Reprise du message précédent :
Ils n'avaient pas un -m limite par hasard ?

par exemple si on prend le script de HugoBios :
 

 
Mais bon ce que propose l0ky c'est d'utiliser un fonction de ULOG qui log tout les paquets qui ont été droppé et pas seulement ceux droppés par la politique par défaut, c'est bien ça?
 
 
 
EDIT : non, si je relis bien la règle de l0ky, elle ne loggue que les paquets qui sont passés au travers des mailles du filet et qui tomberont sous la politique par défaut.
Bref, si je veux logguer les port scan, il faut que le fasse explicitement...
NB : j'ai cherché dans la manpage d'iptables, il n'y a rien sur ULOG

non

voir mon EDIt au dessus, il faut bien 2 règles (une pour le log une pour le drop) et celles que tu proposait ne LOG que ceux qui sont droppé par la politique par défaut (si je les mets à la fin).

Tu m'as bien relus.
Moi j'ai, regarde vers la fin
http://frigg.netyl.org/cgi-bin/man [...] y=iptables

 
Donc voilà fo 2 règles

Google m'a trahi, j'ai fait une recherche sur man iptables, et je suis tombé sur un vieux man sans info sur les modules...
 
sorry

 
bon j'ai déjà loggé les scans nmap.
 
 
question à la con (que j'ai pas trouvé dans la manpage) comment on précise le fichier où logger?

Avec ulog, c'est dans le fichier de conf de ulog (/etc/ulogd.conf)
 
edit: si tu as envie de logguer a deifferent endroit, faut lancer plusieurs fois ulogd avec un fichier de conf different a chaque fois

ok, et nivo perf, ça a quel impact?

Tout depend combien t'en demarre et quelle genre de machine tu as. Chez moi, ca n'a aucun impact et le temps d'occupation cpu est minime (je ne les avais pas lancé là donc je te les donnerais plus tard si tu veux). Mais ca sera de toute maniere moins performant qu'un seul demon de lancé

bon, j'ai loggué tous les paquets qui tombait dans les règles de DROP explicitement.
 
j'ai aussi virer pour l'instant les règles sur les scan par le port 0, j'avais fait une erreur en les reprennant depuis le script d'Arno (elles ne concernent que les paquets icmp).
 
 
EDIT : au sujet des perfs, je ne parlais pas de lancer plusieurs démon, mais déjà combien ça coute de logger en temps machine. Car peut-être qu'on est pas obligé de tout logger...

Pour le log normal (LOG) c'est dans ton fichier de conf de ton syslogd

Franchement moi je loggue rien
sauf les connexions SSH acceptée

Décidemment c'est la fion de la semaine, et j'ai plus les yeux en face des trous.
 
Les règles sur le port 0 scan concerne bien tous les paquets, mais Arno à mis une limite sur les paquets icmp, je n'avais vu que la deuxième.

 
 
en toute honneteté, je ne regarde pas souvent mes logs non plus, donc il est fort probable que ces lignes soient en commentaires chez moi, mais je les mets pour le bien de la communauté

je me demande si je ne vais pas ajouter cette règle :
 

 
juste après celle qui accepte le ping histoire que les autres paquets icmp ne passent pas par toutes les règles, z'en pensez quoi?
 

Mal, l'icmp est utile

bah ouais, mais en même temps là il est droppé de toute façon (par la politique par défaut), c'était juste une façon de le dropper plus vite.
 
mais si c'est utile et que ça réponds à une RFC, je vais faire en sorte de l'accepter, reste à filtrer les paquets icmp invalides, et là j'ai pas d'exemple car Arno il vire tout

dropper TOUT l'icmp n'est en soit pas une bonne chose

ouaip, ça je sais, mais comment dropper que les paquets invalides? Je ne sais pas les reconnaitre et je n'ai pas d'exemple, snif
 
 
Sur ce, je me casse en week-end.
 
Bon WE à tous.

Je me souviens plus quels type d'icmp est important, il faudrait faire une recherche

Valid ICMP Types:
any
echo-reply (pong)                       limité le nombre de requete accepée
destination-unreachable                 on garde
   network-unreachable                on garde
   host-unreachable                on garde
   protocol-unreachable                on garde
   port-unreachable                on garde
   fragmentation-needed                on garde
   source-route-failed                on garde
   network-unknown                on garde
   host-unknown                on garde
   network-prohibited                on garde
   host-prohibited                on garde
   TOS-network-unreachable                on garde
   TOS-host-unreachable                on garde
   communication-prohibited                on garde
   host-precedence-violation                on garde
   precedence-cutoff                on garde
source-quench
redirect                on jarte
   network-redirect       on jarte
   host-redirect         on jarte
   TOS-network-redirect        on jarte
   TOS-host-redirect        on jarte
echo-request (ping)               on limite
router-advertisement          
router-solicitation            
time-exceeded (ttl-exceeded)  on garde
   ttl-zero-during-transit    on garde  
   ttl-zero-during-reassembly on garde
parameter-problem on garde
   ip-header-bad on garde
   required-option-missing on garde
timestamp-request on garde
timestamp-reply on garde
address-mask-request on garde
address-mask-reply on garde

