KIKOU !!!
vla 2 gros problèmes en faitRedHat 7.3)
 
================================================================
Je suis câble chez evhr.
J'utilise ce magnifique script,
http://www.malibyte.net/iptables/s [...] es-generic
Je l'ai adapté a ma configuration et un peu modifié,
 
Les problèmes:
-J'ai des tentatives de connections UDP répétés et incessantes en provenance de serveur DHCP (voici un de leur noms d'hote dhcp-lingo.evc.net) les ports sont: 137,138,1201,2301
 
Iana:  
netbios-ns      137/udp    NETBIOS Name Service
netbios-dgm     138/udp    NETBIOS Datagram Service
nucleus-sand    1201/udp   Nucleus Sand
cpq-wbem 2301/udp   Compaq HTTP
 
Donc j'aimerais savoir... Pkoi j'ai ces tentatives de connection, en plus 9fois sur 10 ce n'est pas moi la destination mais 255.255.255.255 par exemple.
 
Je dois bannir ces IP qui tentent de se connecter ?
(si j'en ban un un autre prend le relai ;D )
 
Je dois accepter ces connections ?
 
(ip serveur unix: 192.168.0.1; ip de mes 3 postes;192.168.0.(100;101;102)netmask 255.255.255.0) voila surtout pkoi je me pose des questions sur le pourquoi du comment de la destination 255.255.255.255
================================================================
Ces info se loggent sur la console sur laquelle je travail.
 
Extrait:
iptables -A LnD -p tcp -m limit --limit 1/s -j LOG --log-prefix "TCP drop "
 
Comment isoler ces log dans une console spécifique par exemple
et faire en sorte qu'une fois 10 paquets rejeté un mail contenant les log soit send a un de mes poste en local ?
 
 
================================================================

si tu ban ton dhcp, il va te déclarer down et attribuer ton ip a qq1 d'autre a mon avis...

neoLAcrapule a écrit a écrit : KIKOU !!! vla 2 gros problèmes en faitRedHat 7.3)   ================================================================ Je suis câble chez evhr. J'utilise ce magnifique script, http://www.malibyte.net/iptables/s [...] es-generic Je l'ai adapté a ma configuration et un peu modifié,   Les problèmes: -J'ai des tentatives de connections UDP répétés et incessantes en provenance de serveur DHCP (voici un de leur noms d'hote dhcp-lingo.evc.net) les ports sont: 137,138,1201,2301   Iana:   netbios-ns      137/udp    NETBIOS Name Service netbios-dgm     138/udp    NETBIOS Datagram Service nucleus-sand    1201/udp   Nucleus Sand cpq-wbem 2301/udp   Compaq HTTP   Donc j'aimerais savoir... Pkoi j'ai ces tentatives de connection, en plus 9fois sur 10 ce n'est pas moi la destination mais 255.255.255.255 par exemple.   Je dois bannir ces IP qui tentent de se connecter ? (si j'en ban un un autre prend le relai ;D )   Je dois accepter ces connections ?   (ip serveur unix: 192.168.0.1; ip de mes 3 postes;192.168.0.(100;101;102)netmask 255.255.255.0) voila surtout pkoi je me pose des questions sur le pourquoi du comment de la destination 255.255.255.255 ================================================================ Ces info se loggent sur la console sur laquelle je travail.   Extrait: iptables -A LnD -p tcp -m limit --limit 1/s -j LOG --log-prefix "TCP drop "   Comment isoler ces log dans une console spécifique par exemple et faire en sorte qu'une fois 10 paquets rejeté un mail contenant les log soit send a un de mes poste en local ?     ================================================================

Euh ... les ports dont tu parles n'ont rien à voir avec DHCP ... je dirais que tu est régulièrement la "cible" de script kiddies ... ou de broadcasts incongrus ...
Et si la destination cé bien 255.255.255.255 à chaque fois, cé soit ton FAI qui ne fait pas son boulot et ne bloque pas les broadcasts (souvent utilisés dans les attaques de type DoS o u pour "sonder" les réseaux) ou alors il y a des abonnés chez ce même FAI qui sont un peu inconscients (cé les ports 137,138 qui me font dirent ca) et laissent leur machine Windows (ou Samba aussi, encore que ...) , et surtout le partage de fichiers activé alors que la machine semble être en permanence reliée à Internet, et tout ca sans fw apparemment ...
Sinon ca sent aussi le P2P pour les autres ports ...
Si tu n'as rien remarqué d'anormal qt au fonctionnement de tes applis, je te conseille de continuer à bloquer ces broadcasts à et à les dropper purement et simplement ...
 
