Je vais devoir installer un petit pare-feu sous linux, je connais un
peu iptables, mais j'ai l'impression qu'il ne fait pas la chose
suivante :
- je suis un serveur A et je me connecte a un serveur B, adresse IP
quelconque et non contenue dans un quelconque fichier de configuration
- j'autorise alors pendant le temps de ma connexion, et 5 minutes
apres ma deconnexion, le serveur B a se connecter chez moi (et
j'empeche par contre toute autre adresse IP de le faire)
Un espece d'echange de bon procede et de permission temporaire.
J'ai lu la doc d'Iptables, et je n'ai rien trouve.
Des idees, ou un autre moyen de resoudre ce probleme sans que j'ai a
me programer un pare-feu personnalise ? Pas que j'ai pas envie, mais
je n'ai surtout pas le temps pour ca.
Je prefererai bidouiller ca au niveau du pare-feu, mais si vous avez
d'autres outils a proposer, je suis preneur.
Et sinon, il y a des outils pour simuler au niveau du pare-feu la
presence d'un systeme d'exploitation autre que linux ? Je sais qu'il
existe des outils du genre honeyd, mais c'est un peu trop bourrin pour
juste modifier le comportement de la pile IP linux...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Julien Salgado
Vincent Hiribarren a écrit :
Bien le bonjour a tous !
Pareil !
Je vais devoir installer un petit pare-feu sous linux, je connais un peu iptables, mais j'ai l'impression qu'il ne fait pas la chose suivante :
- je suis un serveur A et je me connecte a un serveur B, adresse IP quelconque et non contenue dans un quelconque fichier de configuration - j'autorise alors pendant le temps de ma connexion, et 5 minutes apres ma deconnexion, le serveur B a se connecter chez moi (et j'empeche par contre toute autre adresse IP de le faire)
Un espece d'echange de bon procede et de permission temporaire.
Il faudrait le coder, le problème c'est que l'authorisation de connexion accordée à B ne dure que durant le temps de la connexion de A vers B, en effet les tables de connexion RELATED sont effacées à la fin de la session maître.
La solution serait de coder un module cible spécifique qui ferait le boulot gérerait les délais d'attente. Un volontaire ?
Et sinon, il y a des outils pour simuler au niveau du pare-feu la presence d'un systeme d'exploitation autre que linux ? Je sais qu'il existe des outils du genre honeyd, mais c'est un peu trop bourrin pour juste modifier le comportement de la pile IP linux...
http://ippersonality.sourceforge.net/
mais attention ! le changement de la couche IP introduit les risques de la couche simulée.
Merci d'avance !
-- Julien
Vincent Hiribarren a écrit :
Bien le bonjour a tous !
Pareil !
Je vais devoir installer un petit pare-feu sous linux, je connais un
peu iptables, mais j'ai l'impression qu'il ne fait pas la chose
suivante :
- je suis un serveur A et je me connecte a un serveur B, adresse IP
quelconque et non contenue dans un quelconque fichier de configuration
- j'autorise alors pendant le temps de ma connexion, et 5 minutes
apres ma deconnexion, le serveur B a se connecter chez moi (et
j'empeche par contre toute autre adresse IP de le faire)
Un espece d'echange de bon procede et de permission temporaire.
Il faudrait le coder, le problème c'est que l'authorisation de connexion
accordée à B ne dure que durant le temps de la connexion de A vers B, en
effet les tables de connexion RELATED sont effacées à la fin de la
session maître.
La solution serait de coder un module cible spécifique qui ferait le
boulot gérerait les délais d'attente.
Un volontaire ?
Et sinon, il y a des outils pour simuler au niveau du pare-feu la
presence d'un systeme d'exploitation autre que linux ? Je sais qu'il
existe des outils du genre honeyd, mais c'est un peu trop bourrin pour
juste modifier le comportement de la pile IP linux...
http://ippersonality.sourceforge.net/
mais attention ! le changement de la couche IP introduit les risques de
la couche simulée.
Je vais devoir installer un petit pare-feu sous linux, je connais un peu iptables, mais j'ai l'impression qu'il ne fait pas la chose suivante :
- je suis un serveur A et je me connecte a un serveur B, adresse IP quelconque et non contenue dans un quelconque fichier de configuration - j'autorise alors pendant le temps de ma connexion, et 5 minutes apres ma deconnexion, le serveur B a se connecter chez moi (et j'empeche par contre toute autre adresse IP de le faire)
Un espece d'echange de bon procede et de permission temporaire.
Il faudrait le coder, le problème c'est que l'authorisation de connexion accordée à B ne dure que durant le temps de la connexion de A vers B, en effet les tables de connexion RELATED sont effacées à la fin de la session maître.