Je ne suis pas spécialiste de firewall, mais cette règle ma parait inutile.
Le serveur web répond aux requêtes des connections déjà etablies (-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT) mais n'établie pas de nouvelles connections.

 
Elle est utile pour la maintenance si je veux télécharger des mises à jours ou même télécharger un fichier.
 
l0ky > merci pour cette charmante liste d'icmp...

De rien. Pour la regle, c'est --dport et non --sport qu'il faut mettre

fôte de frappe (de copier/coller pas corrigé plutôt) je corrige.
 
pour l'icmp je fais ça de suite.
 
Bon WE?

Pas sous cette forme ... dans le cas que tu indiques (cas où ton serveur se comporte comme un client), le port source ne sera pas le 80 mais très certainement un port aléatoire choisi au dessus de 1024 ... changes le --sport en --dport ...
le --syn est t'il vraiment nécessaire ? je pense qu'il fait double emploi avec le -m state --state NEW ...

merci, Zzozo, je viens de le corriger.
 
je me suis en fait rendu copte que je m'étais mélangé les pinceaux entre les dport et les sport. Je vais d'ailleurs mettre les 2 flags pour les protocoles utilisant des ports fixes (genre ssh, mysql?)

Zzozo > le syn est nécessaire car state ne se base pas sur les flags TCP pour déterminer si l'état du paquet est NEW ou pas. Pour state, si la connexion matchant (adresse source/dst, port source/dst) n'existe pas pour ce paquet, l'etat sera NEW.
 
Je préfère rajouter le --syn pour renforcer un tantinet le statefull. Certains types de scan se casseront les dents

voici les règles pour l'icmp, tout le monde ok?
 
 

 
 
NB : pour les limites je me suis inspiré du script d'Arno, elle sont peut-être trop permissives en INPUT...

et tu accept où le reste de l'ICMP ?
Rajoute juste apres ca

bah oui merde, j'ai oublié
 
bon allez je mets ces règles en place.
 
 
A propos de mettre sport ET dport pour les protocoles utilisant un port fixe, tu penses que c'est bien?

Si le protocole spécifie que le client ET le serveur utilise des ports fixes bah oui. Je rajoutereai même que si tu connais l'adresse du serveur et du client tu rajoutes leurs adresses.
exemple: pour le dns, spécifie LE ou LES dns qu'il peut utiliser.

ouaip, pour les adresses c'est ce que j'ai pour le ssh.
Bonne idées pour les DNS, je rajoute ça en commentaire.
 
 
Bon en même temps des protocoles qui utilisent les mêmes ports en source et destination, y'en a pas des masses qur un serveur web...
 
je vois ssh, mysql, smtp.

ssh et smtp n'utilise pas les mêmes ports en sources et en destinations
> 1024 en source, = 22 pour ssh et = 25 end destination
 
mysql j'en sais rien

meeerdeuh, chui trô nul
 
j'vais essayer de trouver une doc qui répertorie les descriptifs des ports utilisés (celle que j'ai trouvée, ne concerne que les ports destinations, snif)
 
 
EDIT : si tous les protocoles uilisent des port aléatoires en sortie, on l'utilise qd le flag sport?

Perso quand j'utilise le ssh j'utilise pas le port 22 en sport hein :
tcp6       0      0 eth1-gw.lan.jeanb-n:ssh fe0-acer.lan.jeanb:3077 ESTABLISHED
 
Pareil pour smtp :
tcp        0      0 carca.jeanb-net.c:40525 criges14.insa-lyon:smtp ESTABLISHED
 
Pareil pour mysql :
tcp        0      0 localhost:40522         localhost:mysql         TIME_WAIT

ouaip, du coup le flag sport il doit pas être beaucoup usité...
 
 
EDIT : En fait après avoir relues et corrigées toutes mes règles, je l'ai viré partout

Ben dans INPUT tu te sers plus de dport et dans OUTPUT tu te sers plus de sport
Dans FORWARD (mais toi tu n'utilises pas) tu utilises un peu des 2 selon ce que tu veux matcher