Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1662 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Débats

  [FIREWALL] Très complet et presque au point chez moi

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[FIREWALL] Très complet et presque au point chez moi

n°134994
neoLAcrapu​le
Posté le 07-08-2002 à 04:50:15  profilanswer
 

KIKOU !!!
vla 2 gros problèmes en fait:(RedHat 7.3)
 
================================================================
Je suis câble chez evhr.
J'utilise ce magnifique script,
http://www.malibyte.net/iptables/s [...] es-generic
Je l'ai adapté a ma configuration et un peu modifié,
 
Les problèmes:
-J'ai des tentatives de connections UDP répétés et incessantes en provenance de serveur DHCP (voici un de leur noms d'hote dhcp-lingo.evc.net) les ports sont: 137,138,1201,2301
 
Iana:  
netbios-ns      137/udp    NETBIOS Name Service
netbios-dgm     138/udp    NETBIOS Datagram Service
nucleus-sand    1201/udp   Nucleus Sand
cpq-wbem 2301/udp   Compaq HTTP
 
Donc j'aimerais savoir... Pkoi j'ai ces tentatives de connection, en plus 9fois sur 10 ce n'est pas moi la destination mais 255.255.255.255 par exemple.
 
Je dois bannir ces IP qui tentent de se connecter ?
(si j'en ban un un autre prend le relai ;D )
 
Je dois accepter ces connections ?
 
(ip serveur unix: 192.168.0.1; ip de mes 3 postes;192.168.0.(100;101;102)netmask 255.255.255.0) voila surtout pkoi je me pose des questions sur le pourquoi du comment de la destination 255.255.255.255 :/
================================================================
Ces info se loggent sur la console sur laquelle je travail.
 
Extrait:
iptables -A LnD -p tcp -m limit --limit 1/s -j LOG --log-prefix "TCP drop "
 
Comment isoler ces log dans une console spécifique par exemple
et faire en sorte qu'une fois 10 paquets rejeté un mail contenant les log soit send a un de mes poste en local ?
 
 
================================================================


Message édité par neoLAcrapule le 07-08-2002 à 05:06:04
mood
Publicité
Posté le 07-08-2002 à 04:50:15  profilanswer
 

n°134999
Martinez
Posté le 07-08-2002 à 08:05:00  profilanswer
 

si tu ban ton dhcp, il va te déclarer down et attribuer ton ip a qq1 d'autre a mon avis...

n°135019
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 07-08-2002 à 09:37:10  profilanswer
 

neoLAcrapule a écrit a écrit :

KIKOU !!!
vla 2 gros problèmes en fait:(RedHat 7.3)
 
================================================================
Je suis câble chez evhr.
J'utilise ce magnifique script,
http://www.malibyte.net/iptables/s [...] es-generic
Je l'ai adapté a ma configuration et un peu modifié,
 
Les problèmes:
-J'ai des tentatives de connections UDP répétés et incessantes en provenance de serveur DHCP (voici un de leur noms d'hote dhcp-lingo.evc.net) les ports sont: 137,138,1201,2301
 
Iana:  
netbios-ns      137/udp    NETBIOS Name Service
netbios-dgm     138/udp    NETBIOS Datagram Service
nucleus-sand    1201/udp   Nucleus Sand
cpq-wbem 2301/udp   Compaq HTTP
 
Donc j'aimerais savoir... Pkoi j'ai ces tentatives de connection, en plus 9fois sur 10 ce n'est pas moi la destination mais 255.255.255.255 par exemple.
 
Je dois bannir ces IP qui tentent de se connecter ?
(si j'en ban un un autre prend le relai ;D )
 
Je dois accepter ces connections ?
 
(ip serveur unix: 192.168.0.1; ip de mes 3 postes;192.168.0.(100;101;102)netmask 255.255.255.0) voila surtout pkoi je me pose des questions sur le pourquoi du comment de la destination 255.255.255.255 :/
================================================================
Ces info se loggent sur la console sur laquelle je travail.
 
Extrait:
iptables -A LnD -p tcp -m limit --limit 1/s -j LOG --log-prefix "TCP drop "
 
Comment isoler ces log dans une console spécifique par exemple
et faire en sorte qu'une fois 10 paquets rejeté un mail contenant les log soit send a un de mes poste en local ?
 
 
================================================================




Euh ... les ports dont tu parles n'ont rien à voir avec DHCP ... je dirais que tu est régulièrement la "cible" de script kiddies ... ou de broadcasts incongrus ...
Et si la destination cé bien 255.255.255.255 à chaque fois, cé soit ton FAI qui ne fait pas son boulot et ne bloque pas les broadcasts (souvent utilisés dans les attaques de type DoS o u pour "sonder" les réseaux) ou alors il y a des abonnés chez ce même FAI qui sont un peu inconscients (cé les ports 137,138 qui me font dirent ca) et laissent leur machine Windows (ou Samba aussi, encore que ...) , et surtout le partage de fichiers activé alors que la machine semble être en permanence reliée à Internet, et tout ca sans fw apparemment ...
Sinon ca sent aussi le P2P pour les autres ports ...
Si tu n'as rien remarqué d'anormal qt au fonctionnement de tes applis, je te conseille de continuer à bloquer ces broadcasts à et à les dropper purement et simplement ...
 
