Très complet et presque au point chez moi [FIREWALL] - Débats - Linux et OS Alternatifs
Marsh Posté le 07-08-2002 à 08:05:00
si tu ban ton dhcp, il va te déclarer down et attribuer ton ip a qq1 d'autre a mon avis...
Marsh Posté le 07-08-2002 à 09:37:10
neoLAcrapule a écrit a écrit : KIKOU !!! vla 2 gros problèmes en faitRedHat 7.3) ================================================================ Je suis câble chez evhr. J'utilise ce magnifique script, http://www.malibyte.net/iptables/s [...] es-generic Je l'ai adapté a ma configuration et un peu modifié, Les problèmes: -J'ai des tentatives de connections UDP répétés et incessantes en provenance de serveur DHCP (voici un de leur noms d'hote dhcp-lingo.evc.net) les ports sont: 137,138,1201,2301 Iana: netbios-ns 137/udp NETBIOS Name Service netbios-dgm 138/udp NETBIOS Datagram Service nucleus-sand 1201/udp Nucleus Sand cpq-wbem 2301/udp Compaq HTTP Donc j'aimerais savoir... Pkoi j'ai ces tentatives de connection, en plus 9fois sur 10 ce n'est pas moi la destination mais 255.255.255.255 par exemple. Je dois bannir ces IP qui tentent de se connecter ? (si j'en ban un un autre prend le relai ;D ) Je dois accepter ces connections ? (ip serveur unix: 192.168.0.1; ip de mes 3 postes;192.168.0.(100;101;102)netmask 255.255.255.0) voila surtout pkoi je me pose des questions sur le pourquoi du comment de la destination 255.255.255.255 ================================================================ Ces info se loggent sur la console sur laquelle je travail. Extrait: iptables -A LnD -p tcp -m limit --limit 1/s -j LOG --log-prefix "TCP drop " Comment isoler ces log dans une console spécifique par exemple et faire en sorte qu'une fois 10 paquets rejeté un mail contenant les log soit send a un de mes poste en local ? ================================================================ |
Euh ... les ports dont tu parles n'ont rien à voir avec DHCP ... je dirais que tu est régulièrement la "cible" de script kiddies ... ou de broadcasts incongrus ...
Et si la destination cé bien 255.255.255.255 à chaque fois, cé soit ton FAI qui ne fait pas son boulot et ne bloque pas les broadcasts (souvent utilisés dans les attaques de type DoS o u pour "sonder" les réseaux) ou alors il y a des abonnés chez ce même FAI qui sont un peu inconscients (cé les ports 137,138 qui me font dirent ca) et laissent leur machine Windows (ou Samba aussi, encore que ...) , et surtout le partage de fichiers activé alors que la machine semble être en permanence reliée à Internet, et tout ca sans fw apparemment ...
Sinon ca sent aussi le P2P pour les autres ports ...
Si tu n'as rien remarqué d'anormal qt au fonctionnement de tes applis, je te conseille de continuer à bloquer ces broadcasts à et à les dropper purement et simplement ...
EDIT : Question subsidiaire : ces broadcast viennent bien de l'extérieur ou plutot de l'intérieur de ton réseau local ?
Car là ca peut être normal ... Windows est bavard ... trop même ... ... en tout état de cause, bloques les ...
Marsh Posté le 07-08-2002 à 15:25:02
Thx mais pour les ports 137 et 138 je pense savoir pkoi...
il m'est dejas arrivé (quand je n'avais pas de firewall) de trouver des mes partages un autre groupe de travail alor que je suis bien en local.Tous les câblé sont bien en local ossi daccord mais quesqu'un groupe de travail étrangé au mien vien foutre dans mes favoris réseau ?
Sinon tout marche niquel aucun pb de flood ou ché pas quoi,
il y a aussi autre chose: pour les ports 137 et 138 la destination 213.169.167.255 a savoir mon ip est 213.169.167.* mais pas 255
Je ne pense pas que ce sont des script kiddi, en faisant un nslookup sur les différentes ip je trouve a chaque fois le mot DHCP dedant...
ET IL FAUT SAVOIR ça log ces ports tout le temp 24Hsur 24, 7Jsur 7 vraiment sans arret donc ça ne peut ètre que le FAI
Autre choses le 6001 vient de se rajouté, il était déjà la mais il n'y était pas au moment de mon post
x11 6000-6063/udp X Window System
ET JE LE RAPPEL tjr des connection UDP
============
Sinon pour les log personne ne peut me donner une chtite astuce ;D
Marsh Posté le 07-08-2002 à 15:44:26
pour tes log, il doit falloir chercher dans le syslog.conf et utiliser --log-level
Marsh Posté le 07-08-2002 à 18:26:18
neoLAcrapule a écrit a écrit : Thx mais pour les ports 137 et 138 je pense savoir pkoi... il m'est dejas arrivé (quand je n'avais pas de firewall) de trouver des mes partages un autre groupe de travail alor que je suis bien en local.Tous les câblé sont bien en local ossi daccord mais quesqu'un groupe de travail étrangé au mien vien foutre dans mes favoris réseau ? Sinon tout marche niquel aucun pb de flood ou ché pas quoi, il y a aussi autre chose: pour les ports 137 et 138 la destination 213.169.167.255 a savoir mon ip est 213.169.167.* mais pas 255 Je ne pense pas que ce sont des script kiddi, en faisant un nslookup sur les différentes ip je trouve a chaque fois le mot DHCP dedant... ET IL FAUT SAVOIR ça log ces ports tout le temp 24Hsur 24, 7Jsur 7 vraiment sans arret donc ça ne peut ètre que le FAI Autre choses le 6001 vient de se rajouté, il était déjà la mais il n'y était pas au moment de mon post x11 6000-6063/udp X Window System ET JE LE RAPPEL tjr des connection UDP ============ Sinon pour les log personne ne peut me donner une chtite astuce ;D |
Eu désolé de te décevoir, mais des paquets UDP en 213.169.167.255 sur des ports de destination 137 et 138, cé du broacast Netbios ... Si une machine windows ou Samba recoit ces paquets et qu'elle est configurée par défault, elle y répond pour se signaler à la source du broadcast ... tu comprend la manoeuvre là ? ...
Marsh Posté le 07-08-2002 à 18:27:54
Zzozo a écrit a écrit : Eu désolé de te décevoir, mais des paquets UDP en 213.169.167.255 sur des ports de destination 137 et 138, cé du broacast Netbios ... Si une machine windows ou Samba recoit ces paquets et qu'elle est configurée par défault, elle y répond pour se signaler à la source du broadcast ... tu comprend la manoeuvre là ? ... |
Et le UDP cé normal, cé un protocole sans connexion et donc avec une sécurité moins grande que TCP ... donc cé un des chouchous des script kiddies et de leurs outils surtout .... et des des vrais pirates occasionnelement ...
Marsh Posté le 07-08-2002 à 04:50:15
KIKOU !!!
vla 2 gros problèmes en faitRedHat 7.3)
================================================================
Je suis câble chez evhr.
J'utilise ce magnifique script,
http://www.malibyte.net/iptables/s [...] es-generic
Je l'ai adapté a ma configuration et un peu modifié,
Les problèmes:
-J'ai des tentatives de connections UDP répétés et incessantes en provenance de serveur DHCP (voici un de leur noms d'hote dhcp-lingo.evc.net) les ports sont: 137,138,1201,2301
Iana:
netbios-ns 137/udp NETBIOS Name Service
netbios-dgm 138/udp NETBIOS Datagram Service
nucleus-sand 1201/udp Nucleus Sand
cpq-wbem 2301/udp Compaq HTTP
Donc j'aimerais savoir... Pkoi j'ai ces tentatives de connection, en plus 9fois sur 10 ce n'est pas moi la destination mais 255.255.255.255 par exemple.
Je dois bannir ces IP qui tentent de se connecter ?
(si j'en ban un un autre prend le relai ;D )
Je dois accepter ces connections ?
(ip serveur unix: 192.168.0.1; ip de mes 3 postes;192.168.0.(100;101;102)netmask 255.255.255.0) voila surtout pkoi je me pose des questions sur le pourquoi du comment de la destination 255.255.255.255
================================================================
Ces info se loggent sur la console sur laquelle je travail.
Extrait:
iptables -A LnD -p tcp -m limit --limit 1/s -j LOG --log-prefix "TCP drop "
Comment isoler ces log dans une console spécifique par exemple
et faire en sorte qu'une fois 10 paquets rejeté un mail contenant les log soit send a un de mes poste en local ?
================================================================
Message édité par neoLAcrapule le 07-08-2002 à 05:06:04