Hello
 
Je cherche le moyen de fermer toutes les connexions actives sur ma machine via iptables
 
pour le moment j'au reussis a fair un firewall qui bloque toute nouvelle connexion une fois qu'il est lancé, mais il ne drop pas les anciennes, donc une fois le firewall on toute nouvelle connexion est drop mais toutes les anciennes sont actives, et c'est tres genant
 
C'est quelqu'un a une solution, je suis preneur
 
merci

Naab a écrit a écrit : Hello   Je cherche le moyen de fermer toutes les connexions actives sur ma machine via iptables   pour le moment j'au reussis a fair un firewall qui bloque toute nouvelle connexion une fois qu'il est lancé, mais il ne drop pas les anciennes, donc une fois le firewall on toute nouvelle connexion est drop mais toutes les anciennes sont actives, et c'est tres genant   C'est quelqu'un a une solution, je suis preneur   merci

ben arrete ta connexion puis redémarre là ?

C'est une connexion au rezeau local qui est protegée donc l'arreter / relancer risque d'etre dure (mais si c'est possible de deconnecter 2 secondes la machines du rezeau et de le reconnecter ca me va aussi)
 
etant debutant avec linux je ne sais pas comment deconnecter / reconnecter au reseau le pc de maniere automatique

 
pourquoi automatiquement ? une fois que ton script est bon, tu le laisse non ?
enfin, de toute maniere, si ton script est bien fait, il coupe tout tout de suite, et pas seulement les nouvelles connexions ...

Tu aurais un exemple de script coupant toutes les connexion ?

et si tu tapes ça ?
 
iptables -I INPUT 1 -s 0/0 -d 0/0 -j REJECT -i eth0
 
tu peux y aller, ça ferme tout , je viens d'essayer, mes NFS n'ont pas appréciés  

BMOTheKiller a écrit a écrit : et si tu tapes ça ?   iptables -I INPUT 1 -s 0/0 -d 0/0 -j REJECT -i eth0   tu peux y aller, ça ferme tout , je viens d'essayer, mes NFS n'ont pas appréciés

 
Merci beaucoup, ca fonctionne

raah ! j'arrive trop tard  
ben tant mieux si ça marche  

Bonsoir je suis une grosse tanche en réseau ...
 
comment faire un script pour fermer les ports suivants ...
(si j'ai bien compris ils sont ouverts sur ma machine)
 
 
 

 
 
Je voudrais juste conserver les ports communiquant internet.
 
Merci  

Xpoulet a écrit a écrit : Bonsoir je suis une grosse tanche en réseau ...   comment faire un script pour fermer les ports suivants ... (si j'ai bien compris ils sont ouverts sur ma machine)       Port       State       Service 9/tcp      open        discard 13/tcp     open        daytime 25/tcp     open        smtp 37/tcp     open        time 111/tcp    open        sunrpc 113/tcp    open        auth 515/tcp    open        printer     Je voudrais juste conserver les ports communiquant internet.   Merci

ps aux
ls -l /etc/rc`runlevel | cut -f2 -d' '`.d/

 
 
ls -l /etc/rc`runlevel | cut -f2 -d' '`.d/
total 0
lrwxrwxrwx    1 root     root           18 Oct 17 14:54 S10sysklogd -> ../init.d/sysklogd
lrwxrwxrwx    1 root     root           15 Oct 17 14:54 S11klogd -> ../init.d/klogd
lrwxrwxrwx    1 root     root           13 Oct 17 14:54 S14ppp -> ../init.d/ppp
lrwxrwxrwx    1 root     root           20 Oct 17 13:10 S19nfs-common -> ../init.d/nfs-common
lrwxrwxrwx    1 root     root           14 Oct 17 14:54 S20exim -> ../init.d/exim
lrwxrwxrwx    1 root     root           15 Oct 17 14:54 S20inetd -> ../init.d/inetd
lrwxrwxrwx    1 root     root           13 Oct 17 13:10 S20lpd -> ../init.d/lpd
lrwxrwxrwx    1 root     root           17 Oct 17 14:53 S20makedev -> ../init.d/makedev
lrwxrwxrwx    1 root     root           13 Oct 17 13:10 S20ssh -> ../init.d/ssh
lrwxrwxrwx    1 root     root           13 Oct 17 13:11 S20xfs -> ../init.d/xfs
lrwxrwxrwx    1 root     root           13 Oct 17 14:54 S89atd -> ../init.d/atd
lrwxrwxrwx    1 root     root           14 Oct 17 14:53 S89cron -> ../init.d/cron
lrwxrwxrwx    1 root     root           13 Oct 17 13:12 S99gdm -> ../init.d/gdm
lrwxrwxrwx    1 root     root           13 Oct 17 13:12 S99kdm -> ../init.d/kdm
lrwxrwxrwx    1 root     root           19 Oct 17 14:53 S99rmnologin -> ../init.d/rmnologin
lrwxrwxrwx    1 root     root           13 Oct 17 13:13 S99xdm -> ../init.d/xdm

up

A moi de poser une question...
Comment on coupe une connexion pour liberer un port pris par une connexion TCP ouverte mais pas fermée ? Est-on obligé d'attendre le time-out ou est-ce qu'il existe un outil pour tuer les connexions fantomes ?

