Linux : interdire ICMP

[jf21]

Bonjour,

Je viens d'installer une clé 3G SFR sur mon portable sous Linux Mint et j'ai essayé un test de sécurité du firewall chez GRC et aussi bien sûr sur Zebulon. Si tous mes ports sont bien fermés, je n'arrive pas malgré mes tentatives à les masquer. J'ai essayé avec GUFW , Firestarter et aussi Guarddog. Rien n'y fait j'ai toujours mes ports fermés mais je n'arrive pas à les masquer.

Merci de me conseiller car je ne me sens pas très rassuré !

Modifié le 28 juin 2010 par jf21

[Pang]

Bonsoir jf,

 

Si les ports sont fermés, il n'y a pas de stress à avoir.

 

mais je n'arrive pas à les masquer.

En fait masquer des ports ça ne veut pas dire grand chose.

Si tu veux que "les ports soient vu comme masquées" (bizarre comme phrase mais c'est ça) il suffit de régler iptable (le pare feu de linux) pour lui dire de ne pas répondre au ping.

 

Ceci dit, 1 dans ce cas de figure ça ne sert à rien et de deux je sais pas comment on fait

 

Si tu veux vraiment te lancer dans cette formidable aventure, édite ton premier post et change le titre en :

Linux : interdire ICMP

 

Si ça t'intéresse vraiment, on peut essayer de faire déplacer ton post dans la section appropriées.

 

@ +

Modifié le 27 juin 2010 par Pang

[jf21]

Merci Pang pour ta réponse. Ce matin, j'y ai pensé à bloquer la réponse au ping mais là je n'ai pas le temps de le faire. Je chercherai ce soir soit la commande pour le faire (elle doit être toute bête), soit je réinstallerai Firestarter qui permet de manière graphique de configurer le pare-feu du noyau Linux. Je posterai le résultat de mes opérations.

Je viens également de tenter cette manip mais cela ne change rien :

"Par défaut UFW autorise les requêtes de ping (ICMP Echo Requests). Il faut éditer /etc/ufw/before.rules et commenter en ajoutant un "#" à la ligne suivante :

# -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT"

 

Modifié le 28 juin 2010 par jf21

[Zonk]

Salut jf21

Est ce que tu as un routeur ???...si oui alors n'oublie pas que c'est ce matériel qui est soumis au test. Si tu n'as pas de routeur sache que ce matériel (bien configuré ) renforce beaucoup la sécurité a ce niveau.

@+

[jf21]

Bonjour Zonk,

Non, je ne passe pas par un routeur car je me connecte avec une clé 3G de SFR (le modèle de ZTE).

@++

[Zonk]

Je ne connait pas ce matériel et sa fonction ...mais ca me donne l'impression que tu dois avoir besoin d'une "box" pour interagir

...si oui est ce que cette box a un pare-feu intégré ??

@+

[Pang]

Non, c'est une clé qui fonctionne sur le réseau 3G (comme les téléphone portable et smartphone avec des relais et tout). Pas moyen d'interagir

[Greywolf]

dans la table filter

une cible iptables à DROP rend le port "masqué"

une cible iptables à REJECT rend le port fermé (notification à l'envoyeur d'un paquet adéquat en fonction du protocole utilisé)

une cible iptables à ACCEPT ouvre le port

 

et ça n'a que peu de choses à voir avec l'ICMP (même si les scanners automatiques testent d'abord la réponse au ping d'un hôte). On peut très bien avoir ses ports TCP et UDP masqués et répondre aux ICMP echo-request (même si dans la pratique, c'est ballot)

 

Pour ignorer tous les icmp

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 

à modifier dans /etc/sysctl.conf pour pérenniser l'action (ou dans un script rc.local)

[jf21]

Bonjour Greywolf,

Merci pour ta réponse, je viens de modifier le fichier syscti.conf en y ajoutant la ligne que tu m'as indiquée, Malheureusement, cela ne change rien...

Je vais toutefois continuer mes recherches, même si mes connaissances sont extrêmement limitées (je suis juriste de formation et pas informaticien ! )

[Greywolf]

dans sysctl.conf la syntaxe serait

net.ipv4.icmp_echo_ignore_all = 1

man sysctl.conf

 

ceci dit, ça ne devrait pas modifier le fait que ton firewall ne droppe pas les requêtes. Quelles sont les politiques par défaut de tes tables netfilter?

iptables -L |grep policy