Forum Linux.général configuration firewall netfilter : iptables ou nftables?

Posté par  . Licence CC By‑SA.
Étiquettes :
2
25
oct.
2022

Bonjour,
Je cherche à configurer une debian pour durcir la sécurité.

Je m'interroge sur le choix entre netfilter configuré avec iptables,ebtables,arptables et netfilter configuré avec nftables: lequel préconiseriez vous?

Par ailleurs, si je me connecte avec ma carte ethernet à une box, dois je configurer obligatoirement ebtables si j'ai fait des regles de filtrages avec iptables ?

Quelqu'un aurait-il des exemples de configuration de ebtables et arptables? (autant je trouve facilement des exemples d'iptables mais pas trop ces deux là)

(…)

Forum Linux.noyau Problème réseau - NAT Helpers

Posté par  . Licence CC By‑SA.
Étiquettes :
0
27
juil.
2017

Bonjour,

j'ai un petit PC avec 2 cartes réseau qui me sert de gateway/router derrière une freebox.
J'ai configuré avec iptables le bouzin et tout marchait correctement depuis des années.
Il m'a pris l'idée saugrenue d'upgrader le matériel de ce PC, et d'en profiter pour réinstaller Archlinux dessus (le précédent avait plus de 5 ans de "vol").
L'opération s'est plutôt bien passée, mais en faisant des tests de toutes les fonctionnalités que j'avais configuré, je me suis aperçu que le (…)

Forum Linux.noyau accéder à un serveur ftp depuis une passerelle

Posté par  . Licence CC By‑SA.
Étiquettes :
1
13
mai
2017

Bonjour,

Avec un noyau récent (4.10), je n'arrive plus à réaliser l'opération suivante qui fonctionnait parfaitement avec un noyau plus ancien (4.1 , ok il était vraiment plus ancien).
Il s'agit d'accéder à un serveur ftp qui se trouve dans mon lan, depuis une passerelle, par le port 1999.

Gateway : 192.168.4.254
FTP : 192.168.1.1

Le problème ne se produit que pour le FTP. J'ai testé avec un accès telnet sur 192.168.1.1 depuis l'extérieur, avec de la redirection de (…)

Journal Nouveau document sur la sécurisation des pare-feu Netfilter

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
29
29
nov.
2011

Un nouveau document sur la sécurisation des pare-feu Netfilter/Iptables vient de paraître. Appelé "Secure use of iptables and connection tracking helpers", il contient une présentation du concept des assistants du suivi de connexions, des dangers qui leur sont associés et présente un ensemble de bonnes conduites à adopter lorsque l'on écrit sa politique de filtrage. Ce document a été rédigé par des contributeurs majeurs de Netfilter et votre serviteur.

Sa lecture est très fortement recommandée pour l'ensemble des (…)

Sortie de Wolfotrack 1.0

Posté par  . Modéré par rootix.
0
28
avr.
2008
Sécurité
Netfilter est un pare-feu à état. Il permet donc de garder l'état d'une connexion afin de n'accepter que celles qui sont liées à, par exemple, une connexion sortante.

Il est parfois difficile de tuer facilement une connexion existante sur un pare-feu en production, d'où l'idée de Wolfotrack, qui reprend la version GPL du jeu Wolfenstein 3D (NdM : FPS du siècle dernier) pour lier chaque personnage à une connexion de Netfilter. Ainsi, pour tuer une connexion il suffit simplement de tuer le personnage qui lui est associé.

Avec Netfilter, la table de suivi de connexion s'appelle le "connection tracking", et peut être facilement interrogée avec la commande conntrack -E. C'est ce qui est utilisé par des applications telles que pyctd. Les sources de Wolfenstein 3D étant disponibles et faciles à hacker, et hop, il devenait simple d'avoir un outil utilisant Netfilter enfin user-friendly !

Pourquoi Wolfenstein 3D et pas Doom me diriez-vous ? Tout simplement parce qu'avec des armes comme le BFG9000, cela s'avérait trop dangereux.

NdM : Dans la lignée de psdoom pour abattre vos processus et autres zombies (basé sur Doom) ou l3dgeworld l'outil réseau pour surveiller le trafic malicieux (basé sur Open Arena), nul doute que ces outils 3D vont permettre aux administrateurs système et réseau de se défouler.

13 violations de la GPL

Posté par  (site web personnel) . Modéré par Florent Zara.
0
18
mar.
2005
Communauté
Treize, c'est le nombre d'entreprises que Harald Welte, à la tête du projet Netfilter et à l'origine du site gpl-violations.org, soupçonne de ne pas respecter la GPL. C'est après avoir découvert que les produits de 13 fabricants de logiciels et de matériels, parmi lesquels Acer et Motorola, contenaient du code GPL sans redistribuer leur propre code, qu'Harald a décidé de rappeler aux industriels les obligations qui découlent de l'utilisation de code sous licence GPL.

NdM : merci à riri le breton pour avoir également proposé une dépêche sur le sujet.

Forum Linux.noyau Comprendre iptables / netfilter

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
5
22
juin
2018

Yo !

J'ai tenté de résumer ce que j'ai commencé à apprendre sur netfilter et iptables dans un petit article et j'aimerais avoir des retours d'experts pour cerner mes lacunes et/ou là où j'ai planté.

D'avance merci à ceux qui proposeront correctifs et ajouts à : https://ychaouche.informatick.net/netfilteroverview