firewall .... encore

firewall .... encore - Linux et OS Alternatifs

Marsh Posté le 13-08-2001 à 18:37:06    

bon j ai fait un firewall j ai mis un bout de temps a l ecrire car j y connaissait rien a ipchains j ai donc lu le ipchains howto en entier  
j ai aussi regarder le firewall present sur le site de dark et j ai pondu  une belle merde : j ai des command not found  des essayer l aide  argh si qq un a le temps et le courage de faire du debugging merci d avance je sais que c beaucoup demander  
 
________________________________________________________________
 
#blocage de tout
ipchains -F
ipchains -P input -j DENY
ipchains -P output -j DENY
ipchains - P forward -j DENY
 
 
#activation de proection integree
 
# Active la protection 'TCP SYN Cookie'
 echo "1" > /proc/sys/net/ipv4/tcp_syncookies
 
# always defrag
 echo "1" > /proc/sys/net/ipv4/ip_always_defrag
 
# broadcast echo  Protection
 echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
 
# bad error message  Protection
 echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
 
# IP spoofing protection
 # (active la Source Address Verification)
 for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
   echo "1" > $f
 done
 
# desactive les ICMP Redirect Acceptance
 for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do
   echo "0" > $f
 done
 
for f in /proc/sys/net/ipv4/conf/*/send_redirects; do
   echo "0" > $f
 done
 
# desactive Source Routed Packets
 for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
   echo "0" > $f
 done
 
# Log Spoofed Packets, Source Routed Packets, Redirect Packets,...
 for f in /proc/sys/net/ipv4/conf/*/log_martians; do
   echo "1" > $f
 done
 
# def des regles pour les processus locaux  
 #acceptation de tout ceux qui rentre
ipchains -A input -i lo -j ACCEPT
 #acceptation de tout ceux qui sort
ipchains -A output -i lo -j ACCEPT
 
 
#def des regles pour le traffic passerelle <=> lan
 #tout le traffic est accepte  
ipchains -A input -i eth1 -s 192.168.0.0/24 -j ACCEPT
ipchains -A output -i eht1 -d 192.168.0.0/24 -j ACCEPT
 
 
#def de ce qui peut sortir de la passerelle  : traffic passerelle => net  
 
#creation d une chaine ext
ipchains -N ext
ipchains -A output -i ppp0 -j ext  
 
#def des reglers  
 
#autorise le www,ftp,traceroute,ssh vers l exterieur
ipchains -A ext -p TCP --dport www -j ACCEPT  
ipchains -A ext -p TCP --dport ssh -j ACCEPT
ipchains -A ext -p UDP --dport 3343:33500 -j ACCEPT
ipchains -A ext -p TCP --dport ftp -j ACCEPT
ipchains -A ext -p ICMP --icmp-type ping -j ACCEPT
 
#autorise le mail
ipchains -A ext -p TCP -d mail.mangoosta.net smtp -j ACCEPT
ipchains -A ext -p TCP -d smtp.laposte.net smtp -j ACCEPT
 
#requete DNS  
ipchains -A ext -p UDP -d 217.11.161.1 domain -j ACCEPT
ipchains -A ext -p UDP -d 217.11.161.2 domain -j ACCEPT
ipchains -A ext -p TCP -d 217.11.161.1 domain -j ACCEPT
ipchains -A ext -p TCP -d 217.11.161.2 domain -j ACCEPT
 
#server HL  
ipchains -A ext -p TCP -d 0.0.0.0 27015:27200
 
#serveur HTTPS >>  se renseigner  
 
#icq  !! po sur que ca marche !!
ipchains -A ext -p UDP -d login.icq.com 5190 -j ACCEPT
 
#requete DHCP ?????
 
#optimisation des connexion  
 ipchains -A ext -p TCP -d 0.0.0.0/0 21:23 -t 0x01 0x10
 ipchains -A ext -p TCP -d 0.0.0.0/0 8686 -t 0x01 0x10
 ipchains -A ext -i $exti -p TCP -d 0.0.0.0/0 20 -t 0x01 0x08
 ipchains -A ext -i $exti -p TCP -d 0.0.0.0/0 119 -t 0x01 0x02
 
#acceptation d icmp sortant  
ipchains -A ext -p icmp --icmp-type fragmentation-needed -j ACCEPT
ipchains -A ext -p icmp --icmp-type source-quench -j ACCEPT
ipchains -A ext -p icmp --icmp-type echo-requeest -j ACCEPT
ipchains -A ext -p icmp --icmp-type parameter-problem -j ACCEPT  
ipchains -A ext -p icmp --icmp-type time-exceeded -j ACCEPT
 
#blocage des icmp !! se renseigner !!
ipchains -A ext -p icmp --icmp-type 5 -j REJECT -l
ipchains -A ext -p icmp --icmp-type 13:255 -j REJECT -l
 
#blocage du net bios  
ipchains -A output -p TCP -d 0.0.0.0/0 137:139 -j REJECT -l
ipchains -A output -p UDP -d 0.0.0.0/0 137:139 -j REJECT -l
 
#blocage de tout le reste des connexions sortante  
ipchains -A output -i ppp0 -j REJECT
 
 
 
#!!!! def des regles pour input : traffic net => passerrelle
 
#blocage du spoofing  
 
ipchains -A input -i ppp0 -s 10.0.0.0/8 -j REJECT -l
ipchains -A input -i ppp0 -s 192.168.0.0/24 -j REJECT -l
 
#acceptation de :  
 
#DNS
ipchains -A input -i ppp0 -p UDP -s 217.11.161.1 53 -d 0.0.0.0/0 1024:65535 -j ACCEPT
ipchains -A input -i ppp0 -p UDP -s 217.11.161.2 53 -d 0.0.0.0/0 1024:65535 -j ACCEPT
ipchains -A input -i ppp0 -p TCP ! -y -s 217.11.161.1 53 -d 0.0.0.0/0 1027:65535 -j ACCEPT
ipchains -A input -i ppp0 -p TCP ! -y -s 217.11.161.2 53 -d 0.0.0.0/0 1027:65535 -j ACCEPT
 
 
#ICQ !! po sur que ca marche !!
ipchains -A input -i ppp0 -p UDP -s login.icq.com 5190 -d 0.0.0.0/0 1024:65535 -j ACCEPT
 
 
#SERVER HTTPS  
#ipchains -A input -i ppp0 -p TCP -s 0.0.0.0/0 1024:65535 -d 0.0.0.0/0 443 -j ACCEPT
 
#server FTP
ipchains -A input -i PPP0 -p TCP -s 0.0.0.0/0 1024:65535 -d 0.0.0.0/0 21 -j ACCEPT
 
#FakeBo  ???
ipchains -A input -i ppp0 -p TCP -s 0.0.0.0/0 1024:65535 -d 0.0.0.0/0 12345 -j ACCEPT -l
 
#server auth ??
 
#server SSH ?
 
#server HL
ipchains -A input -i ppp0 -p TCP -s 0.0.0.0/0 27015 -d 0.0.0.0/0 27015 -j ACCEPT
 
#requete DHCP entrante ??? !!!
 
#--------------------------------------------------------------------
 
#rejet des troyens avec log  (lise de dark)
 # on bloque Dmsetup
 ipchains -A input -p TCP -d 0.0.0.0/0  58 -j REJECT -l
 
# FireHotcker...
 ipchains -A input -p TCP -d 0.0.0.0/0  5321 -j REJECT -l
 
# RASmin ...
 ipchains -A input -p TCP -d 0.0.0.0/0  531 -j REJECT -l
 
# Steath Spy Trojan...
 ipchains -A input -p TCP -d 0.0.0.0/0  555 -j REJECT -l
 
 
# Dark Shadow Trojan...
 ipchains -A input -p TCP -d 0.0.0.0/0  911 -j REJECT -l
 
# Silencer Trojan...
 ipchains -A input -p TCP -d 0.0.0.0/0  1001 -j REJECT -l
 
# NetSpy Troja
 ipchains -A input -p TCP -d 0.0.0.0/0  1024 -y -j REJECT -l
 
# Extreme Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  1090 -y -j REJECT -l
 
# Ultor's Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  1234 -y -j REJECT -l
 
# Whack-a-mole Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  12361:12363 -y -j REJECT -l
 
# WhackJob Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  12631 -y -j REJECT -l
 
# FTP99CMP Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  1492 -y -j REJECT -l
 
# Shiva Burka Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  1600 -y -j REJECT -l
 
# Spy Sender
 ipchains -A input -p TCP -d 0.0.0.0/0  1807 -y -j REJECT -l
 
# ShockRave Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  1981 -y -j REJECT -l
 
# BackDoor Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  1999 -y -j REJECT -l
 
# Remote Explorer Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  2000 -y -j REJECT -l
 
# Trojan Cow
 ipchains -A input -p TCP -d 0.0.0.0/0  2001 -y -j REJECT -l
 
# Ripper Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  2023 -y -j REJECT -l
 
# Bugs Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  2115 -y -j REJECT -l
 
# Striker & WincrashTrojan
 ipchains -A input -p TCP -d 0.0.0.0/0  2583 -y -j REJECT -l
 
# Phinneas Phucker Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  2801 -y -j REJECT -l
 
# Rat Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  2989 -y -j REJECT -l
 
# Filenail Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  4567 -y -j REJECT -l
 
# Sockets de troie v1.
 ipchains -A input -p TCP -d 0.0.0.0/0  5000:5001 -y -j REJECT -l
 
# Blade Runner Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  5400:5402 -y -j REJECT -l
 
# SERV-Me Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  5555 -y -j REJECT -l
 
# BO-Facil Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  5556:5557 -y -j REJECT -l
 
# Robo-Hack
 ipchains -A input -p TCP -d 0.0.0.0/0  5569 -y -j REJECT -l
 
# The 'thing' Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  6400 -y -j REJECT -l
 
# Indoctrination Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  6939 -y -j REJECT -l
 
# GateCrasher, Priority Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  6969:6970 -y -j REJECT -l
 
# Net Monitor
 ipchains -A input -p TCP -d 0.0.0.0/0  7300:7309 -y -j REJECT -l
 
# ICKiller
 ipchains -A input -p TCP -d 0.0.0.0/0  7789 -y -j REJECT -l
 
# Portal of DOOM Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  9872:9875 -y -j REJECT -l
 
# iNi Killer Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  9989 -y -j REJECT -l
 
# Acid Shivers Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  10520 -y -j REJECT -l
 
# COMA Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  10607 -y -j REJECT -l
 
# Sienna Spy
ipchains -A input -p TCP -d 0.0.0.0/0  11000 -y -j REJECT -l
 ipchains -A input -p TCP -d 0.0.0.0/0  13000 -y -j REJECT -l
 
 
 # Progenic Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  11223 -y -j REJECT -l
 
# Gjammer Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  12076 -y -j REJECT -l
 
# Keylogger Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  12223 -y -j REJECT -l
 
# Proziack
 ipchains -A input -p TCP -d 0.0.0.0/0  22222 -y -j REJECT -l
 
# Evil/Ugly FTP Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  23456 -y -j REJECT -l
 
# Delta Source Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  26274 -y -j REJECT -l
 
# Sub-7 2.1 Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  27374 -y -j REJECT -l
 ipchains -A input -p TCP -d 0.0.0.0/0  27573 -y -j REJECT -l
 
# Back-Orifice 2000 Trojan
 # Merde, c'est quoi le port de BO?
 # ipchains -A input -p TCP -d 0.0.0.0/0   -y -j REJECT -l
 
# GirlFriend Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  21554 -y -j REJECT -l
 
# Wincrash Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  2583 -y -j REJECT -l
 
# BackDoor Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  6713 -y -j REJECT -l
 
# Netsphere Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  30100:30102 -y -j REJECT -l
 
# Doly Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  1011:1012 -j REJECT -l
 
# NetBus Trojan
 # Heuu... celui là, je le laisse ouvert parceque j'ai un FakeBO
 # qui tournes alors virer le # et #ez la ligne d'après!
 # ipchains -A input -p TCP -d 0.0.0.0/0  12345:12346 -y -j $rulez -l
 ipchains -A input -p TCP -d 0.0.0.0/0  12345:12346 -y -l
 
# DeepThoat Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  2140 -y -j REJECT -l
 ipchains -A input -p TCP -d 0.0.0.0/0  3150 -y -j REJECT -l
 ipchains -A input -p TCP -d 0.0.0.0/0  41 -y -j REJECT -l
 ipchains -A input -p TCP -d 0.0.0.0/0  60000 -y -j REJECT -l
 ipchains -A input -p TCP -d 0.0.0.0/0  6670 -y -j REJECT -l
 ipchains -A input -p TCP -d 0.0.0.0/0  6771 -y -j REJECT -l
 ipchains -A input -p TCP -d 0.0.0.0/0  999 -y -j REJECT -l
 # putain, il forke celui là  
 
 # Hack 'A' Tack Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  31785 -y -j REJECT -l
 ipchains -A input -p TCP -d 0.0.0.0/0  31789:31791 -y -j REJECT -l
 
# Master Paradise Trojan
 ipchains -A input -p TCP -d 0.0.0.0/0  3129 -y -j REJECT -l
 ipchains -A input -p TCP -d 0.0.0.0/0  40421:40426 -y -j REJECT -l
 
# Ouf... c'est tout pour le moment  
# on en rajouteras plus tard si on en trouves!
#put1 ca sux  !!!!
#-----------------------------------------------------------
 
#l exterireur ne doit jamais y entrrer  
#NETbios  
ipchains -A input -p TCP -i ppp0 -d 0.0.0.0/0 137:139 -j REJECT -l  
ipchains -A input -p UDP -i ppp0 -d 0.0.0.0/0 137:139 -j REJECT -l
 
#NFS
ipchains -A input -i ppp0 -p TCP -y -d 0.0.0.0/0 2049 -j REJECT -l
ipchains -A input -i ppp0 -p UDP -d 0.0.0.0/0 2049 -j REJECT -l
 
#X
ipchains -A input -i ppp0 -p TCP -y -d 0.0.0.0/0 6000:6063 -j REJECT -l
 
#open windows  
#ipchains -A input -i ppp0 -p TCP -y -d 0.0.0.0/0 2000 -j REJECT -l
 
#socks
ipchains -A input -i ppp0 -p TCP -y -d 0.0.0.0/0 1080 -j REJECT -l
 
#Finger  
ipchains -A input -i ppp0 -p TCP -d 0.0.0.0/0 79 -j REJECT -l
 
#UDP traceroute  
ipchains -A input -i ppp0 -p UDP --source-port 33769:65535 --destination-port 33434:33523 -j REJECT -l
 
#acceptation  icmp
ipchains -A input -i ppp0 -p icmp --icmp-type echo-reply -j ACCEPT
ipchains -A input -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT
 
#rejet icmp  
ipchains -A input -i ppp0 -p icmp --icmp-type 5 -j REJECT -l
ipchains -A input -i ppp0 -p icmp --icmp-type 13:255 -j REJECT -l
 
#ipchians po statefull ??
ipchains -A input -i ppp0 -p TCP ! -y -d 0.0.0.0/0 1024:65535 -j ACCEPT
 
#FTP-data : retour de connection pour eviter le mod pasv
ipchains -A input -i ppp0 -p TCP -d 0.0.0.0/0 20 -j ACCEPT
 
#rejet des fragments
ipchains -A  input -f -i -j DENY
 
#blocage de tout le reste  
ipchains -A input -j DENY -l
 
#activation de l ip_masquerade
echo "1" > /proc/sys/net/ipv4/ip_forward
ipchains -M -S 7200 10 60
modprobe ip_masq_ftp
modprobe ip_masq_irc
modprobe ip_masq_raudio  
ipchains -A forward -s 192.168.0.0/24
 
#lancement de portsentry
killall portsentry
 /usr/psionic/portsentry/portsentry -atcp
 /usr/psionic/portsentry/portsentry -audp
 
echo "firewall pret"
 
_______________________________________________________________
 
merci d avance

Reply

Marsh Posté le 13-08-2001 à 18:37:06   

Reply

Marsh Posté le 13-08-2001 à 18:41:33    

c'est sur faut l'adapter a tes besoins :  t'as portsentry ?  
 
et  ou est defini  $exti  ?


---------------
Do androïds dream of electric sheep ?
Reply

Marsh Posté le 13-08-2001 à 19:11:02    

ca sent le ping's firewall ... :D
 
pkoi t'as pas pris IPTABLES ???? :??:

Reply

Marsh Posté le 13-08-2001 à 19:23:30    

exacte le machin optimsation des connections j ai pris le truc sur le site de dark car apres avoir lu le ipchains howtoo bah ca avait l air po mal :)  
 
iptables je sais po mais ca marche po

Reply

Marsh Posté le 13-08-2001 à 20:27:13    

je l ai taper sous win  
et sous nux y a des ^M est ce que les erreurs peuvent venir de ca ?

Reply

Marsh Posté le 13-08-2001 à 20:29:42    

c'est le chemin de portsentry qui va pas.
> whereis portsentry
 
ou jette un oeil dans /etc/rc.d/init.d/


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 13-08-2001 à 20:36:50    

bon j ai trouver c a cause du formatage du text de win :gun:
faut que j enleve tout les ^M

Reply

Marsh Posté le 14-08-2001 à 14:02:14    

je crois qu'il y a une commande qui les enleve automatiquement sous linux, mais je sais plus comment elle s'appelle... essaie 'a2ps' ou qqch dans le genre (ascii to poscript)

Reply

Marsh Posté le 14-08-2001 à 15:27:24    

ok merci j essairait ca masi la en fiat je les ait enlever un par un  
mias j ai d autre prob avec le firewall  
va falloir que je reprenne tous a 0

Reply

Marsh Posté le 14-08-2001 à 15:33:12    

dos2unix ou d2u en fonction du system

Reply

Marsh Posté le 14-08-2001 à 15:33:12   

Reply

Marsh Posté le 14-08-2001 à 15:50:58    

merci

Reply

Marsh Posté le 14-08-2001 à 21:17:10    

euh j ai commande not found

Reply

Marsh Posté le 14-08-2001 à 21:20:29    

bon t'en es ou au final ?

Reply

Marsh Posté le 14-08-2001 à 21:29:37    

au final : nul part :lol:  
je galere mais je persever  :)  
faut que je trouve les chains pour icq : autoriser juste l envoie et la reception de msg

Reply

Marsh Posté le 14-08-2001 à 23:27:18    

bon ja i ajouter des modifs mais n i icq marche ni le mail j ai pourtant mois les chianes suivantes  :  
 
merci d avance  
 
ipchains  -A output -i ppp0 -p UDP -s 0.0.0.0/0 1024:65535 -d  0.0.0.0/0 53 -j ACCEPT
ipchains  -A output -i ppp0 -p UDP -s 0.0.0.0/0 1024:65535 -d 0.0.0.0/0 4000 -j ACCEPT
ipchains -A input -i ppp0 -p UDP -s 0.0.0.0/0   -d 0.0.0.0/0 1024:65535 -j ACCEPT
ipchains -A input -i ppp0 -p UDP -s 0.0.0.0/0  -d 0.0.0.0/0 1024:65535 -j ACCEPT
 
et pour le mail :
ipchains -A input -i ppp0 -p TCP -s mail.mangoosta.net pop-3 -j ACCCEPT
ipchains -A input -i ppp0 -p TCP -s pop.laposte.net pop-3 -j ACCEPT
ipchains -A input -i ppp0 -p TCP -s pop.libertysurf.fr pop-3 -j ACCEPT
 
ipchains  -A output -i ppp0 -p TCP -d mail.mangoosta.net smtp -j ACCEPT
ipchains  -A output -i ppp0 -p TCP -d smtp.laposte.net smtp -j ACCEPT

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed