Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
792 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [Résolu] IPtables bloque tout seul les scan ?

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Résolu] IPtables bloque tout seul les scan ?

n°1202325
Gavrinis
Open your mind
Posté le 03-03-2010 à 10:38:21  profilanswer
 

Bonjour,
 
Je suis en train de mettre en place un firewall sur mes différentes VM. Au moment de tester si le firewall est efficace, je remarque qu'il empêche le scan des ports (et ce avec ou sans la règle :??:).
IPtables empêche-t-il le scan par défaut ? A ma connaissance non ...
 
 
Merci pour vos explications :jap:.
 

Code :
  1. IPTABLES=`which iptables`
  2. IFLAN=eth0
  3. IPLAN=10.1.1.201/32
  4. NETWORK=10.1.1.0/24
  6. case "$1" in
  7.    start)
  8.       echo "Starting Firewall"
  9.      
  10.       # Flush all tables and delete user chain.
  11.       for table in "mangle" "raw" "filter" "nat"
  12.       do
  13.          $IPTABLES -t $table -F
  14.          $IPTABLES -t $table -X
  15.       done
  16.       # Set default Filter policy.
  17.       for chaines in "INPUT" "OUTPUT" "FORWARD"
  18.       do
  19.          $IPTABLES -t filter -P $chaines DROP
  20.       done
  21.       # Set default Mangle policy.
  22.       for chaines in "INPUT" "OUTPUT" "FORWARD" "PREROUTING" "POSTROUTING"
  23.       do
  24.          $IPTABLES -t mangle -P $chaines ACCEPT
  25.       done
  26.       # Set default NAT policy.
  27.       for chaines in "PREROUTING" "POSTROUTING" "OUTPUT"
  28.       do
  29.          $IPTABLES -t nat -P $chaines ACCEPT
  30.       done
  32.       # Allow loopback traffic.
  33.       $IPTABLES -t filter -A INPUT -i lo -p all -s 127.0.0.1 -j ACCEPT
  34.       $IPTABLES -t filter -A OUTPUT -o lo -p all -d 127.0.0.1 -j ACCEPT
  35.       # Allow authorized traffic from/to eth0.
  36.       $IPTABLES -t filter -A OUTPUT -o $IFLAN -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  37.       $IPTABLES -t filter -A INPUT -i $IFLAN -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
  38.       $IPTABLES -t filter -A INPUT -i $IFLAN -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
  39.       # Limit port scan.
  40.       $IPTABLES -t filter -A INPUT -i $IFLAN -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
  41.       # Allow ping. (LAN to Internet)
  42.       $IPTABLES -t filter -A OUTPUT -o $IFLAN -p icmp --icmp-type echo-request -j ACCEPT
  43.       $IPTABLES -t filter -A INPUT -i $IFLAN -p icmp --icmp-type echo-reply -j ACCEPT
  44.       # Allow SSH.
  45.       $IPTABLES -t filter -A INPUT -i $IFLAN -s $NETWORK -p tcp --dport 22 -m state --state NEW -j ACCEPT
  46.       $IPTABLES -t filter -A INPUT -i $IFLAN -s x.x.x.x/32 -p tcp --dport 22 -m state --state NEW -j ACCEPT
  47.       # Allow Apache.
  48.       $IPTABLES -t filter -A INPUT -i $IFLAN -s $NETWORK -p tcp --dport 80 -m state --state NEW -j ACCEPT
  49.       $IPTABLES -t filter -A INPUT -i $IFLAN -s x.x.x.x/32 -p tcp --dport 80 -m state --state NEW -j ACCEPT
  50.       $IPTABLES -t filter -A INPUT -i $IFLAN -p tcp --dport 443 -m state --state NEW -j ACCEPT
  51.       # Allow DNS requests for updates.
  52.       $IPTABLES -t filter -A OUTPUT -o $IFLAN -p udp --dport 53 -m state --state NEW -j ACCEPT
  53.       # Allow NTP requests.
  54.       $IPTABLES -t filter -A OUTPUT -o $IFLAN -p udp -d x.x.x.x/32 --dport 123 -j ACCEPT