EDIT : Question subsidiaire : ces broadcast viennent bien de l'extérieur ou  plutot de l'intérieur de ton réseau local ?
Car là ca peut être normal ... Windows est bavard ... trop même ... ... en tout état de cause, bloques les ...

Thx mais pour les ports 137 et 138 je pense savoir pkoi...
il m'est dejas arrivé (quand je n'avais pas de firewall) de trouver des mes partages un autre groupe de travail alor que je suis bien en local.Tous les câblé sont bien en local ossi daccord mais quesqu'un groupe de travail étrangé au mien vien foutre dans mes favoris réseau ?
 
Sinon tout marche niquel aucun pb de flood ou ché pas quoi,
il y a aussi autre chose: pour les ports 137  et 138 la destination 213.169.167.255 a savoir mon ip est 213.169.167.* mais pas 255
 
Je ne pense pas que ce sont des script kiddi, en faisant un nslookup sur les différentes ip je trouve a chaque fois le mot DHCP dedant...
 
ET IL FAUT SAVOIR ça log ces ports tout le temp 24Hsur 24, 7Jsur 7 vraiment sans arret donc ça ne peut ètre que le FAI
 
Autre choses le 6001 vient de se rajouté, il était déjà la mais il n'y était pas au moment de mon post
 
x11             6000-6063/udp   X Window System
 
ET JE LE RAPPEL tjr des connection UDP
 
============
Sinon pour les log personne ne peut me donner une chtite astuce ;D

pour tes log, il doit falloir chercher dans le syslog.conf et utiliser --log-level

neoLAcrapule a écrit a écrit : Thx mais pour les ports 137 et 138 je pense savoir pkoi... il m'est dejas arrivé (quand je n'avais pas de firewall) de trouver des mes partages un autre groupe de travail alor que je suis bien en local.Tous les câblé sont bien en local ossi daccord mais quesqu'un groupe de travail étrangé au mien vien foutre dans mes favoris réseau ?   Sinon tout marche niquel aucun pb de flood ou ché pas quoi, il y a aussi autre chose: pour les ports 137  et 138 la destination 213.169.167.255 a savoir mon ip est 213.169.167.* mais pas 255   Je ne pense pas que ce sont des script kiddi, en faisant un nslookup sur les différentes ip je trouve a chaque fois le mot DHCP dedant...   ET IL FAUT SAVOIR ça log ces ports tout le temp 24Hsur 24, 7Jsur 7 vraiment sans arret donc ça ne peut ètre que le FAI   Autre choses le 6001 vient de se rajouté, il était déjà la mais il n'y était pas au moment de mon post   x11             6000-6063/udp   X Window System   ET JE LE RAPPEL tjr des connection UDP   ============ Sinon pour les log personne ne peut me donner une chtite astuce ;D

Eu désolé de te décevoir, mais des paquets UDP en 213.169.167.255 sur des ports de destination 137 et 138, cé du broacast Netbios ... Si une machine windows ou Samba recoit ces paquets et qu'elle est configurée par défault, elle y répond pour se signaler à la source du broadcast ... tu comprend la manoeuvre là ?  ...
 

Zzozo a écrit a écrit :   Eu désolé de te décevoir, mais des paquets UDP en 213.169.167.255 sur des ports de destination 137 et 138, cé du broacast Netbios ... Si une machine windows ou Samba recoit ces paquets et qu'elle est configurée par défault, elle y répond pour se signaler à la source du broadcast ... tu comprend la manoeuvre là ?  ...

Et le UDP cé  normal, cé un protocole sans connexion et donc avec une sécurité moins grande que TCP ... donc cé un des chouchous des script kiddies et de leurs outils surtout .... et des des vrais pirates occasionnelement ...