Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

To: debian-user-french@lists.debian.org
Subject: Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
From: G2PC <g2pc@visionduweb.com>
Date: Tue, 17 Sep 2019 19:58:25 +0200
Message-id: <[🔎] a8d55202-39ef-d6f9-c8d6-a96d1f8a4b0c@visionduweb.com>
In-reply-to: <[🔎] 83ed9209-39cb-309d-2b2f-5171a96cac33@tootai.net>
References: <[🔎] 95d60f0d-9f5c-c1bc-dd13-514cecce52bf@visionduweb.com> <[🔎] d2b17414-9690-cdeb-2d2c-2562feaab565@plouf.fr.eu.org> <[🔎] 9af2b201-7454-3c53-b418-927cca778b79@visionduweb.com> <[🔎] 83ed9209-39cb-309d-2b2f-5171a96cac33@tootai.net>

Ok pour IP6tables, j'ai du survoler ça quelques fois maintenant, sans
m'en préoccuper pour le moment.


Ok, donc, je n'ai pas besoin d'ajouter les règles pour DROP le multicast
et / ou IGMP.
Par contre, si je devais l'accepter, dans quel cas ouvrir le multicast,
ou, IGMP, d'après Pascal, ce n'est donc pas le même usage ?

J'aimerais pouvoir ajouter une note sur mon wiki, concernant ses deux
commandes, mais, je n'ai pas trouvé d'informations en première lecture.
Pourquoi ouvrir le multicast ?
Pourquoi ouvrir IGMP ?


La règle que je suis entrain d'écrire, mais, pas encore appliquée, est
la suivante :
https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#R.C3.A8gle_personnalis.C3.A9e_propos.C3.A9e_pour_configurer_Iptables_par_d.C3.A9faut

Merci de vos avis, si quelque chose n'est pas cohérent, que je puisse
améliorer ce script.
Je l'utilise ici pour un VPS OVH, sur Debian, qui est utilisé pour
serveur web avec Apache , mariaDB, et, avec un serveur FTP ProFTPd.


Le 17/09/2019 à 12:19, Daniel Huhardeaux a écrit :
> Le 17/09/2019 à 12:12, G2PC a écrit :
>> Bonjour,
>> Du coup, si je bloque tout ce dont je n'ai pas besoin, mais, que IPV6
>> en aurait besoin, je ne suis pas plus avancé.
>
> iptables est pour ipv4 ip6tables est pour ipv6, ce ne sont pas les
> mêmes commandes. Pour nft n'utilises pas inet mais ip ou ipv6 si tu
> veux différencier.
>
>>
>> Bon, je n'utilise pas IPV6 pour le moment, mais, j'aurais aimé avoir
>> plus d'informations sur les règles présentées, pour savoir justement
>> si il y a du sens à les mettre en place, les autoriser, ou, les refuser.
>> C'est bien car je ne sais pas que j'ai posté cette demande. J'ai pu
>> voir de nombreux sites proposer de DROP ou ACCEPT ces paquets, mais,
>> sans plus d'informations que cela.
>
> Ce que dit Pascal c'est que tu DROP par défaut et ensuite tu acceptes
> ce qui t'es nécessaire. Du coup tu ne t'occupes pas du multicast (ou
> tout autre) sauf si tu veux l'ouvrir.
>
>>
>> Merci de vos avis.
>>
>> # DROP le Multicast :
>> # Ce système est plus efficace que l'unicast pour diffuser des
>> contenus simultanément vers une large audience. (Audio, Vidéo.)
>> -A INPUT -m pkttype --pkt-type multicast -j DROP
>> -A FORWARD -m pkttype --pkt-type multicast -j DROP
>> -A OUTPUT -m pkttype --pkt-type multicast -j DROP
>>
>> # DROP IGMP :
>> # Également pour bloquer le multicast ? Quelle méthode préférer, les
>> deux ?
>> # Si nécessaire, tenter de logger tout paquet igmp sans spécifier de
>> source pour voir ce que ça donne dans "/var/log/syslog".
>> # iptables -A INPUT -p igmp -j LOG --log-level info --log-prefix
>> "IGMP: "
>> # L'IGMP est un protocole standard utilisé par la suite de protocoles
>> TCP/IP pour la multidiffusion dynamique, le multicast.
>> -A INPUT -p igmp -j DROP
>> -A FORWARD -p igmp -j DROP
>> -A OUTPUT -p igmp -j DROP
>>
>>
>>
>> Le 16/09/2019 à 20:48, Pascal Hambourg a écrit :
>>> Le 16/09/2019 à 12:57, G2PC a écrit :
>>>> Bonjour,
>>>>
>>>> Je ne pense pas en avoir besoin pour le moment, d'utiliser le
>>>> multicast, il me semble de ce fait inutile de l'autoriser dans ma
>>>> configuration Iptables ?
>>>
>>> Il ne s'agit pas de penser mais de savoir. Si tu n'utilises pas le
>>> multicast, tu n'as pas besoin de l'autoriser.
>>>
>>>> Par contre, je trouve deux types de règles via mes recherches, et,
>>>> je ne suis pas très sur de la bonne façon de l'interdire.
>>>
>>> Il suffit de ne pas l'autoriser. Tu interdis tout par défaut et
>>> n'autorises que ce dont tu as besoin, n'est-ce pas ?
>>>
>>>> # DROP IGMP :
>>>> # Également pour bloquer le multicast ? Quelle méthode préférer,
>>>> les deux ?
>>>
>>> IGMP n'est pas le multicast, ce n'est que le protocole de gestion du
>>> multicast. Tous les flux multicast ne font pas forcément l'objet
>>> d'un abonnement avec IGMP. J'ignore si tout le trafic IGMP est aussi
>>> en multicast.
>>>
>>> Note que si tu fais aussi du filtrage pour IPv6, réfléchis à deux
>>> fois avant de bloquer du trafic multicast. Certains flux multicast
>>> sont indispensables au bon fonctionnement d'IPv6.
>>>
>

Reply to:

Follow-Ups:
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: Daniel Huhardeaux <no-spam@tootai.net>
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: Jean-Michel <debian@dilly.me>

References:
- Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: G2PC <g2pc@visionduweb.com>
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: Pascal Hambourg <pascal@plouf.fr.eu.org>
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: G2PC <g2pc@visionduweb.com>
- Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
  - From: Daniel Huhardeaux <no-spam@tootai.net>

Prev by Date: Re: [hors sujet] RMS claque la porte au MIT et à la FSF
Next by Date: Re: envoyer par ligne de commande un mail en HTML5 avec ou sans attachements
Previous by thread: Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
Next by thread: Re: Faut t'il bloquer le Multicast - IGMP avec Iptables
Index(es):
- Date
- Thread