[Linux][iptables] Questions filtrage chaîne INPUT

Version imprimable

10/02/2020, 20h59
hurukan

[Linux][iptables] Questions filtrage chaîne INPUT

Bonjour,

J'ai fait une petite démonstration bien gentille du rôle d'un pare-feu dans ma classe, cependant je me demande si ce serait possible
de limiter/filtrer les paquets qui arrivent comme ceux-ci:

https://photos.app.goo.gl/kNvNeuRjC568xwXQ7

Ma règle iptables ressemble à ceci:

Code:

iptables -A INPUT -i eth0 -m pkttype --pkt-type broadcast -d 172.16.31.255 -j DROP

Concernant les paquets qui semblent indiquer du broadcast ou du multicast... je voudrais qu'ils ne soient même plus listés par "iptraf" le logiciel en mode console qui fait
plus ou moins comme wireshark.

1. Est-ce possible ?
2. Est-ce que cette règle a un sens ou devrais-je m'y prendre autrement (ces paquets sont arrêtés et n'inondent pas le réseau interne qui est connecté sur eth1) ?
Dans cette règle je pense indiquer que les paquets de type broadcast à destination de tout le réseau 172.16.31.255 (172.16.0.0/12) qui arrivent sur eth0 doivent être "droppés"...
Si je spécifie une règle qui "droppe" tous les paquets dont la source est l'une des machines émettant les paquets sur 137 et 5353 est-ce que cela aurait plus de sens ?
11/02/2020, 09h08
becket

Cela fonctionne pas en faisant un filtre dans iptraf ?
11/02/2020, 19h03
hurukan

En fait ce que je voudrais c'est convaincre mon collègue administrateur que ce n'est pas normal ce "flood" incessant de paquets 137 et 5353.
Je pense qu'un switch bien configuré avec des VLAN et le protocole GPT activé pour détecter les boucles devrait améliorer les performances des services réseau.
A défaut je peux taper une linux box à la sortie de chaque classe où il y a des machines windows qui tournent à l'intérieur.
11/02/2020, 19h21
becket

137, c'est du netbios ( partage de fichier windows )
5356, c'est du multicast DNS

Et si tu étais confronté à une tempête, c'est tout ton réseau qui serait inopérant :)
13/02/2020, 07h19
hurukan

Bin en fait je trouve bizarre que les serveurs 'crosoft et les différents switches dans l'école ne discardent pas les messages broadcast qui ne leurs sont pas destinés, résultat: bon c'est pas alarmant en soi,
mais sur une ou deux minutes de "monitoring" je reçois pas moins de 24.000 packets de type broadcast. Je referais une photo cet aprem, je vais donner cours dans qqs minutes.

Il y a un domaine AD dans l'école, moi je ne l'utilise pas dans mon labo, les élèves travaillent sur linux 100% du temps on a pas besoin d'AD.
J'utilise SMB en interne (réseau local) pour centraliser les travaux des élèves, ils ont tous un "disque" monté à l'ouverture de leur session.

Quand on télécharge des images de Linux par exemple notre "bande passante" se situe entre 2 Mo/s et 11 Mo/s avec une moyenne, de 7Mo/s ce qui n'est pas mal.
Dans les autres classes quand je fais du dépannage de collègues, dans le même réseau (je veux dire connecté à la même box), nous oscillons entre 500 ko/s et 1 Mo/s mais je ne sais pas si au niveau d'AD on aurait pas "bridé"
la connection comme Squid le ferait. J'ai demandé à ma collègue mais elle n'a pas su me répondre. Ce que je sais c'est que pour aller sur internet les élèves passent par un proxy dont l'adresse est configurée dans un "template" pour AD.
13/02/2020, 08h33
becket

Citation:

Envoyé par hurukan

Bin en fait je trouve bizarre que les serveurs 'crosoft et les différents switches dans l'école ne discardent pas les messages broadcast qui ne leurs sont pas destinés, résultat:

Ce n'est pas leur rôle, c'est le role d'un routeur.

Citation:

Envoyé par hurukan

Il y a un domaine AD dans l'école, moi je ne l'utilise pas dans mon labo, les élèves travaillent sur linux 100% du temps on a pas besoin d'AD.
J'utilise SMB en interne (réseau local) pour centraliser les travaux des élèves, ils ont tous un "disque" monté à l'ouverture de leur session.

Quand on télécharge des images de Linux par exemple notre "bande passante" se situe entre 2 Mo/s et 11 Mo/s avec une moyenne, de 7Mo/s ce qui n'est pas mal.
Dans les autres classes quand je fais du dépannage de collègues, dans le même réseau (je veux dire connecté à la même box), nous oscillons entre 500 ko/s et 1 Mo/s mais je ne sais pas si au niveau d'AD on aurait pas "bridé"

Très improbable. C'est bien trop compliqué à mettre en oeuvre et cela n'apporte aucune plus-value.
Une limitation sur base du type de trafic ou de l'adresse ip/range serait beaucoup plus cohérente

Lorsque l'on parle d'une école, on a tendance à penser à la mauvaise qualité d'un élément plutôt qu'une volonté de limitation.

Citation:

Envoyé par hurukan

la connection comme Squid le ferait. J'ai demandé à ma collègue mais elle n'a pas su me répondre. Ce que je sais c'est que pour aller sur internet les élèves passent par un proxy dont l'adresse est configurée dans un "template" pour AD.

Dans ce cas, il faut simplement vérifier / comparer les vitesse avec et sans le proxy car de toute évidence, il est possible d'aller sur internet sans passer par le proxy.

Liège ?
13/02/2020, 09h24
hurukan

oui Liège ^^

je donne cours là je re ^^

Merci pour les éclaircissements.