Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-02-02 Par sujet Radu-Adrian Feurdean
On Thu, Jan 31, 2013, at 18:06, Simon Perreault wrote:
 Il y a des distros où conntrack n'est pas un module et n'est pas 
 désactivable.
 
 *tousse* Fedora *tousse*

Je n'ai pas verifie TOUS les release entre FC5 et FC18, mais il y e a un
bon paquet de ces releases ou conntrack est en module. Vu la philosophie
et l'heritage (RedHat avec modules a gogo), je ne vois pas pourquoi ca
ne sera pas le cas des autres releases que je n'ai pas pu verifier
personellement. 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-02-01 Par sujet Rémi Laurent
* Laurent CARON - 31-01-2013 à 20h56:

 On 31/01/2013 16:16, Rémi Laurent wrote:
 D'ailleurs si sur la liste il y a des expériences avec OpenBSD/pf et
 du routing asymétrique, je suis intéressé d'avoir leur retour ;)
 
 Bonsoir,
 
 Le routage asymétrique fonctionne bien avec OpenBSD/OpenBGPd/pf si
 tu utilises l'option defer sur ton interface pfsync
 
 [...] 

 Je l'utilise pour 4 routeurs (2 groupes de 2 en actif/passif) afin
 de pouvoir avoir les mêmes états sur les 4 machines.
 
 Mes 0.02€

Merci pour le retour,

j'avoue ne jamais avoir utilisé defer pour autre chose que des tests, le
point qui me faisait peur c'est que finalement chaque routeur va avoir
la totalité des states de tous ses congénères en plus des siens; je
suppose que ça peut rester gérable avec deux ou trois routeurs mais ça
va vite exploser. Sans compter que ce n'est plus un seul, mais tous les
routeurs qui vont commencer à jeter des connexions si la 'states limit'
est atteinte en cas de l'un ou l'autre D?DoS.

J'ai finalement l'impression que le fait de n'avoir aucune possibilité
de faire du filtering stateless sous pf est assez dommageable dans
certains scénarios.

-- 
Rémi Laurent

  Phone: +352 26 10 30 61
  General Support: supp...@conostix.com
  GPG FP: 27F4 6810 2B0E 1AA0 CDAE  7C7B 3DC9 085A 0FA0 0601


signature.asc
Description: Digital signature


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-02-01 Par sujet Simon Perreault

Le 2013-01-31 21:43, Julien Lollivier a écrit :

Simon Perreault simon.perrea...@viagenie.ca (31/01/2013 18:06) :

Il y a des distros où conntrack n'est pas un module et n'est pas
désactivable.

*tousse* Fedora *tousse*


Ça doit toucher certaines versions de la Fedora uniquement, parce que
sous toutes celles que j'ai sous la main, même des vieilleries (FC4 ..)
j'ai bien un nf_conntrack ou un ip_conntrack.


Après vérification sur un F16, je suis content de voir que ça a changé! :)

Sur F14 c'était compilé direct dans le kernel.

Simon


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-02-01 Par sujet Jimmy Thrasibule
 Plus precisement :
 rm -f `locate conntrack.ko`
 sinon, le module risque d'etre charge automatiquement avec un simple
 iptables -L

Il vaut mieux jouer avec modprobe.conf et blacklister le module car à
la prochaine mise à jour, il sera de nouveau installé.


Jimmy



---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Antoine Durant
Bonjour,
 
Je me demande si d’installer et configurer un iptables sur un routeur BGP 
Quagga (debian) est une bonne chose ?
Est-ce que cela ne vas pas ralentir le routage ?

Si vous mettez un iptables sur vos routeurs soft, comment configurez-vous votre 
firewall ?
 
En gros se serait aussi pour essayer de limiter la casse en cas de DDOS et 
autre... Je ne sais pas trop trop si cela changera quelque chose mais bon !
 
Je suis vivement intéressé de divers retours d’expériences sur le sujet !

Merci.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Guillaume Rousseau

Le 31/01/2013 14:46, Antoine Durant a écrit :

Je me demande si d’installer et configurer un iptables sur un routeur BGP 
Quagga (debian) est une bonne chose ?
Est-ce que cela ne vas pas ralentir le routage ?

Si vous mettez un iptables sur vos routeurs soft, comment configurez-vous votre 
firewall ?
  
