Journal J'ai créé une visualisation et une description interactive d'iptables

Posté par  . Licence CC By‑SA.
Étiquettes :
24
18
déc.
2024

Il arrive souvent qu'avec le temps, les connaissances soient oubliées. Au mieux, vous ouvrez votre manuel préféré et vous vous souvenez rapidement de tout. Au pire, vous devez vous replonger dans un sujet apparemment familier.

J'ai toujours cru que visualiser l'information étudiée permettait de la comprendre plus rapidement.

À ces fins, une description interactive des tables iptables, des conseils le long des chaînes et une visualisation du flux de trafic, en fonction de sa destination (transit, local), ont été réalisés.

(…)

Forum Linux.général J'ai créé une visualisation et une description interactive d'iptables

Posté par  . Licence CC By‑SA.
Étiquettes :
13
8
déc.
2024

Il arrive souvent qu'avec le temps, les connaissances soient oubliées. Au mieux, vous ouvrez votre manuel préféré et vous vous souvenez rapidement de tout. Au pire, vous devez vous replonger dans un sujet apparemment familier.

J'ai toujours cru que visualiser l'information étudiée permettait de la comprendre plus rapidement.

À ces fins, une description interactive des tables iptables, des conseils le long des chaînes et une visualisation du flux de trafic, en fonction de sa destination (transit, local), ont été réalisés.

(…)

Journal Les toqueurs ont la tactique

Posté par  . Licence CC By‑SA.
42
29
juin
2024

Que l'obscurantisme retourne à l'obscurité

La sécurité par l’obscurité, vous connaissez ? Ça se résume simplement : il faut savoir tenir sa langue. Chut, c’est un secret ! Pour s’assurer qu’un système, logiciel ou protocole de sécurité est sûr, il suffit de ne pas divulguer son fonctionnement. Pratique ! Et si on veut faire de la rétro-ingénierie ? Pareil, on chiffre le code, on fait de l’obfuscation, on rajoute volontairement des bêtises pour tromper l’ennemi, etc.

Est-ce que ça fonctionne (…)

Forum Linux.général Limitation réseau

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
2
23
août
2022

Bonjour,
J'aimerai que chaque IP de mon réseau (172.30.136.x) soit limité à 10Mbps download/5Mbps upload via cette méthode (Max 10Mpbs même si le réseau peu plus, et plusieurs peuvent être a 10Mbps pour un total >10Mbps), ce que je fait sur mon routeur linux (eth1 LAN):

#/bin/bash
main=eth1
tc qdisc del dev $main root
tc qdisc add dev $main root handle 1: htb
for i in {1..254}
do
    iptables -I FORWARD -s 172.30.136.
(…)

Forum général.cherche-matériel pfsense vs opnsense vs mikrotik vs autres

Posté par  . Licence CC By‑SA.
5
15
août
2022

Bonjour à tous,

Je déterre un peu le vieux sujet oldschool sur lequel il y a déjà eu des avis ci et là sur quel firewall d'entrée de réseau utiliser pour une maison.

Evidemment, la quête du béotien en mal d'aventures en ce mois d'Aout 2022 va avec quelques souhaits :
- J'ai utilisé pfSense des années sur du vieux matériel, ça marchait bien mais mon vieux matériel ne me permet plus d'avoir du Gigabit voire un lien 10Gigabit sur (…)

Forum Linux.général [RÉSOLU] Connexion SSH : je deviens dingue... Help !

Posté par  (Mastodon) . Licence CC By‑SA.
3
31
mar.
2021

Salut,

Je deviens dingue, il me faut des idées, mais au point où j'en suis je prends même un simple support psychologique.

Au boulot, on a dans la nature (enfin, chez les clients) des routeurs 4G/WiFi. L'idée est d'offrir une connexion OpenVPN aux objets connectés qu'on a chez eux (logs, stats, maintenance…). Le routeur entre sur notre LAN via un OpenVPN.

J'ai deux routeurs de marque différente, mais tous les deux basés sur OpenWRT (je vais tâcher de trouver les (…)

Forum Linux.débutant redirection de port NAT à travers OpenVPN

Posté par  . Licence CC By‑SA.
Étiquettes :
3
29
déc.
2020

Bonjour

Il y a 15 ans de ça j'étais au top sur iptables, mais 15 ans sans avoir besoin d'y bidouiller ont eu raison de mon neurone, alors : À L'AIDE ! ;-)

Je vous explique mon problème :
J'ai un FAI qui fait du partage d'IP v4, et biensûr il est impossible d'ouvrir un port. Cependant, j'aimerai pouvoir me connecter sur mon raspbery PI qui est à la maison depuis mon téléphone, où que je me trouve.

