Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Administration Discussion :

[Linux][iptables] Questions filtrage chaîne INPUT


Sujet :

Administration

  1. #1
    Membre habitué
    [Linux][iptables] Questions filtrage chaîne INPUT
    Bonjour,

    J'ai fait une petite démonstration bien gentille du rôle d'un pare-feu dans ma classe, cependant je me demande si ce serait possible
    de limiter/filtrer les paquets qui arrivent comme ceux-ci:

    https://photos.app.goo.gl/kNvNeuRjC568xwXQ7

    Ma règle iptables ressemble à ceci:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    iptables -A INPUT -i eth0 -m pkttype --pkt-type broadcast -d 172.16.31.255 -j DROP
    Concernant les paquets qui semblent indiquer du broadcast ou du multicast... je voudrais qu'ils ne soient même plus listés par "iptraf" le logiciel en mode console qui fait
    plus ou moins comme wireshark.

    1. Est-ce possible ?
    2. Est-ce que cette règle a un sens ou devrais-je m'y prendre autrement (ces paquets sont arrêtés et n'inondent pas le réseau interne qui est connecté sur eth1) ?
    Dans cette règle je pense indiquer que les paquets de type broadcast à destination de tout le réseau 172.16.31.255 (172.16.0.0/12) qui arrivent sur eth0 doivent être "droppés"...
    Si je spécifie une règle qui "droppe" tous les paquets dont la source est l'une des machines émettant les paquets sur 137 et 5353 est-ce que cela aurait plus de sens ?

  2. #2
    Expert confirmé
    Cela fonctionne pas en faisant un filtre dans iptraf ?

  3. #3
    Membre habitué
    En fait ce que je voudrais c'est convaincre mon collègue administrateur que ce n'est pas normal ce "flood" incessant de paquets 137 et 5353.
    Je pense qu'un switch bien configuré avec des VLAN et le protocole GPT activé pour détecter les boucles devrait améliorer les performances des services réseau.
    A défaut je peux taper une linux box à la sortie de chaque classe où il y a des machines windows qui tournent à l'intérieur.

  4. #4
    Expert confirmé
    137, c'est du netbios ( partage de fichier windows )
    5356, c'est du multicast DNS

    Et si tu étais confronté à une tempête, c'est tout ton réseau qui serait inopérant

  5. #5
    Membre habitué
    Bin en fait je trouve bizarre que les serveurs 'crosoft et les différents switches dans l'école ne discardent pas les messages broadcast qui ne leurs sont pas destinés, résultat: bon c'est pas alarmant en soi,
    mais sur une ou deux minutes de "monitoring" je reçois pas moins de 24.000 packets de type broadcast. Je referais une photo cet aprem, je vais donner cours dans qqs minutes.

    Il y a un domaine AD dans l'école, moi je ne l'utilise pas dans mon labo, les élèves travaillent sur linux 100% du temps on a pas besoin d'AD.
    J'utilise SMB en interne (réseau local) pour centraliser les travaux des élèves, ils ont tous un "disque" monté à l'ouverture de leur session.

    Quand on télécharge des images de Linux par exemple notre "bande passante" se situe entre 2 Mo/s et 11 Mo/s avec une moyenne, de 7Mo/s ce qui n'est pas mal.
    Dans les autres classes quand je fais du dépannage de collègues, dans le même réseau (je veux dire connecté à la même box), nous oscillons entre 500 ko/s et 1 Mo/s mais je ne sais pas si au niveau d'AD on aurait pas "bridé"
    la connection comme Squid le ferait. J'ai demandé à ma collègue mais elle n'a pas su me répondre. Ce que je sais c'est que pour aller sur internet les élèves passent par un proxy dont l'adresse est configurée dans un "template" pour AD.

  6. #6
    Expert confirmé
    Citation Envoyé par hurukan Voir le message
    Bin en fait je trouve bizarre que les serveurs 'crosoft et les différents switches dans l'école ne discardent pas les messages broadcast qui ne leurs sont pas destinés, résultat:
    Ce n'est pas leur rôle, c'est le role d'un routeur.


    Citation Envoyé par hurukan Voir le message

    Il y a un domaine AD dans l'école, moi je ne l'utilise pas dans mon labo, les élèves travaillent sur linux 100% du temps on a pas besoin d'AD.
    J'utilise SMB en interne (réseau local) pour centraliser les travaux des élèves, ils ont tous un "disque" monté à l'ouverture de leur session.

    Quand on télécharge des images de Linux par exemple notre "bande passante" se situe entre 2 Mo/s et 11 Mo/s avec une moyenne, de 7Mo/s ce qui n'est pas mal.
    Dans les autres classes quand je fais du dépannage de collègues, dans le même réseau (je veux dire connecté à la même box), nous oscillons entre 500 ko/s et 1 Mo/s mais je ne sais pas si au niveau d'AD on aurait pas "bridé"
    Très improbable. C'est bien trop compliqué à mettre en oeuvre et cela n'apporte aucune plus-value.
    Une limitation sur base du type de trafic ou de l'adresse ip/range serait beaucoup plus cohérente

    Lorsque l'on parle d'une école, on a tendance à penser à la mauvaise qualité d'un élément plutôt qu'une volonté de limitation.


    Citation Envoyé par hurukan Voir le message

    la connection comme Squid le ferait. J'ai demandé à ma collègue mais elle n'a pas su me répondre. Ce que je sais c'est que pour aller sur internet les élèves passent par un proxy dont l'adresse est configurée dans un "template" pour AD.
    Dans ce cas, il faut simplement vérifier / comparer les vitesse avec et sans le proxy car de toute évidence, il est possible d'aller sur internet sans passer par le proxy.

    Liège ?

  7. #7
    Membre habitué
    oui Liège ^^

    je donne cours là je re ^^

    Merci pour les éclaircissements.