En gros se serait aussi pour essayer de limiter la casse en cas de DDOS et autre... Je ne sais pas trop trop si cela changera quelque chose mais bon !
Un avis très bref, prudence. En faisant ça, tu pourrais très bien te 
retrouver avec ton routeur par terre lors d'une attaque (donc 
potentiellement tout ton réseau si tu fais ça sur chacun de tes 
routeurs), là où certaines attaques n'auraient seulement fait tomber 
qu'un seul serveur à l'intérieur de ton réseau... Tout dépend de 
l'attaque, et des performances de ta machine...

--
Guillaume Rousseau


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Christophe Baegert
Bonjour,
Le 31/01/2013 14:46, Antoine Durant a écrit :
 Je me demande si d’installer et configurer un iptables sur un routeur BGP 
 Quagga (debian) est une bonne chose ?
 Est-ce que cela ne vas pas ralentir le routage ?

Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus
sûr est de faire un lsmod|grep conntrack. S'il est activé, on court à
la catastrophe.

Cordialement,

Christophe


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Antoine Durant
Ouep... Je comprends en effet le conntrack qui pourra écrouler la machine 
facilement...
 
Donc en gros pas de firewall sur un routeur, mais quelle protection est-il 
possible de mettre en place sans forcément plomber le serveur ?
 


 De : Christophe Baegert c.baegert-lis...@lixium.fr
À : Antoine Durant antoine.duran...@yahoo.fr 
Cc : frnog-t...@frnog.org frnog-t...@frnog.org 
Envoyé le : Jeudi 31 janvier 2013 15h02
Objet : Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
  
Bonjour,
Le 31/01/2013 14:46, Antoine Durant a écrit :
 Je me demande si d’installer et configurer un iptables sur un routeur BGP 
 Quagga (debian) est une bonne chose ?
 Est-ce que cela ne vas pas ralentir le routage ?

Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus
sûr est de faire un lsmod|grep conntrack. S'il est activé, on court à
la catastrophe.

Cordialement,

Christophe


---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Christophe Baegert
Le 31/01/2013 15:41, Antoine Durant a écrit :
 Donc en gros pas de firewall sur un routeur, mais quelle protection
 est-il possible de mettre en place sans forcément plomber le serveur ?


Si, le firewall c'est bon sans le conntrack, mais c'est moins pratique,
forcément...

Christophe



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Simon Morvan
Le 31/01/2013 15:44, Christophe Baegert a écrit :
 Le 31/01/2013 15:41, Antoine Durant a écrit :
 Donc en gros pas de firewall sur un routeur, mais quelle protection
 est-il possible de mettre en place sans forcément plomber le serveur ?

 Si, le firewall c'est bon sans le conntrack, mais c'est moins pratique,
 forcément...
Cela dit, avec conntrack (sous linux, ou 'keep state' sous pf/openbsd)
c'est pénible en cas de routage asymétrique (non rare dans un contexte
de routeur BGP).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Simon Perreault

Le 2013-01-31 15:44, Christophe Baegert a écrit :

Le 31/01/2013 15:41, Antoine Durant a écrit :

Donc en gros pas de firewall sur un routeur, mais quelle protection
est-il possible de mettre en place sans forcément plomber le serveur ?


Si, le firewall c'est bon sans le conntrack, mais c'est moins pratique,
forcément...


Faux.

Voir l'article fondateur de pf:
http://www.benzedrine.cx/pf-paper.pdf

The benchmarks show that the lower cost of state
table lookups compared to the high cost of rule set
evaluations justify creating state for performance
reasons. Stateful filtering not only improves the
quality of the filter decisions, it effectively improves
filtering performance.

Simon


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Rémi Laurent
* Simon Morvan - 31-01-2013 à 15h50:

 Le 31/01/2013 15:44, Christophe Baegert a écrit :
  Le 31/01/2013 15:41, Antoine Durant a écrit :
  Donc en gros pas de firewall sur un routeur, mais quelle protection
  est-il possible de mettre en place sans forcément plomber le serveur ?
 
  Si, le firewall c'est bon sans le conntrack, mais c'est moins pratique,
  forcément...
 Cela dit, avec conntrack (sous linux, ou 'keep state' sous pf/openbsd)
 c'est pénible en cas de routage asymétrique (non rare dans un contexte
 de routeur BGP).