EDIT : Question subsidiaire : ces broadcast viennent bien de l'extérieur ou  plutot de l'intérieur de ton réseau local ?
Car là ca peut être normal ... Windows est bavard ... trop même ... :D ... en tout état de cause, bloques les ...


Message édité par Zzozo le 07-08-2002 à 09:40:08

---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
n°135195
neoLAcrapu​le
Posté le 07-08-2002 à 15:25:02  profilanswer
 

Thx mais pour les ports 137 et 138 je pense savoir pkoi...
il m'est dejas arrivé (quand je n'avais pas de firewall) de trouver des mes partages un autre groupe de travail alor que je suis bien en local.Tous les câblé sont bien en local ossi daccord mais quesqu'un groupe de travail étrangé au mien vien foutre dans mes favoris réseau ? :/
 
Sinon tout marche niquel aucun pb de flood ou ché pas quoi,
il y a aussi autre chose: pour les ports 137  et 138 la destination 213.169.167.255 a savoir mon ip est 213.169.167.* mais pas 255 :D
 
Je ne pense pas que ce sont des script kiddi, en faisant un nslookup sur les différentes ip je trouve a chaque fois le mot DHCP dedant...
 
ET IL FAUT SAVOIR ça log ces ports tout le temp 24Hsur 24, 7Jsur 7 vraiment sans arret donc ça ne peut ètre que le FAI :/
 
Autre choses le 6001 vient de se rajouté, il était déjà la mais il n'y était pas au moment de mon post
 
x11             6000-6063/udp   X Window System
 
ET JE LE RAPPEL tjr des connection UDP :/
 
============
Sinon pour les log personne ne peut me donner une chtite astuce ;D


Message édité par neoLAcrapule le 07-08-2002 à 15:28:27
n°135207
apolon34
Vive Linux!!
Posté le 07-08-2002 à 15:44:26  profilanswer
 

pour tes log, il doit falloir chercher dans le syslog.conf et utiliser --log-level

n°135301
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 07-08-2002 à 18:26:18  profilanswer
 

neoLAcrapule a écrit a écrit :

Thx mais pour les ports 137 et 138 je pense savoir pkoi...
il m'est dejas arrivé (quand je n'avais pas de firewall) de trouver des mes partages un autre groupe de travail alor que je suis bien en local.Tous les câblé sont bien en local ossi daccord mais quesqu'un groupe de travail étrangé au mien vien foutre dans mes favoris réseau ? :/
 
Sinon tout marche niquel aucun pb de flood ou ché pas quoi,
il y a aussi autre chose: pour les ports 137  et 138 la destination 213.169.167.255 a savoir mon ip est 213.169.167.* mais pas 255 :D
 
Je ne pense pas que ce sont des script kiddi, en faisant un nslookup sur les différentes ip je trouve a chaque fois le mot DHCP dedant...
 
ET IL FAUT SAVOIR ça log ces ports tout le temp 24Hsur 24, 7Jsur 7 vraiment sans arret donc ça ne peut ètre que le FAI :/
 
Autre choses le 6001 vient de se rajouté, il était déjà la mais il n'y était pas au moment de mon post
 
x11             6000-6063/udp   X Window System
 
ET JE LE RAPPEL tjr des connection UDP :/
 
============
Sinon pour les log personne ne peut me donner une chtite astuce ;D




Eu désolé de te décevoir, mais des paquets UDP en 213.169.167.255 sur des ports de destination 137 et 138, cé du broacast Netbios ... Si une machine windows ou Samba recoit ces paquets et qu'elle est configurée par défault, elle y répond pour se signaler à la source du broadcast ... tu comprend la manoeuvre là ?  ...
 [:zerod]


---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
n°135304
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 07-08-2002 à 18:27:54  profilanswer
 

Zzozo a écrit a écrit :

 
Eu désolé de te décevoir, mais des paquets UDP en 213.169.167.255 sur des ports de destination 137 et 138, cé du broacast Netbios ... Si une machine windows ou Samba recoit ces paquets et qu'elle est configurée par défault, elle y répond pour se signaler à la source du broadcast ... tu comprend la manoeuvre là ?  ...
 [:zerod]  




Et le UDP cé  normal, cé un protocole sans connexion et donc avec une sécurité moins grande que TCP ... donc cé un des chouchous des script kiddies et de leurs outils surtout .... et des des vrais pirates occasionnelement ...


---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Débats

  [FIREWALL] Très complet et presque au point chez moi

 

Sujets relatifs
faites peter vos conf de firewall !!!Serveur VPN Win2000 derrière un firewall IPTABLES
Recherche tres important...[Debian] une petite mise au point...
[DEBIAN] La sarge est enfin sortie -- et elle marchre très bien ![ Softs linux ] un soft de gravure sous X complet ?
linux sur tres petit pcémulateur gratuit (ou presque) pc pour mac ?
debutant complet sous LinuxDemande d'info sur la MandrakeSecurity Single Network Firewall 7.2
Plus de sujets relatifs à : [FIREWALL] Très complet et presque au point chez moi


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR