iptables et ports ouverts cachés !

Marsh Posté le 13-05-2004 à 17:18:08

Salut à tous !

J'ai un peu le même ennui que dans le topic sur le port 53 fantôme
Moi ausis je n'arrive pas à faire connecter mon BIND.

Par contre, à cpoté de ça, je n'ai pas ouvert le port LDAP (389) dans les iptables, mais nmap me dit qu'il est ouvert ! :pt1cable:
est-ce que j'ai raté quelquechose ??

Code :

# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 143 -j ACCEPT --syn
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 -j ACCEPT --syn
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 -j ACCEPT --syn
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 -j ACCEPT --syn
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 -j ACCEPT --syn
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 23 -j ACCEPT --syn
-A INPUT -p tcp --dport 53 -j ACCEPT
-A INPUT -p udp --dport 53 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 53 -j ACCEPT --syn
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 53 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 -d 0/0 -i eth0 --dport 67:68 --sport 67:68 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 -d 0/0 -i eth1 --dport 67:68 --sport 67:68 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 -j REJECT --syn
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 -j REJECT --syn
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 -j REJECT --syn
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 -j REJECT --syn
COMMIT
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed
# Generated by webmin
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed

Et les résultats de mon nmap lcoalhost :

Code :

[root@serve2 root]# nmap -sS -O localhost
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1593 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
25/tcp open smtp
111/tcp open sunrpc
389/tcp open ldap
783/tcp open hp-alarm-mgr
1024/tcp open kdm
1025/tcp open NFS-or-IIS
10000/tcp open snet-sensor-mgmt
Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20
Uptime 0.045 days (since Thu May 13 14:14:15 2004)
Nmap run completed -- 1 IP address (1 host up) scanned in 7 seconds

J'ai voulu ouvrir le port 53 mais apparemment il n'a pas l'air ouvert, et je n'ai pas ouvert le port LDAP mais il est ouvert :pt1cable:

Vous auriez une petite explication pour moi ?

Merci

Message édité par coolboarder le 13-05-2004 à 17:19:43

---------------
“You want weapons? We’re in a library! Books! The best weapons in the world!”

Reply

Marsh Posté le 13-05-2004 à 17:18:08

Reply

Marsh Posté le 13-05-2004 à 17:29:08

Attention : les DNS utilise UDP, pas TCP !
Ton nmap -sS (Syn scan) envoie des paquets TCP....
essaie un nmap -sU 127.0.0.1 pour voir mais surtout utilise "netstat -lpun |grep :53" histoire de voire quel programme utilise ton port 53.

Reply

Marsh Posté le 13-05-2004 à 17:35:09

Ca donne ça :

Code :

[root@serve2 root]# nmap -sU 127.0.0.1
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1465 ports scanned but not shown below are in state: closed)
Port State Service
111/udp open sunrpc
842/udp open unknown
1024/udp open unknown
Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds

et netstat -lpun |grep :53 ne donen rien

Message édité par coolboarder le 13-05-2004 à 17:35:43

---------------
“You want weapons? We’re in a library! Books! The best weapons in the world!”

Reply

Marsh Posté le 13-05-2004 à 17:39:33

d'après ce que je lis tu n'as rien fermé.

souvent dans les scripts iptables, on fermes tout, puis on ouvres justes les ports que l'on veut.

dans ton cas, tu ne fais rien de spécial et tu dis d'accepter certaines connexion ( ce qui se fais pas défaut ). donc soit tu fermes le ports explicetement, soit au tout début tu rejettes toutes les connexion en fermant tous les ports

http://linux-wizard.net/liens.html#iptables

---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php

Reply

Marsh Posté le 13-05-2004 à 17:42:14

Mais alors, qu'est-ce que c'est que ce fichier iptables généré par Red Hat ?! $£#%ù !

---------------
“You want weapons? We’re in a library! Books! The best weapons in the world!”

Reply

Marsh Posté le 13-05-2004 à 17:55:22

phoenix a écrit :

Attention : les DNS utilise UDP, pas TCP !
Ton nmap -sS (Syn scan) envoie des paquets TCP....
essaie un nmap -sU 127.0.0.1 pour voir mais surtout utilise "netstat -lpun |grep :53" histoire de voire quel programme utilise ton port 53.

théoriquement ils devraient aussi utiliser TCP pour les requêtes, et d'ailleurs TCP est utilisé pour les transferts de zone :

RFC 1123, "Requirements for Internet Hosts -
Application and Support":

Citation :

DNS resolvers and recursive servers MUST support UDP, and
SHOULD support TCP, for sending (non-zone-transfer) queries.
Specifically, a DNS resolver or server that is sending a
non-zone-transfer query MUST send a UDP query first. If the
Answer section of the response is truncated and if the
requester supports TCP, it SHOULD try the query again using
TCP.

DNS servers MUST be able to service UDP queries and SHOULD
be able to service TCP queries. A name server MAY limit the
resources it devotes to TCP queries, but it SHOULD NOT
refuse to service a TCP query just because it would have
succeeded with UDP

Reply

Marsh Posté le 13-05-2004 à 18:21:50

SHOULD = devraient = c'est fortement recommandé mais pas obligatoire.

par contre MUST = doit = obligation forte

---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php

Reply

Marsh Posté le 13-05-2004 à 18:27:12

Dark_Schneider a écrit :

SHOULD = devraient = c'est fortement recommandé mais pas obligatoire.

par contre MUST = doit = obligation forte

j'ai bien dit "devraient"

Reply

Marsh Posté le 14-05-2004 à 11:55:38

Dark_Schneider a écrit :

d'après ce que je lis tu n'as rien fermé.

Est-ce que :

Code :

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 -j REJECT --syn
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 -j REJECT --syn
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 -j REJECT --syn
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 -j REJECT --syn

ne ferme pas un bon paquet de ports ?

---------------
“You want weapons? We’re in a library! Books! The best weapons in the world!”

Reply

Marsh Posté le 17-05-2004 à 10:23:29

Remonte petit topic

---------------
“You want weapons? We’re in a library! Books! The best weapons in the world!”

Reply

iptables et ports ouverts cachés !

Sujets relatifs:

Leave a Replay