Je confirme, avec OpenBSD c'est même particulièrement pénible.

- avec keep state, asymétrie impossible
- avec no state, déjà eu des surprises au niveau du window scaling sur
  du routing asymétrique.
- avec sloppy state, tout va bien, mais ça mange des states comme pour
  rigoler; à voir en jouant avec 'set timeout' pour trouver un
  équilibre.

D'ailleurs si sur la liste il y a des expériences avec OpenBSD/pf et
du routing asymétrique, je suis intéressé d'avoir leur retour ;)

-- 
Rémi Laurent

  Phone: +352 26 10 30 61
  General Support: supp...@conostix.com
  GPG FP: 27F4 6810 2B0E 1AA0 CDAE  7C7B 3DC9 085A 0FA0 0601


signature.asc
Description: Digital signature


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Christophe Baegert
Le 31/01/2013 16:16, Simon Perreault a écrit :
 Faux.
 
 Voir l'article fondateur de pf:
 http://www.benzedrine.cx/pf-paper.pdf

Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On
parle d'un routeur BGP là !!!

C'est toute la différence entre la théorie et la pratique. Peut-être
faux en théorie, mais vrai en pratique.

Cordialement,

Christophe


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Simon Perreault

Le 2013-01-31 16:22, Christophe Baegert a écrit :

Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On
parle d'un routeur BGP là !!!


1. Il n'a pas été dit que le routeur BGP passait du trafic. Peut-être ne 
fait-il que du BGP (e.g. un route reflector).


2. Pas besoin de stocker *tous* les flux en mémoire pour bénéficier de 
l'accélération. Juste à spécifier une limite de mémoire raisonnable, et 
quand la limite est atteinte on élimine l'état le plus vieux. Et il faut 
permettre à tous les types de paquet de créer un état. La table d'état 
est alors utilisée comme une cache LRU.


Simon


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Xavier Beaudouin
Hello,

Le 31 janv. 2013 à 16:22, Christophe Baegert c.baegert-lis...@lixium.fr a 
écrit :

 Le 31/01/2013 16:16, Simon Perreault a écrit :
 Faux.
 
 Voir l'article fondateur de pf:
 http://www.benzedrine.cx/pf-paper.pdf
 
 Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On
 parle d'un routeur BGP là !!!
 
 C'est toute la différence entre la théorie et la pratique. Peut-être
 faux en théorie, mais vrai en pratique.


3To de Ram. tout de suite... :D
Bon des becannes avec 4Go de RAM en 64bits c'est assez standard... 
Donc vu que quagga ne s'amuse pas à manger ces 4Go pour une ou plusieurs full 
view, normalement ça doit passer.

Pour revenir au sujet, il vaux mieux limiter l'usage du firewall *sauf* pour 
le control panel : en gros l'accès au ssh.

Si vous utiliser openbsd pf, pourquoi se faire c...r avec quagga alors que 
openBGPd est largement plus économique en mémoire?

Autre detail : attention au routage asymetrique. Bon si tu n'as qu'un routeur 
avec qu'un upstream, alors le firewall peux passer Autrement, attention au 
sciage de branche ou tu es assis.

Xavier



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Raphael Mazelier

Le 31/01/2013 16:31, Xavier Beaudouin a écrit :


Pour revenir au sujet, il vaux mieux limiter l'usage du firewall *sauf* pour 
le control panel : en gros l'accès au ssh.

Si vous utiliser openbsd pf, pourquoi se faire c...r avec quagga alors que 
openBGPd est largement plus économique en mémoire?


Certe mais niveau fonctionnalité c'est un poil plus limité quand même.
Meme sous OpenBSD je conseille Bird.

Concernant le sujet initial pas de firewall sur des routeurs, sauf 
volumes très faibles.


--
Raphael Mazelier




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Frederic Dhieux
Le 1/31/13 4:22 PM, Christophe Baegert a écrit :
 Le 31/01/2013 16:16, Simon Perreault a écrit :
 Faux.

 Voir l'article fondateur de pf:
 http://www.benzedrine.cx/pf-paper.pdf
 Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On
 parle d'un routeur BGP là !!!

 C'est toute la différence entre la théorie et la pratique. Peut-être
 faux en théorie, mais vrai en pratique.
Ca dépend surtout de quelle partie on souhaite saturer en traitement
(mémoire/CPU/IO) et de l'impact (deny de service, ralentissement, perte
complète du système). C'est une question de limite sur chaque partie,
sachant que la mémoire est surement encore le truc qui s'upgrade le plus
facilement mais aussi ce qui se remplit le plus facilement. Donc c'est
effectivement très dépendant du contexte en pratique, mais aussi du type
d'attaques parfois. Si un mec s'amuse à lancer des SYN d'établissement
en masse, c'est sûr que l'optimisation d'une connexion TCP déjà établie
ça fait une belle jambe...

Et pour moi autant que possible : 1 équipement = 1 fonction. Mettre du
firewalling sur un routeur qui gère le BGP du réseau, ça me choque un
peu. Forcément si on parle d'une petite plateforme, c'est envisageable,
mais c'est pas super propre je trouve. Surtout sur 2 fonctions qui
peuvent engendrer de la charge chacune.

Quelques ACL sur le routeur et un vrai firewalling derrière ça me semble
un bien meilleur équilibre. Quand ça blinde, c'est bien plus facile
d'isoler la cause et de réduire les actions à entreprendre pour gérer la
situation.

Surtout quand à la base il s'agit d'un Linux avec iptables et non d'un
BSD avec pf.

My 2 cents,
Frederic



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Xavier Beaudouin
Hello,

Le 31 janv. 2013 à 16:34, Raphael Mazelier r...@futomaki.net a écrit :

 Le 31/01/2013 16:31, Xavier Beaudouin a écrit :
 
 Pour revenir au sujet, il vaux mieux limiter l'usage du firewall *sauf* 
 pour le control panel : en gros l'accès au ssh.
 
 Si vous utiliser openbsd pf, pourquoi se faire c...r avec quagga alors que 
 openBGPd est largement plus économique en mémoire?
 
 Certe mais niveau fonctionnalité c'est un poil plus limité quand même.

Il manque quoi ?  A part ISIS (alpha / beta sur Quagga) openBGP + OpenOSPF 
suffisent. 
Tu peux meme jouer avec LDP si tu veux.

J'ai plutôt detecté des bugs non résolus chez Quagga et une lenteur de 
convergence 

 Meme sous OpenBSD je conseille Bird.

Si Bird faisais de l'ISIS je le conseillerais aussi :p

 Concernant le sujet initial pas de firewall sur des routeurs, sauf volumes 
 très faibles.


:)

/Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Antoine Durant
Bonsoir,
 
Pour appronfondir et répondre aux questions :
Il sagit d'un routeur (pas route reflector) qui a deux transitaires.
 
Architecture 64 Bits
2Go de Ram DDR3-1066 Mhz
1 Intel xeon E5530 à 2.40Ghz (4 Core, 8 Mega de cache)
2 disques sata
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Simon Perreault

Le 2013-01-31 17:14, Antoine Durant a écrit :

Pour appronfondir et répondre aux questions :
Il sagit d'un routeur (pas route reflector) qui a deux transitaires.

Architecture 64 Bits
2Go de Ram DDR3-1066 Mhz
1 Intel xeon E5530 à 2.40Ghz (4 Core, 8 Mega de cache)
2 disques sata


Ça fait juste renforcer le consensus: pas de firewall sur un routeur. :)

Simon


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Radu-Adrian Feurdean
On Thu, Jan 31, 2013, at 15:02, Christophe Baegert wrote:

 Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus
 sûr est de faire un lsmod|grep conntrack. S'il est activé, on court à
 la catastrophe.

Plus precisement :
rm -f `locate conntrack.ko`
sinon, le module risque d'etre charge automatiquement avec un simple
iptables -L

Il faut aussi retenir le fait que les flux peuvent ne pas passer par le
meme chemin dans les deux sens.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Simon Perreault

Le 2013-01-31 17:41, Radu-Adrian Feurdean a écrit :

Plus precisement :
rm -f `locate conntrack.ko`
sinon, le module risque d'etre charge automatiquement avec un simple
iptables -L


Il y a des distros où conntrack n'est pas un module et n'est pas 
désactivable.


*tousse* Fedora *tousse*

Simon


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Antoine Durant
Bon, pas de firewall sur un routeur !!
 
le fait du supprimer directement conntrack.ko cela va-t'il pas poser des 
problèmes ? Est-ce que lorsque on va taper iptables -L; iptables va pas être en 
erreur du fait qu'il essayera de charger conntrack.ko ???
 
Est-ce qu'un modprobe -r ou un blacklist (/etc/modprobe.d/blacklist.conf) du 
ip_conntrack est pas une meilleure idée ?
 


 De : Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net
À : Christophe Baegert c.baegert-lis...@lixium.fr; Antoine Durant 
antoine.duran...@yahoo.fr 
Cc : frnog-t...@frnog.org frnog-t...@frnog.org 
Envoyé le : Jeudi 31 janvier 2013 17h41
Objet : Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
  
On Thu, Jan 31, 2013, at 15:02, Christophe Baegert wrote:

 Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus
 sûr est de faire un lsmod|grep conntrack. S'il est activé, on court à
 la catastrophe.

Plus precisement :
rm -f `locate conntrack.ko`
sinon, le module risque d'etre charge automatiquement avec un simple
iptables -L

Il faut aussi retenir le fait que les flux peuvent ne pas passer par le
meme chemin dans les deux sens.
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Simon Morvan
Le 31/01/2013 18:11, Antoine Durant a écrit :
 Est-ce qu'un modprobe -r ou un blacklist (/etc/modprobe.d/blacklist.conf) du 
 ip_conntrack est pas une meilleure idée ?
Sûrement, mais Radu est du genre... radical :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Rémi Laurent
* Simon Morvan - 31-01-2013 à 18h17:

 Le 31/01/2013 18:11, Antoine Durant a écrit :
  Est-ce qu'un modprobe -r ou un blacklist
  (/etc/modprobe.d/blacklist.conf) du ip_conntrack est pas une
  meilleure idée ?
 Sûrement, mais Radu est du genre... radical :)

Et puis comme ça on peut se faire payer un verre quand le nouveau venu
fait naïvement un update kernel et que nf_conntrack.ko fait à nouveau
son apparition

-- 
Rémi Laurent

  Phone: +352 26 10 30 61
  General Support: supp...@conostix.com
  GPG FP: 27F4 6810 2B0E 1AA0 CDAE  7C7B 3DC9 085A 0FA0 0601


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Laurent CARON

On 31/01/2013 16:16, Rémi Laurent wrote:

D'ailleurs si sur la liste il y a des expériences avec OpenBSD/pf et
du routing asymétrique, je suis intéressé d'avoir leur retour ;)


Bonsoir,

Le routage asymétrique fonctionne bien avec OpenBSD/OpenBGPd/pf si tu 
utilises l'option defer sur ton interface pfsync


defer
If the defer flag is used, the initial packet of a new connection 
passing through the firewall will not be transmitted until either 
another pfsync(4) system has acknowledged the state table addition, or a 
timeout has expired. This adds small delays but allows traffic to flow 
when more than one firewall might actively handle packets 
(active/active), e.g. with certain ospfd(8), bgpd(8) or carp(4) 
configurations.


Je l'utilise pour 4 routeurs (2 groupes de 2 en actif/passif) afin de 
pouvoir avoir les mêmes états sur les 4 machines.


Mes 0.02€



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Radu-Adrian Feurdean
On Thu, Jan 31, 2013, at 18:11, Antoine Durant wrote:
 Bon, pas de firewall sur un routeur !!

On est bien d'accord, mais ca reste un peu delicat si on veut limiter
l'access a la machine elle-meme. 

 le fait du supprimer directement conntrack.ko cela va-t'il pas poser des
 problèmes ? Est-ce que lorsque on va taper iptables -L; iptables va pas
 être en erreur du fait qu'il essayera de charger conntrack.ko ???

J'ai deja applique cette methode avec success il y a plusieurs annees.
Si jamais il y a des regles qui ont besoin de conntrack, oui, il va y
avoir des erreurs. Si par contre il n'y a pas, les eventuels erreurs
ou warnings vont etre sans effet.

 Est-ce qu'un modprobe -r ou un blacklist (/etc/modprobe.d/blacklist.conf)
 du ip_conntrack est pas une meilleure idée ?

