KaAzZ-01

Membre

Autoriser Nmap avec Iptables et un transparent proxy

Bonjour,

J'ai configuré un transparent proxy avec iptables pour que mon trafic réseau soit redirigé à travers TOR. Cependant, les règles par défaut sont un peu restrictives, j'ai donc redirigé aussi le ICMP pour effectuer des tests de connectivité mais je ne trouve pas comment je pourrais autoriser mes scans Nmap à passer ou du moins les rediriger à travers TOR également.

Mes questions sont donc les suivantes :
-Comment rediriger mes scans Nmap à travers TOR avec Iptables
-Au vu de ma config actuelle ( cf redirect ICMP ), la source du ping est-elle vraiment redirigée ?

Voici mon script tor_iptables.sh :

#!/bin/sh

### set variables
#destinations you don't want routed through Tor
_non_tor="192.168.1.0/24 192.168.0.0/24"

#the UID that Tor runs as (varies from system to system)
_tor_uid="2338"

#Tor's TransPort
_trans_port="9040"

### flush iptables
iptables -F
iptables -t nat -F

### set iptables *nat
iptables -t nat -A OUTPUT -m owner --uid-owner $_tor_uid -j RETURN
iptables -t nat -A OUTPUT -p udp --dport 53 -j REDIRECT --to-ports 53

#allow clearnet access for hosts in $_non_tor
for _clearnet in $_non_tor 127.0.0.0/9 127.128.0.0/10; do
   iptables -t nat -A OUTPUT -d $_clearnet -j RETURN
done

#redirect all other output to Tor's TransPort
iptables -t nat -A OUTPUT -p tcp --syn -j REDIRECT --to-ports $_trans_port
iptables -t nat -A OUTPUT -p icmp -j REDIRECT --to-ports $_trans_port

### set iptables *filter et autorise les connexions déjà établies
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#allow clearnet access for hosts in $_non_tor
for _clearnet in $_non_tor 127.0.0.0/8; do
   iptables -A OUTPUT -d $_clearnet -j ACCEPT
done

#allow only Tor output
iptables -A OUTPUT -m owner --uid-owner $_tor_uid -j ACCEPT
#Autoriser ping
#iptables -A INPUT -p icmp -j ACCEPT
#iptables -A OUTPUT -p icmp -j ACCEPT
#Rejeter le reste
iptables -A OUTPUT -j REJECT 

---

"La culture et le savoir ne sont rien sans un partage et un accès illimité "

TPB01

Membre

Re : Autoriser Nmap avec Iptables et un transparent proxy

Ton jeux m'intéresse. Je voudrais d'abord qu'on fasse l'algorithme ensemble avant l'implémentation si tu veux bien. Je pense que quand l'algo est bien fait l'implémentation ne peut échouer.
Rediriger tout ton trafique vers Tor consiste à faire sortir tous tes paquets vers l'appli Tor. C'est à dire que tous les paquets doivent sortir avec comme port source le port de Tor et destination celui de la destination. Nmap utilise principalement UDP et TCP. Donc redirigé tout traffic de ces deux protocoles vers Tor également. Bien vouloir me dire si jusqu'ici j'ai raté quelque chose.

KaAzZ-01

Membre

Re : Autoriser Nmap avec Iptables et un transparent proxy

Salut ,

Tout d'abord je tiens à te remercier pour ta réponse, cependant ce n'est pas l'algorithmie qui est en jeu , mais juste les règles Iptables , le script est une simple succession de règles. Je vais essayer de rediriger la totalité dans ce cas

A suivre ^^

---

"La culture et le savoir ne sont rien sans un partage et un accès illimité "

KaAzZ-01

Membre

Re : Autoriser Nmap avec Iptables et un transparent proxy

Bon alors j'ai rajouté en gros les protocole TCP et UDP à rediriger :

#iptables -t nat -A OUTPUT -p udp -j REDIRECT --to-ports $_trans_port
#iptables -t nat -A OUTPUT -p tcp -j REDIRECT --to-ports $_trans_port

Seulement , j'aurais du ler  préciser avant , c'est pas l'émission qui pause soucis mais la réception des réponses lors des scans :

Offending packet: TCP 192.168.1.53:port de réception > A.B.C.D:port

Or la réception change de port , alors je ne peux pas ouvrir un port pour Nmap ( à moins que je passe à travers quelque chose )

---

"La culture et le savoir ne sont rien sans un partage et un accès illimité "

TPB01

Membre

Re : Autoriser Nmap avec Iptables et un transparent proxy

Je veux la solution à ce problème cette année, les qui sont avec moi ?

TPB01

Membre

Re : Autoriser Nmap avec Iptables et un transparent proxy

OK, même seul, je fais la guerre.
Tu as toi même dis que c'est la réception qui pose problème. Dans une communication il y a toujours l'allé et le retour, si non en langue française on dit qu'il y a fausse communication. Dans ton cas il faut juste jouer avec les règles INPUT OUTPUT et FORWARD.  Mais puisque c'est la machine qui implémente le firewall qui est l'émetteur et le récepteur directe, tu n'a besoin que des chaines INPUT ET OUTPUT. Et je te dis encore, tout n'est qu'une question d'algorithme. Quand l'algorithme est bien pensé, les règles s'en suivent avec la justesse de l'algorithme et les résultats aussi. Dans ton cas, l'algorithme est tout simplement ce que tu penses avant d'écrire les règles de ton firewall. Donc pour toutes les règles où tu autorise l'OUTPUT, autorise également l'INPUT en tenant compte de toutes les variantes. Par exemple si tu sors (OUTPUT) avec un port source 10000 à destination du port 80 le retour (INPUT) sera écrit avec comme port source 80 et port de destination le port 10000; pareille si tu tiens comptes des adresses IPs. Je reste dans l'attente d'un feedback.

Dernière modification par TPB01 (09-01-2016 15:14:45)

KaAzZ-01

Membre

Re : Autoriser Nmap avec Iptables et un transparent proxy

J'essaierai tout ça je te redis, merci !

---

"La culture et le savoir ne sont rien sans un partage et un accès illimité "