Anomalie #1515: Activer l'antispoofing pour les interfaces & Loguer les martians source - conf-amon - Ensemble Ouvert Libre Évolutif

Anomalie #1515

Activer l'antispoofing pour les interfaces & Loguer les martians source

Ajouté par Samuel LEFOL il y a environ 13 ans. Mis à jour il y a environ 13 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Joël Cuissinat

Catégorie:

Version cible:

Distribution EOLE - Mises à jour 2.2.2 - 07 RC

Début:

03/03/2011

Echéance:

% réalisé:

100%

Temps estimé:

1.00 h

Temps passé:

0.75 h

Distribution:

Description

Sur un Amon1.5:
- l'antispoofing était activé sur toutes les interface
- les martians sources étaient loguées dans /var/log/messages

Apparemment, sur un AmonNg (2.2), ces fonctionnalités ont disparues.

Vous trouverez en pièce jointe le patch sysctl.conf.patch permettant de les remettre en place.
(les martians sources sont maintenant loguées dans .var/log/kern.log)

sysctl.conf.patch Voir (2,2 ko) Samuel LEFOL, 03/03/2011 17:36

Demandes liées

Révisions associées

Révision 0db503eb (diff)
Ajouté par Joël Cuissinat il y a environ 13 ans

ajout de la possibilité d'activer l'anti-spoofing et la journalisation des "martian sources" (fixes #1515)

Révision 3697c4a1 (diff)
Ajouté par Daniel Dehennin il y a plus de 11 ans

Gestion de l’anti-spoofing par sysctl

bastion/eole-firewall/data/static_rules.sh: Suppression de l’activation
de l’anti-spoofing.

tmpl/sysctl.conf: Utiliser « net.ipv4.conf.all.rp_filter = 1 » au lieu
de faire une boucle sur toutes les interfaces.

Fixes: #4734 @5m
Ref: #1515

Révision bfa06762 (diff)
Ajouté par Daniel Dehennin il y a plus de 11 ans

Gestion de l’anti-spoofing par sysctl

bastion/eole-firewall/data/static_rules.sh: Suppression de l’activation
de l’anti-spoofing.

tmpl/sysctl.conf: Utiliser « net.ipv4.conf.all.rp_filter = 1 » au lieu
de faire une boucle sur toutes les interfaces.

Fixes: #4734 @5m
Ref: #1515

Historique

#1 Mis à jour par Joël Cuissinat il y a environ 13 ans

Assigné à mis à Joël Cuissinat

Ok pour ajouter une question pour activer "net.ipv4.conf.all.log_martians"

Concernant les "rp_filter" il y'a une bonne raison de les activer au cas par cas ou on peut directement mettre :

net.ipv4.conf.all.rp_filter=1

#2 Mis à jour par Samuel LEFOL il y a environ 13 ans

En fait, il me semble que net.ipv4.conf.all.rp_filter=1 soit déjà positionné sur un Amon2.2.
(à vérifier car je n'ai pas de serveur Amon sous la main)

Mais lorsque j'ai souhaité activer le log des martian sources, j'ai positionné net.ipv4.conf.all.log_martians à 1
mais apparemment ça ne suffit pas.
Pour que ça fonctionne, on doit mettre net.ipv4.conf.eth1.rp_filter=1 (idem pour les autres interfaces)

voici ce que dit la doc officielle à ce sujet :
Certaines valeurs sont parfois disponibles sous les variables all, default, ou un nom d'interface. Par exemple, rp_filter existe dans les variables net.ipv4.conf.all.rp_filter, net.ipv4.conf.default.rp_filter, net.ipv4.conf.eth0.rp_filter, etc... all permet de fixer la valeur pour toutes les interfaces. Si un interface reçoit une valeur explicite via, par exemple, net.ipv4.conf.eth0.xyz, c'est cette dernière qui sera utilisée. default permet de définir une valeur par défaut qui sera utilisée si une nouvelle interface est créée dynamiquement (carte PCMCIA ou dispositif USB par exemple).