C'est pas qu'il faut enlever le module, c'est qu'il doit pas etre charge
strictement jamais et sous aucun pretexte.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Christophe Baegert
Le 31/01/2013 20:59, Radu-Adrian Feurdean a écrit :
 C'est pas qu'il faut enlever le module, c'est qu'il doit pas etre charge
 strictement jamais et sous aucun pretexte.

+1


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Michel Luczak

On Jan 31, 2013, at 8:59 PM, Radu-Adrian Feurdean 
fr...@radu-adrian.feurdean.net wrote:

 On Thu, Jan 31, 2013, at 18:11, Antoine Durant wrote:
 Bon, pas de firewall sur un routeur !!
 
 On est bien d'accord, mais ca reste un peu delicat si on veut limiter
 l'access a la machine elle-meme. 

Dans ce cas pas besoin de cochonneries type conntrack et on peut se limiter à 
binder ssh sur une loopback et la firewaller elle, non ? Cela doit résoudre 
tous les problèmes de routage asymétrique etc… je pense.




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Julien Lollivier
Simon Perreault simon.perrea...@viagenie.ca (31/01/2013 18:06) :
 Il y a des distros où conntrack n'est pas un module et n'est pas 
 désactivable.
 
 *tousse* Fedora *tousse*

Ça doit toucher certaines versions de la Fedora uniquement, parce que
sous toutes celles que j'ai sous la main, même des vieilleries (FC4 ..)
j'ai bien un nf_conntrack ou un ip_conntrack.

Julien.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Frederic Dhieux
Un bon noyau Linux est un noyau compilé aux petits oignons sans support
de module :D

/intégriste (ça évite quelques failles de sécu au passage)

Frédéric

Le 1/31/13 9:15 PM, Christophe Baegert a écrit :
 Le 31/01/2013 20:59, Radu-Adrian Feurdean a écrit :
 C'est pas qu'il faut enlever le module, c'est qu'il doit pas etre charge
 strictement jamais et sous aucun pretexte.
 +1


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Laurent Cheylus
Bonjour,

On Thu, Jan 31, 2013 at 04:22:23PM +0100, Christophe Baegert wrote:
 Le 31/01/2013 16:16, Simon Perreault a écrit :
  Faux.
  
  Voir l'article fondateur de pf:
  http://www.benzedrine.cx/pf-paper.pdf
 
 Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On
 parle d'un routeur BGP là !!!
 
 C'est toute la différence entre la théorie et la pratique. Peut-être
 faux en théorie, mais vrai en pratique.

La meilleure solution pour répondre à ce type de questions sur OpenBSD /
PF / OpenBGP est de s'adresser directement à Henning Brauer
(henn...@openbsd.org) : un des devs de PF et dev principal de OpenBGP.
C'est lui le master sur le sujet et a déjà mis en place ce genre de conf
chez des ISP allemands. Son expérience réelle en prod et sa vue de dev
sera la plus précise.

Pour info, une table de connexions statefull en mode kernel Linux, dans
un monde moderne et quand c'est bien codé, ça prend 1/2 GB de RAM pour
des 100 de milliers de connexions, pas besoin de Teras ! Et comme dit
dans le doc sur PF, tous les benchs montrent que ça coute bien moins en
CPU de faire un lookup avec une bonne fonction de hachage (jhash ou
approchant) que de parcourir à chaque fois une politique de filtrage
pour créer une nouvelle connexion.

A++ Laurent


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Vincent Bernat
 ❦ 31 janvier 2013 15:02 CET, Christophe Baegert c.baegert-lis...@lixium.fr :

 Je me demande si d’installer et configurer un iptables sur un
 routeur BGP Quagga (debian) est une bonne chose ?
 Est-ce que cela ne vas pas ralentir le routage ?

 Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus
 sûr est de faire un lsmod|grep conntrack. S'il est activé, on court à
 la catastrophe.

iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK

Cela permet aussi de conserver la conntrack pour les connexions
d'administration. Avec la mémoire dispo actuellement, il est aussi
possible de tuner la conntrack pour augmenter drastiquement la taille de
la table de connexions et diminuer le te timeout de la plupart des
états.

Sinon, on peut aussi filtrer avec tc.
-- 
Watch out for off-by-one errors.
- The Elements of Programming Style (Kernighan  Plauger)


---
Liste de diffusion du FRnOG
http://www.frnog.org/