[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [IPTABLES] Comment lister les paquets rejetés ?

Le 08/06/2014 13:58, Philippe Gras a écrit :

> OK, ce n'est pas Debian, mais Iptables. Mais on peut l'installer sur une Debian.
> 
> Je n'ai pas vu de forum ou de liste dédiée à Iptables, alors je pose ma question
> ici même.

Personnellement, ça ne me dérange absolument que le sujet
soit abordé ici.

> OK pour cette démonstration, mais le cas que j'ai évoqué est différent, dans la
> mesure où j'ai dû établir ma règle pendant l'attaque, je ne l'ai pas écrite avant.

Certes, mais très honnêtement je pense que ça ne change rien
au fait qu'avec les règles que tu indiquais :

1. iptables -A INPUT -p tcp --dport 80 -s 72.44.248.136 -j DROP
2. iptables -A INPUT -p tcp --dport 80 -s 66.23.229.10 -j DROP
3. iptables -A INPUT -m state --state RELATED,ESTABLISHED -p tcp --dport 80 -s 72.44.248.136 -j DROP
4. iptables -A INPUT -m state --state RELATED,ESTABLISHED -p tcp --dport 80 -s 66.23.229.10 -j DROP 

les règles 3 et 4 sont inutiles car si un paquet matche la 3, de
toute façon il matchera la 1 avant et sera « dropé » et si un
paquet matche la 4 il sera « dropé » de toute façon par la 2 avant.
Mais au final, ce n'est pas très grave, il y a juste une sorte
de redondance. Rien de bien méchant donc.

> Je crois qu'il y a une explication à cet état de choses ici :
> http://www.bortzmeyer.org/rate-limiting-dos.html
> =============================================================
> Ici, on met les adresses IP dans une table nommée Web. On peut afficher son contenu avec cat /proc/net/xt_recent/Web pour surveiller le bon fonctionnement. On ne teste que les paquets TCP de type SYN, ceux envoyés pour créer une nouvelle connexion (on aurait pu remplacer --tcp-flags SYN SYN par -m state --state NEW mais cette commande est à état, ce qui est toujours déconseillé face à une DoS).
> =============================================================

Merci bien Philippe pour ce lien qui est très intéressant. Perso,
j'y est appris pas mal de trucs. En revanche, je n'y ai pas trop
vu le rapport avec la question soulevée ici.

> Il existe apparemment une différence dans le traitement des paquets par iptables
> selon leur état.

Vraiment je ne crois pas. Si, dans la définition d'une règle via
iptables, tu ne précises rien quant à l'état de la connexion tcp,
alors la règle ne dépendra pas de cet état, tout simplement.

Dans le lien précédent en l'occurrence, les règles indiquées dépendent
explicitement de l'état de la connexion car l'auteur cherche à attraper
les paquets IP qui contiennent des segments tcp qui correspondent à des
demandes de connexion d'où l'option « --tcp-flags SYN SYN » clairement
spécifiée quasiment à chaque fois.

-- 
François Lafont
Reply to: