Couper les connexions réseaux "ESTABLISHED" - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 18-08-2005 à 17:46:51
si tu fais lsof -i | fgrep "TCP" | fgrep ESTABLISHED | awk '{print $2}'
tu as les différents PID des programmes avec des connexions établies -> kill
Marsh Posté le 18-08-2005 à 17:48:16
Et pour les process qui ne s'exécutent pas sur le firewall, tu fais comment
ie: forwarding
Marsh Posté le 18-08-2005 à 17:50:35
ah je n'y avais pas pensé
Avec iptables et conntrack tu devrais pouvoir filtrer les paquets d'une connexion puis de les dropper.
Marsh Posté le 18-08-2005 à 17:52:24
De manière plus claires:
Soit un firewall qui sert de "gateway" et qui protège un LAN. la connexion à internet se fait par une liaison ethernet donc pas de ppp...
Je cherche à flusher toutes les connections existantes (/proc/net/ip_conntrack) lorsque j'installe de nouvelle règles iptables.
Marsh Posté le 18-08-2005 à 17:54:04
jlighty a écrit : Avec iptables et conntrack tu devrais pouvoir filtrer les paquets d'une connexion puis de les dropper. |
Ouai mais ca risque d'être lourd
Marsh Posté le 18-08-2005 à 17:55:24
ReplyMarsh Posté le 18-08-2005 à 17:55:41
Si tu bloques tout le traffic pendant un certain temps (dépend de la valeur du timeout du socket), les connexions devraient passer de ESTABLISHED à CLOSE_WAIT
Marsh Posté le 18-08-2005 à 17:57:02
par défaut le timeout est de 5 minutes
J'ai pas trop envie de couper tous les acces pendant 5 minutes
Marsh Posté le 18-08-2005 à 17:58:38
doit bien y avoir une valeur à modifier dans /proc/sys/net/ipv4/
Marsh Posté le 18-08-2005 à 17:58:59
C'est la méthode la moins bourrine puisque tu ne peux pas communiquer directement avec les programmes (signal terminate).
Marsh Posté le 18-08-2005 à 18:00:30
la seule solution "correcte" que j'ai c'est de mettre une regle iptables qui matche sur l'état NEW,ESTABLISHED,RELATED pour chaque port que j'ouvre. Du coup quand j'enleve cette regle le trafic est bien coupé. Mais ca surcharge, a chaque fois tous les packets se bouffe une bonne partie des regles avant de matcher.
Je prefere mettre une regle ESTABLISHED/RELATED au début.
Marsh Posté le 18-08-2005 à 18:04:12
plutôt tcp_keepalive_time, tu coupes tout le traffic est tu mets la variable à 1.
http://maconlinux.net/linux-man-pages/fr/tcp.7.html
Marsh Posté le 18-08-2005 à 18:05:18
tout est expliqué là, dans les sources du kernel :
Documentation/networking/ip-sysctl.txt
Marsh Posté le 18-08-2005 à 18:11:44
Si on est obligé de taper dans /proc/ je pencherais plutot pour les variables dans /proc/sys/net/ipv4/netfilter
Marsh Posté le 18-08-2005 à 18:27:38
non
En fait, apres quelques recherches dans les newsgroups il faudrait décharger les modules de conntrack et les reloader. Ce qui aurait pour effet de flusher les tables.
https://lists.netfilter.org/piperma [...] 57691.html
edit: et ca marche
Marsh Posté le 18-08-2005 à 17:42:45
Bonjour,
il y a quoi comme technique pour couper toutes les connexions réseaux existantes (established) sur un linux/debian (de manière propre bien sur).
J'ai vu qu'il existait cutter mais je trouve ca un brin bourrin et ne marche pas tout le temps.
Je pensais qu'avec un ifconfig eth0 down/ifdown eth0 les connections relatives à eth0 soient coupées mais non
Le but étant qu'à l'installation de mes règles iptables toutes les connexions existantes soient jartées.
Si d'autres solutions existes, je suis preneur
merci