 
tiens, c'est marrant, tu n'as pas trop de chose en faite ...
bon, quelques uns quand même (merde, j'ai oublié de te demander ta distro):
si tu es sous debian :
update-rc.d nfs-common remove
update-rc.d exim remove
update-rc.d inetd remove  (<= celui là c'est pour virer ce que tu voulais virer)
y-en a surement d'autre que tu peux virer, notamment ppp, lpr et les dm (xdm, kdm, gdm : tu devrais en avoir besoin que d'un normalement), mais ça dépend de ta config...
si tu es sous mandrake, tu vires les 3 aussi, mais via le mandrake control center

 
 
Pardon, je suis sous debian woody
Pour chacune des commandes, voila ce que j obtiens :  c'est normal ?
 

 
je dois forcer les commandes ?

bah typiquement, tu peux tuer la connect en envoyant des paquets RST... mais c un peut porc

 
ah oui désolé, il faut rajouter le -f
sinon il faut que tu enleves le fichier de /etc/init.d pour qu'il n'affiche pas le message, mais mieux vaut le garder, au cas où tu voudrais le remettre plus tard

je l'ai fait et pourtant un Nmap mon_ip retourne encore cela  
 
 

 
ouai, c'est parce que ça ne l'a pas arreté, ça lui dit juste de pas le démarrer au prochain boot ... normalement tu l'as encore quand tu fais "ps aux" : recherche inetd, c'est lui qui fait ça
et tu l'arretes avec kill, ou kill -9 s'il est récalcitrant
après ça devrait être bon normalement...

merci ^^

vi /etc/inetd.conf

 
a priori il veut tout virer, donc autant arreter inetd...

spa terrible, si il a une distro qui gère les paquets (comment ca je suis anti-slack?), si il veut installer un truc genre samba sous inetd, il vas se faire chier... autant #er les lignes pour le moment...

merde j'ai fait  
 
update-rc.d -f nfs-common remove
update-rc.d -f exim remove
update-rc.d -f inetd remove
 
sur une  debian il vaut mieux les commenter dans le /etc/inetd.conf?
 
comment on les remet alors ? je les commenterais donc...

 
c'est vrai, j'utilise pas samba, donc je sais pas ... par contre j'utilise proftp et il en parle à l'install je crois, et comem je lui dit que c'est à proftp de se démerder tout seul, je peux couper inetd ... enfin je dis pas que c'est pas crade, mais c'est la façon que j'utilise
sinon, effectivement, commenter chaque ligne du /etc/inetd.conf, c'est pas plus compliqué

 
c'est l'interet du -f, tu peux remettre facilement :
update-rc.d inetd defaults

tu peut au moins commenter tout dans le /etc/inetd.conf (avec des #), puis faire un 'ln -s /etc/init.d/inetd /etc/rc2.d/S20inetd', avant de faire un '/etc/rc2.d/S20inetd restart' (pour voir si le tout marche bien )

merci ^^
 
il reste ça:
 
111/tcp    open        sunrpc
113/tcp    open        auth
515/tcp    open        printer
 
il faut les fermer ?

 
pas obliger, mais si tu l'utilises pas , ce serait mieux
perso, comme je l'ai dit tout a l'heure, j'ai tout virer, et j'ai plus rien (comme ça, en cas de nmap, on peut même pas savoir quel os j'ai )
sinon, tu fous un firewall qui bloque ces ports ...

je vais essayer un firewall aussi  
guargdog (un truc comme ca) ou bastille , non ?

 
 
 
il y a une commande pour fermer manuellement les ports 111 et 515 ?

 
je pense que si tu vires inetd comme je t'es dis, tu n'auras plus rien ... en tout cas, il me semble que sunrpc y est directement lié
par contre, pour printer, peut-être qu'en virant lpr du rep rc.d, ça suffirait

merci ^^
 
bon je vais    
 
bonne nuit   et merci encore

il y a un p'tit truc que tu peux faire simplement, c'est dire à iptables de te passer tes polices en DROP (si tu n'as pas "installer" de firewall, enfin choisi le niveau de sécurité est plus correct à dire)
 
iptables -P INPUT DROP   <---- tout ce qui se passe sera rejeté
 
ensuite tu ajoutes tes polices dans INPUT, du genre
 
iptables -s 0/0 -d 0/0 -j ACCEPT -i lo     <--- on accepte tout ce qui se passe en local seulement
iptables -s 0/0 -d 0/0 -j ACCEPT -i eth0   <----- on accepte tout ce qui se passe sur le réseau local
iptables -s 0/0 -d 0/0 -dport 21 -p tcp -j ACCEPT -i pp0  <---- on accepte seulement les connexions au port 21 (ftp) protocole tcp à partir de l'extérieur (donc ici ppp0 étant notre interface "net" )
 
bref, ton iterface au net peut etre eth0 et ton réseau local eth1, à toi d'adapter
 
le plus simple en tous cas, c'est de jouer avec iptables/ipachains et donc de fermer toutes les connexions sur une interface directement et ensuite d'ajouter seulement ce que l'on veut (DNS, ftp, http, ssh, ....), deplus comme ça tu deviens "invisible" puisque tu n'es même plus pingable, ni donc scanable  :D  
 
par là dessus j'ai rajouté portsentry qui me détecte les scans directs sur des ports donnés et qui me ban l'IP du gars au bout de 2 tentatives, bref voici un exemple un peu ancien que j'ai dans mes logs de ce que ça fait :

 
bref, après 6 répétitions de la dernière ligne, le gars me connait plus, il n'a plus accès à la machine :D