Message édité par Gavrinis le 19-03-2010 à 17:24:03
mood
Publicité
Posté le 03-03-2010 à 10:38:21  profilanswer
 

n°1204652
Gavrinis
Open your mind
Posté le 14-03-2010 à 16:38:21  profilanswer
 

[:valentinorossi]

n°1204653
o'gure
Modérateur
Multi grognon de B_L
Posté le 14-03-2010 à 16:45:21  profilanswer
 

Sans aucune règle dans tes chaînes, iptables ou le kernel ne fait absolument rien pour empêcher un scan.
Les ports ouverts répondront par un pacquet TCP syn/ack et les ports fermé par un RST.
 
(contrairement au bsd qui ont une fonction de rate-limiting de base)


---------------
Relax. Take a deep breath !
n°1204654
Gavrinis
Open your mind
Posté le 14-03-2010 à 16:56:43  profilanswer
 

C'est justement ça le problème, nmap ne voit rien alors que je n'ai aucune règle qui empêche le scan.

n°1204655
o'gure
Modérateur
Multi grognon de B_L
Posté le 14-03-2010 à 17:00:59  profilanswer
 

par il ne voit rien, t'entends quoi ?
 
Faudrait  que tu nous décrives ton archi de test (schéma réseau, fonction de nat, firewall, internet, cible, PC qui émet le scan de nmap) et la réponse précise de nmap.


---------------
Relax. Take a deep breath !
n°1204657
Gavrinis
Open your mind
Posté le 14-03-2010 à 17:11:07  profilanswer
 

Rien ne s'affiche.
 
C'est bêtement deux ordi l'un sous Debian (le serveur), l'autre sous Archlinux (mon portable), ils sont dans le même sous réseau, il n'y a pas de firewall (à part celui au dessus).

n°1204658
o'gure
Modérateur
Multi grognon de B_L
Posté le 14-03-2010 à 17:16:28  profilanswer
 

Par 'rien' t'entend quoi ? [:ddr555]
De base, tu devrais avoir un minimum :o

 

> nmap localhost

 

Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-14 17:15 CET
Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
Interesting ports on localhost (127.0.0.1):

 

:o

 

Tu veux pas copier coller exactement ce qu'il te met ? :o


Message édité par o'gure le 14-03-2010 à 17:16:47

---------------
Relax. Take a deep breath !
n°1204659
Gavrinis
Open your mind
Posté le 14-03-2010 à 17:19:40  profilanswer
 

$ nmap 10.1.1.201
 
Starting Nmap 5.21 ( http://nmap.org ) at 2010-03-14 17:15 CET

n°1204660
o'gure
Modérateur
Multi grognon de B_L
Posté le 14-03-2010 à 17:30:03  profilanswer
 

il répond au ping ton 10.1.1.201  ?


---------------
Relax. Take a deep breath !
n°1204662
Gavrinis
Open your mind
Posté le 14-03-2010 à 18:02:14  profilanswer
 

Oui


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [Résolu] IPtables bloque tout seul les scan ?

 

Sujets relatifs
[résolu] DRBD + iSCSI + LVM + multipathRécupérer données NAS partition linux Thecus N2200 [RESOLU]
[RESOLU] Samba : smbd ne se lance pas au démarrage du serveur[Résolu] Gérer les noms de domaine
logiciel sous Debian pour créer un site ( résolu )PB carte reseau /etc/udev/rules.d (Résolu)
[Résolu] - Problème Thunderbird_Passage de windows à Ubuntu[Résolu] Fedora Core 12 : impossible de passer en KDE en fr
Je m'installe un autre LAMP mais soucis avec phpmyadmin [Résolu][Résolu]Snort: le demon ne demarre pas.
Plus de sujets relatifs à : [Résolu] IPtables bloque tout seul les scan ?

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.048 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR