Forum Linux.noyau Problème réseau - NAT Helpers

Posté par . Licence CC by-sa
Tags :
0
27
juil.
2017

Bonjour,

j'ai un petit PC avec 2 cartes réseau qui me sert de gateway/router derrière une freebox.
J'ai configuré avec iptables le bouzin et tout marchait correctement depuis des années.
Il m'a pris l'idée saugrenue d'upgrader le matériel de ce PC, et d'en profiter pour réinstaller Archlinux dessus (le précédent avait plus de 5 ans de "vol").
L'opération s'est plutôt bien passée, mais en faisant des tests de toutes les fonctionnalités que j'avais configuré, je me suis aperçu que le (...)

Forum Linux.noyau accéder à un serveur ftp depuis une passerelle

Posté par (page perso) . Licence CC by-sa
1
13
mai
2017

Bonjour,

Avec un noyau récent (4.10), je n'arrive plus à réaliser l'opération suivante qui fonctionnait parfaitement avec un noyau plus ancien (4.1 , ok il était vraiment plus ancien).
Il s'agit d'accéder à un serveur ftp qui se trouve dans mon lan, depuis une passerelle, par le port 1999.

Gateway : 192.168.4.254
FTP : 192.168.1.1

Le problème ne se produit que pour le FTP. J'ai testé avec un accès telnet sur 192.168.1.1 depuis l'extérieur, avec de la redirection de (...)

Journal Nouveau document sur la sécurisation des pare-feu Netfilter

Posté par (page perso) . Licence CC by-sa
Tags :
29
29
nov.
2011

Un nouveau document sur la sécurisation des pare-feu Netfilter/Iptables vient de paraître. Appelé "Secure use of iptables and connection tracking helpers", il contient une présentation du concept des assistants du suivi de connexions, des dangers qui leur sont associés et présente un ensemble de bonnes conduites à adopter lorsque l'on écrit sa politique de filtrage. Ce document a été rédigé par des contributeurs majeurs de Netfilter et votre serviteur.

Sa lecture est très fortement recommandée pour l'ensemble des (...)

Sortie de Wolfotrack 1.0

Posté par . Modéré par Christophe Guilloux.
0
28
avr.
2008
Sécurité
Netfilter est un pare-feu à état. Il permet donc de garder l'état d'une connexion afin de n'accepter que celles qui sont liées à, par exemple, une connexion sortante.

Il est parfois difficile de tuer facilement une connexion existante sur un pare-feu en production, d'où l'idée de Wolfotrack, qui reprend la version GPL du jeu Wolfenstein 3D (NdM : FPS du siècle dernier) pour lier chaque personnage à une connexion de Netfilter. Ainsi, pour tuer une connexion il suffit simplement de tuer le personnage qui lui est associé.

Avec Netfilter, la table de suivi de connexion s'appelle le "connection tracking", et peut être facilement interrogée avec la commande conntrack -E. C'est ce qui est utilisé par des applications telles que pyctd. Les sources de Wolfenstein 3D étant disponibles et faciles à hacker, et hop, il devenait simple d'avoir un outil utilisant Netfilter enfin user-friendly !

Pourquoi Wolfenstein 3D et pas Doom me diriez-vous ? Tout simplement parce qu'avec des armes comme le BFG9000, cela s'avérait trop dangereux.

NdM : Dans la lignée de psdoom pour abattre vos processus et autres zombies (basé sur Doom) ou l3dgeworld l'outil réseau pour surveiller le trafic malicieux (basé sur Open Arena), nul doute que ces outils 3D vont permettre aux administrateurs système et réseau de se défouler.