ça ?

# Accepter les ping entrants (mais doucement)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit-burst 10 --limit 2/s -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -m limit --limit-burst 10 --limit 2/s -j ACCEPT

Je ne vois pas l'intérêt de limiter les réponses en sortie si les
requêtes en entrée sont limitées.

J'oubliais : ces règles ne font qu'accepter les paquets qui ne
dépassent pas la limite, et non bloquer ceux qui dépassent. Or ces
derniers sont acceptés par les règles génériques situées plus loin.

Oups...
J'ajoute cette règle à la suite de la première, pour éliminer ceux qui
n'ont pas été acceptés par le filtre (j'ai supprimé la deuxième ligne) :
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Ça donne ça au final :
"
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 2/sec --limit-burst 10 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
"

Pascal Hambourg

22/12/2017 à 14:47

Le 22/12/2017 à 14:38, Yliur a écrit :

Pascal Hambourg a écrit :
Le 22/12/2017 à 12:48, Yliur a écrit :
# Accepter les connexions locales
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

(...)

Bon, je peux garder les 3 états mais ce n'est sans doute pas très utile,
ou bien supprimer toute la gestion de l'état sur ces lignes. C'est bien
ça ?

Oui.

# Accepter les ping entrants (mais doucement)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit-burst 10 --limit 2/s -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -m limit --limit-burst 10 --limit 2/s -j ACCEPT

Je ne vois pas l'intérêt de limiter les réponses en sortie si les
requêtes en entrée sont limitées.

J'oubliais : ces règles ne font qu'accepter les paquets qui ne
dépassent pas la limite, et non bloquer ceux qui dépassent. Or ces
derniers sont acceptés par les règles génériques situées plus loin.

Au temps pour moi, j'ai écrit une bêtise : la règle générique INPUT n'a
pas l'état NEW, donc elle n'accepte pas les requêtes qui dépassent la
limite. La règle générique OUTPUT a l'état ESTABLISHED donc elle
accepterait les réponses qui dépassent la limite, mais ces paquets
n'existent pas donc ça n'a pas d'importance.

J'ajoute cette règle à la suite de la première, pour éliminer ceux qui
n'ont pas été acceptés par le filtre (j'ai supprimé la deuxième ligne) :
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

Ce n'est pas utile mais ça ne gêne pas et a le mérite d'être clair et
indépendant de la suite des règles.

Yliur

10/01/2018 à 00:22

Le Fri, 22 Dec 2017 14:47:04 +0100
Pascal Hambourg a écrit :

Le 22/12/2017 à 14:38, Yliur a écrit :
Pascal Hambourg a écrit :
Le 22/12/2017 à 12:48, Yliur a écrit :
# Accepter les connexions locales
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -m conntrack
--ctstate NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -s
127.0.0.1 -d 127.0.0.1 -m conntrack --ctstate NEW,ESTABLISHED
-j ACCEPT
(...)
Bon, je peux garder les 3 états mais ce n'est sans doute pas très
utile, ou bien supprimer toute la gestion de l'état sur ces lignes.
C'est bien ça ?

Oui.
# Accepter les ping entrants (mais doucement)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit
--limit-burst 10 --limit 2/s -j ACCEPT iptables -A OUTPUT -p
icmp --icmp-type echo-reply -m limit --limit-burst 10 --limit
2/s -j ACCEPT

Je ne vois pas l'intérêt de limiter les réponses en sortie si les
requêtes en entrée sont limitées.

J'oubliais : ces règles ne font qu'accepter les paquets qui ne
dépassent pas la limite, et non bloquer ceux qui dépassent. Or ces
derniers sont acceptés par les règles génériques situées plus
loin.

Au temps pour moi, j'ai écrit une bêtise : la règle générique INPUT
n'a pas l'état NEW, donc elle n'accepte pas les requêtes qui
dépassent la limite. La règle générique OUTPUT a l'état ESTABLISHED
donc elle accepterait les réponses qui dépassent la limite, mais ces
paquets n'existent pas donc ça n'a pas d'importance.
J'ajoute cette règle à la suite de la première, pour éliminer ceux
qui n'ont pas été acceptés par le filtre (j'ai supprimé la deuxième
ligne) : iptables -A INPUT -p icmp --icmp-type echo-request -j
DROP

Ce n'est pas utile mais ça ne gêne pas et a le mérite d'être clair et
indépendant de la suite des règles.

D'accord, merci pour ton aide :) .

iptables / vpn / git / ssh

10 réponses

Veuillez sélectionner un problème