Pages: 1 2 3 4 5 6 [7]   En bas

Auteur Sujet: [TUTO] Remplacer Livebox par routeur UNIFI IPV4+6 NO MODS + TV via MOD  (Lu 19351 fois)

Optix et 1 Invité sur ce sujet

Fyr

  • Abonné Free fibre
  • *
  • Messages: 1 312
  • Talissieu 01
[TUTO] Remplacer Livebox par routeur UNIFI IPV4+6 NO MODS + TV via MOD
« Réponse #72 le: Hier à 20:43:10 »
Citation de: simon le Hier à 09:54:23
[...]
Dans ces cas là, notrack est très utile.

euh... on peut mettre  sur un Unifi le timeout des contextes du firewall à zéro
IP archivée

canope

  • Abonné Orange Fibre
  • *
  • Messages: 122
  • Asnières (92)
[TUTO] Remplacer Livebox par routeur UNIFI IPV4+6 NO MODS + TV via MOD
« Réponse #73 le: Hier à 22:25:53 »
Citation de: simon le Hier à 09:54:23
Pour des serveurs NTP, le connection tracking ne sert à rien à part consommer des entrées dans une table. C'est un paquet UDP de requête, un paquet de réponse, basta, plus rien pendant 30min-1h de la part du client, et encore.. si il n'a pas changé d'IP d'ici là.
Dans ces cas là, notrack est très utile.

Tout à fait Thierry Simon, mais ça ce n’est qu’une partie des trucs à faire  ::)
IP archivée

simon

  • Abonné Orange Fibre
  • *
  • Messages: 1 925
[TUTO] Remplacer Livebox par routeur UNIFI IPV4+6 NO MODS + TV via MOD
« Réponse #74 le: Aujourd'hui à 10:05:53 »
Citation de: Fyr le Hier à 20:43:10
euh... on peut mettre  sur un Unifi le timeout des contextes du firewall à zéro
0 dans le sens expire de suite ou n'expire jamais? Un timeout de ~50ms-1s  peut probablement fonctionner pour le traffic NTP, je suppose. Notrack, c'est plus propre, mais il faut pouvoir le spécifier en effet.

Par contre, ce réglage, c'est global ou ca se fait règle par règle? Car si c'est global, ca risque de ne pas être top.
IP archivée

Fyr

  • Abonné Free fibre
  • *
  • Messages: 1 312
  • Talissieu 01
[TUTO] Remplacer Livebox par routeur UNIFI IPV4+6 NO MODS + TV via MOD
« Réponse #75 le: Aujourd'hui à 16:30:44 »
Citation de: simon le Aujourd'hui à 10:05:53
0 dans le sens expire de suite ou n'expire jamais? Un timeout de ~50ms-1s  peut probablement fonctionner pour le traffic NTP, je suppose. Notrack, c'est plus propre, mais il faut pouvoir le spécifier en effet.

Par contre, ce réglage, c'est global ou ca se fait règle par règle? Car si c'est global, ca risque de ne pas être top.

illimité l'OS va avoir des vapeurs assez rapidement. Non c'est pas de conservation du contexte. C'est en global sur l'interface Unifi, par type de protocole (ICMP,UDP...) ou état de la connexion TCP (SYN, FIN WAIT etc.). Après tu prends pas un Unifi pour aller gratter des IPTABLE à la main en SSH.

Corollaire : je vais choquer un paquet de monde, mais quand tu offres un service tu mets son IP publique en direct sur Internet. Et pour deux raisons :
1 - tu maitrises ton OS ton serveur est une brique au delà du port du service que tu souhaites offrir et n'a aucun risque y a rien qui écoute ur d'autres ports.
2 - si ton firewall ne vérifie pas que c'est bien du NTP dans le paquet entrant et du NTP/UDP propre il ne sert strictement à rien en se contentant de bêtement transmettre le paquet. La NAT est le degrés zéro de la sécu.


Le tracking c'est plutôt quand on doit aller dans le paquets et changer l'IP source pour des protocoles qui ne supporte pas la NAT (SIP, GRE,FTP...) et qu'on doit surveiller le paquet de réponse pour l'acheminer à la bonne machine source
IP archivée

simon

  • Abonné Orange Fibre
  • *
  • Messages: 1 925
[TUTO] Remplacer Livebox par routeur UNIFI IPV4+6 NO MODS + TV via MOD
« Réponse #76 le: Aujourd'hui à 18:13:58 »
Citation de: Fyr le Aujourd'hui à 16:30:44
quand tu offres un service tu mets son IP publique en direct sur Internet.
Je suis assez d'accord, mais c'est orthogonal avec le fait d'avoir un équipement qui fait du filtrage devant à mon sens.

Citation de: Fyr le Aujourd'hui à 16:30:44
1 - tu maitrises ton OS ton serveur est une brique au delà du port du service que tu souhaites offrir et n'a aucun risque y a rien qui écoute ur d'autres ports.
Defense in depth.

Citation de: Fyr le Aujourd'hui à 16:30:44
2 - si ton firewall ne vérifie pas que c'est bien du NTP dans le paquet entrant et du NTP/UDP propre il ne sert strictement à rien en se contentant de bêtement transmettre le paquet.
Si il applique une bête ACL qui autorise 123/udp à passer dedans, ca filtre tout le reste. Ce n'est pas inutile, même si ca n'inspecte pas ce qu'il y a dedans ?

Citation de: Fyr le Aujourd'hui à 16:30:44
La NAT est le degrés zéro de la sécu.
Entre un firewall qui fait default inbound drop et du NAT, pas de différence.

Citation de: Fyr le Aujourd'hui à 16:30:44
Le tracking c'est plutôt quand on doit aller dans le paquets et changer l'IP source pour des protocoles qui ne supporte pas la NAT (SIP, GRE,FTP...) et qu'on doit surveiller le paquet de réponse pour l'acheminer à la bonne machine source
Je suis d'accord qu'un routeur doit router et être aussi stateless que possible.

On peut ceci dit vouloir faire du conntrack pour autoriser les flux dans une direction et non dans l'autre, par exemple. Dans ce cas, avoir le contexte pour permettre au firewall de discerner les paquets entrants liés à une connexion initiée depuis l'intérieur de ceux qui n'ont pas été sollicités est utile.

Je mentionnais uniquement le tracking car c'est ce qui se passe par défaut avec nftables sous linux (ce n'était pas le cas avec iptables) : par défaut, il y a création d'un contexte pour chaque flux traversant le routeur, même si on ne fait pas de filtrage sur l'état du flux, donc il fait du conntrack dans tous les cas. Je ne sais pas ce qu'il fait des paquets si la table overflow.

Note que je ne parle aucunement de NAT ici. Le NAT est une construction qui vient au dessus de cette table de connection tracking.
IP archivée
Pages: 1 2 3 4 5 6 [7]   En haut