Traque sur internet
Niveau :
Résumé : conntrack
I’m back !
Désolé de vous avoir fait attendre, j’étais en quelque sorte en vacances.
Firewall
Cette fois nous allons parler de firewall. Comme vous le savez, netfilter, le firewall intégré à linux, est statefull par défaut. Ce qui veut dire que si on ne lui dit pas de ne pas le faire, il trace l’état de toutes les connexions qui le traversent. C’est grâce à cela qu’il sait filtrer les connexions avec des règles “simples” ou qu’il est capable de filtrer proprement le ftp.
Pour cela il garde en mémoire une table des connexions établies, qu’il peut communiquer au reste du monde, autrement appelé espace utilisateur. Il expose ces infos dans /proc/net/ip_conntrack* (entre autre, mais n’hésitez pas à regarder le contenu de ce répertoire pour plein de choses intéressantes).
La commande conntrack, du paquet éponyme sert à manipuler la table en question. Toute machine ayant un firewall, ou presque, on peut s’amuser à l’utiliser sur son PC. Mais c’est bien plus rigolo de faire ça sur un routeur ;->
D’ailleurs, si vous avez un serveur qui ne fait pas firewall et qui gère beaucoup de connexions (un serveur de twitter par exemple), vous pouvez désactiver le “connection tracking” pour soulager le noyau de cette tâche. Mais il faut entièrement désactiver le module, ce qui n’est pas des plus simple.
Conntrack
D’abord, commençons par lister les connexions connues :
$ conntrack -L
Pour une machine qui ne fait pas routeur, la liste est similaire à celle obtenue par netstat -atu. Notez les informations intéressantes : état de la connexion, détail de la connexion (remarquez la répétition nécessaire pour le NAT), et surtout nombre de paquets et d’octets passés par cette connexion. Ce compteur peut être réinitialisé avec l’option -z de conntrack :
$ conntrack -L -z
Pratique quand on veut détecter les changements.
Vous pouvez aussi regarder ce qui se passe en direct sur votre routeur :
$ conntrack -E
Mais lisez bien le manuel, pour limiter la sortie, car sur un vrai routeur, il faut filtrer. Man conntrack contient toutes les explications.
Et le plus rigolo sur un routeur partagé, on enlève l’entrée :
# Attention, il faut tout spécifier pour être sûr qu'on parle de la bonne connexion $ conntrack -D -s 1.2.3.4 -d 4.3.2.1 -p tcp --orig-port-src 5678 --orig-port-dst 22
Cela devrait couper la connexion si le firewall est bien configuré (et probablement aussi s’il est mal configuré). C’est tout de même moins artisanal que l’ancienne technique.