La solution serait de coder un module cible spécifique qui ferait le boulot gérerait les délais d'attente. Un volontaire ?
Et sinon, il y a des outils pour simuler au niveau du pare-feu la presence d'un systeme d'exploitation autre que linux ? Je sais qu'il existe des outils du genre honeyd, mais c'est un peu trop bourrin pour juste modifier le comportement de la pile IP linux...
http://ippersonality.sourceforge.net/
mais attention ! le changement de la couche IP introduit les risques de la couche simulée.
Merci d'avance !
-- Julien
Vincent Hiribarren
Cyril Guibourg writes:
Je suggère pf et authpf sous OpenBSD qui se rapprochent de ce que tu veux faire.
Je te remercie, cependant, je confirme que je recherche une solution Linux et non pas BSD ou autre. Le systeme a ete choisi de par diverses contraintes fortes, et non pas pour des raisons d'affinites.
Cyril Guibourg <dave.null@teaser.fr> writes:
Je suggère pf et authpf sous OpenBSD qui se rapprochent de ce que tu
veux faire.
Je te remercie, cependant, je confirme que je recherche une solution
Linux et non pas BSD ou autre.
Le systeme a ete choisi de par diverses contraintes fortes, et non pas
pour des raisons d'affinites.
Je suggère pf et authpf sous OpenBSD qui se rapprochent de ce que tu veux faire.
Je te remercie, cependant, je confirme que je recherche une solution Linux et non pas BSD ou autre. Le systeme a ete choisi de par diverses contraintes fortes, et non pas pour des raisons d'affinites.
Vincent Hiribarren
Julien Salgado writes:
[Snip]
Un espece d'echange de bon procede et de permission temporaire.
Il faudrait le coder, le problème c'est que l'authorisation de connexion accordée à B ne dure que durant le temps de la connexion de A vers B, en effet les tables de connexion RELATED sont effacées à la fin de la session maître.
Avec RELATED la permission est accordee a l'ordinateur cible pour la duree de la connexion emise ? Parfait, ca pourra toujours m'etre utile. J'avais bien lu ca dans le man, mais n'etais pas sur du resultat exact de cet etat de connexion.
La solution serait de coder un module cible spécifique qui ferait le boulot gérerait les délais d'attente. Un volontaire ?
Ah ben si ca peut se faire en module, ben zou. Ca ne pourra pas me faire de mal, et ne me semble pas complique. En gros faut gerer ca comme l'etat RELATED, et faire une table d'anciennete des ancienne connexion, a degager au bout de tant de temps... ou alors y-a-t'il une difficulte que je ne vois pas ?
Ca ne me semble pas trop dur a faire, et bien plus rapide que reprogrammer un pare-feu en entier.
http://ippersonality.sourceforge.net/
mais attention ! le changement de la couche IP introduit les risques de la couche simulée.
Un espece d'echange de bon procede et de permission temporaire.
Il faudrait le coder, le problème c'est que l'authorisation de connexion
accordée à B ne dure que durant le temps de la connexion de A vers B, en
effet les tables de connexion RELATED sont effacées à la fin de la
session maître.
Avec RELATED la permission est accordee a l'ordinateur cible pour la
duree de la connexion emise ? Parfait, ca pourra toujours m'etre
utile. J'avais bien lu ca dans le man, mais n'etais pas sur du
resultat exact de cet etat de connexion.
La solution serait de coder un module cible spécifique qui ferait le
boulot gérerait les délais d'attente.
Un volontaire ?
Ah ben si ca peut se faire en module, ben zou. Ca ne pourra pas me
faire de mal, et ne me semble pas complique. En gros faut gerer ca
comme l'etat RELATED, et faire une table d'anciennete des ancienne
connexion, a degager au bout de tant de temps... ou alors y-a-t'il une
difficulte que je ne vois pas ?
Ca ne me semble pas trop dur a faire, et bien plus rapide que
reprogrammer un pare-feu en entier.
http://ippersonality.sourceforge.net/
mais attention ! le changement de la couche IP introduit les risques de
la couche simulée.
Un espece d'echange de bon procede et de permission temporaire.
Il faudrait le coder, le problème c'est que l'authorisation de connexion accordée à B ne dure que durant le temps de la connexion de A vers B, en effet les tables de connexion RELATED sont effacées à la fin de la session maître.
Avec RELATED la permission est accordee a l'ordinateur cible pour la duree de la connexion emise ? Parfait, ca pourra toujours m'etre utile. J'avais bien lu ca dans le man, mais n'etais pas sur du resultat exact de cet etat de connexion.