Ma solution (…)

Forum Linux.général Règle iptable en matrice de flux lisible

Posté par  . Licence CC By‑SA.
Étiquettes :
2
18
juin
2020

Salut tout le monde,

Je viens de débuter dans une boite qui a de vieux firewall iptable comme unique protection réseau.
C'est difficile à administrer au quotidien et nous sommes contraint de faire appel à un prestataire qui facture très cher pour le moindre changement.

J'aimerai donc les remplacer par une techno avec un interface un peu plus "user friendly" et pour ça j'ai besoin de pouvoir réaliser une matrice de flux de type :FROM TO ACTION PROTO

Savez vous (…)

Forum Linux.général règles IPTables

Posté par  . Licence CC By‑SA.
Étiquettes :
0
14
avr.
2020

Bonjour,

Je suis entrain de tester IPtables et j'ai besoin d'aide.

Ma plateforme de test :

Réseau 1 ---- enp0s3 / enp0s8 ---- Réseau 2
Ubuntu Debian Ubuntu

Sur mon réseau 1 j'ai une W10 et un Debian
Sur mon réseau 2 une W10

Entre les 2 réseaux un machine debian avec 2 cartes réseau qui fait office de routeur

Je souhaite bloquer l'ensemble des protocoles de mon réseau 2 vers le réseau 1 sauf ICMP, DNS, HTTP et HTTPS.

(…)

Journal [Brève d'Admin] CentOS : parefeu et trieur de logs

Posté par  (Mastodon) . Licence CC By‑SA.
Étiquettes :
6
7
avr.
2020

Bonjour Nal,

après des années de 'yaka fautkeje' voici finalement le début d'une petite série de brèves d'admin, un peu obsolète peut être, car souvent pour du CentOS 7, et ici iptables en plus! mais en espérant que cela soit utile à certains lecteurs, et que ça plaise.

Qui n'a jamais été confronté à la déception de voir polluer le fichier /var/log/kernel et/ou /var/log/messages avec ses belles logs du pare-feu ? C'est un peu pénible.

La mise en place se (…)

Forum Linux.débutant iptables + récent qui ne marche pas

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
0
27
nov.
2019

Bonjour,

J'ai mit en place cette protection SYN attaque qui ne marche pas:
# DDOS SYN Attack protection
-A FORWARD -p tcp -m recent --rcheck --seconds 10 --hitcount 9 --name SYN --mask 255.255.255.255 --rsource -m tcp -j DROP
-A FORWARD -m recent --remove --name SYN --mask 255.255.255.255 --rsource
-A FORWARD -p tcp -m tcp -m recent --set --name SYN --mask 255.255.255.255 --rsource

Qui pourrai me dire pourquoi une IP peu me flooder de SYN? (scan de port ici vérifié par (…)

Forum Linux.debian/ubuntu Debian 10 Buster : Problème iptables/nftables avec Docker

Posté par  . Licence CC By‑SA.
Étiquettes :
3
6
août
2019

Bonjour,

Je viens de migrer sous Debian Buster une machine de dev et un serveur Kimsufi.
Du côté de ma machine locale pas de souci, mais côté Kimsufi je rencontre un problème certainement lié à la migration iptables/nftables. Lorsque je lance une stack de containers avec docker-compose j'obtiens l'erreur suivante :

ERROR: Failed to program FILTER chain: iptables failed: iptables --wait -I FORWARD -o br-1f984716e934 -j DOCKER: iptables v1.8.2 (nf_tables):  RULE_INSERT failed (Invalid argument):
(…)

Forum Linux.debian/ubuntu Iptables - Ip6tables - avis

Posté par  . Licence CC By‑SA.
Étiquettes :
0
1
mai
2019

Bonjour bonjour !

Après avoir créé un thread pour la configuration, je me permet d'en créer un nouveau pour recueillir vos avis et optimisations, vu que l'on commençait à s'y perdre avec la tonne de message du premier thread.

Alors, vos avis ? Merci d'avance !

Voilà donc à quoi ressemble la configuration :

#!/bin/bash
#iptables-restore < /etc/iptables.test.rules

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P
(…)