La solution serait de coder un module cible spécifique qui ferait le boulot gérerait les délais d'attente. Un volontaire ?
Ah ben si ca peut se faire en module, ben zou. Ca ne pourra pas me faire de mal, et ne me semble pas complique. En gros faut gerer ca comme l'etat RELATED, et faire une table d'anciennete des ancienne connexion, a degager au bout de tant de temps... ou alors y-a-t'il une difficulte que je ne vois pas ?
Ca ne me semble pas trop dur a faire, et bien plus rapide que reprogrammer un pare-feu en entier.
http://ippersonality.sourceforge.net/
mais attention ! le changement de la couche IP introduit les risques de la couche simulée.
Tiens donc ? Interessant, merci pour l'adresse.
Bertrand Masius
Le 09 Sep 2003 08:41:03 GMT, Julien Salgado
Je vais devoir installer un petit pare-feu sous linux, je connais un peu iptables, mais j'ai l'impression qu'il ne fait pas la chose suivante :
- je suis un serveur A et je me connecte a un serveur B, adresse IP quelconque et non contenue dans un quelconque fichier de configuration - j'autorise alors pendant le temps de ma connexion, et 5 minutes apres ma deconnexion, le serveur B a se connecter chez moi (et j'empeche par contre toute autre adresse IP de le faire)
Un espece d'echange de bon procede et de permission temporaire.
Il faudrait le coder, le problème c'est que l'authorisation de connexion accordée à B ne dure que durant le temps de la connexion de A vers B, en effet les tables de connexion RELATED sont effacées à la fin de la session maître.
La solution serait de coder un module cible spécifique qui ferait le boulot gérerait les délais d'attente. Un volontaire ?
c'est peut-être déjà fait ! voir : http://www.netfilter.org/documentation/HOWTO/fr/netfilter-extensions-HOWTO-3.html y'a sûrement la solution à ce problème (patch "recent" par exemple) -- "Tout ce qui se conçoit bien s'énonce clairement, Et les mots pour le dire viennent aisément."
(Nicolas Boileau, l'Art poétique)
Le 09 Sep 2003 08:41:03 GMT, Julien Salgado
Je vais devoir installer un petit pare-feu sous linux, je connais un
peu iptables, mais j'ai l'impression qu'il ne fait pas la chose
suivante :
- je suis un serveur A et je me connecte a un serveur B, adresse IP
quelconque et non contenue dans un quelconque fichier de configuration
- j'autorise alors pendant le temps de ma connexion, et 5 minutes
apres ma deconnexion, le serveur B a se connecter chez moi (et
j'empeche par contre toute autre adresse IP de le faire)
Un espece d'echange de bon procede et de permission temporaire.
Il faudrait le coder, le problème c'est que l'authorisation de connexion
accordée à B ne dure que durant le temps de la connexion de A vers B, en
effet les tables de connexion RELATED sont effacées à la fin de la
session maître.
La solution serait de coder un module cible spécifique qui ferait le
boulot gérerait les délais d'attente.
Un volontaire ?
c'est peut-être déjà fait ! voir :
http://www.netfilter.org/documentation/HOWTO/fr/netfilter-extensions-HOWTO-3.html
y'a sûrement la solution à ce problème (patch "recent" par exemple)
--
"Tout ce qui se conçoit bien s'énonce clairement,
Et les mots pour le dire viennent aisément."
Je vais devoir installer un petit pare-feu sous linux, je connais un peu iptables, mais j'ai l'impression qu'il ne fait pas la chose suivante :
- je suis un serveur A et je me connecte a un serveur B, adresse IP quelconque et non contenue dans un quelconque fichier de configuration - j'autorise alors pendant le temps de ma connexion, et 5 minutes apres ma deconnexion, le serveur B a se connecter chez moi (et j'empeche par contre toute autre adresse IP de le faire)
Un espece d'echange de bon procede et de permission temporaire.
Il faudrait le coder, le problème c'est que l'authorisation de connexion accordée à B ne dure que durant le temps de la connexion de A vers B, en effet les tables de connexion RELATED sont effacées à la fin de la session maître.
La solution serait de coder un module cible spécifique qui ferait le boulot gérerait les délais d'attente. Un volontaire ?
c'est peut-être déjà fait ! voir : http://www.netfilter.org/documentation/HOWTO/fr/netfilter-extensions-HOWTO-3.html y'a sûrement la solution à ce problème (patch "recent" par exemple) -- "Tout ce qui se conçoit bien s'énonce clairement, Et les mots pour le dire viennent aisément."
