Reprise du message précédent :

fl0ups a écrit a écrit : en fait j'ai triché   j'ai vu dans ton firewall que tu autorisais tous les packets tcp venant du port 4661 (serveur edonkey)   donc je passe completement a travers ton firewall je pense   Code : bruce-lee ~ # nmap -sS -P0 -g 4661 -p 1-65000 -vv -O 213.44.193.101 Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Host lns10m-10-101.w.club-internet.fr (213.44.193.101) appears to be up ... good. Initiating SYN Stealth Scan against lns10m-10-101.w.club-internet.fr (213.44.193.101) Adding open port 4001/tcp Adding open port 111/tcp Adding open port 4000/tcp Adding open port 13842/tcp Adding open port 4080/tcp Adding open port 22/tcp Adding open port 21/tcp Adding open port 33159/tcp Adding open port 80/tcp The SYN Stealth Scan took 435 seconds to scan 65000 ports. For OSScan assuming that port 21 is open and port 1 is closed and neither are firewalled Interesting ports on lns10m-10-101.w.club-internet.fr (213.44.193.101): (The 64991 ports scanned but not shown below are in state: closed) Port       State       Service 21/tcp     open        ftp 22/tcp     open        ssh 80/tcp     open        http 111/tcp    open        sunrpc 4000/tcp   open        remoteanything 4001/tcp   open        unknown 4080/tcp   open        unknown 13842/tcp  open        unknown 33159/tcp  open        unknown Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20 OS Fingerprint: TSeq(Class=RI%gcd=1%SI=36BCFA%IPID=Z%TS=100HZ) T1(Resp=Y%DF=Y%W=1680%ACK=S++%Flags=AS%Ops=MNNTNW) T2(Resp=N) T3(Resp=Y%DF=Y%W=1680%ACK=S++%Flags=AS%Ops=MNNTNW) T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=) T5(Resp=N) T6(Resp=N) T7(Resp=N) PU(Resp=N) Uptime 0.272 days (since Wed Aug  7 19:53:44 2002) TCP Sequence Prediction: Class=random positive increments                          Difficulty=3587322 (Good luck!) TCP ISN Seq. Numbers: 8F51F492 9006DDB2 8F6113B4 8FE1C13B 8FB5992E 8F781193 IPID Sequence Generation: All zeros Nmap run completed -- 1 IP address (1 host up) scanned in 444 seconds

 
impressionant le -g (je connaissais pas non plus)
ça veut dire que le firewall sert à rien dès qu'on fait du port forwarding, ou j'ai mal compris le man ?

t'as fermé mldonkey?

non rien à voir avec le port forwarding faut juste qu'il trouve une règle un peu plus élaborée pour pouvoir se connecter à edonkey sans se trouer completement
 
Par ex si tu patches iptables et ton kernel, tu peux utiliser le "owner-match", et la tu peux faire une regle pour autoriser les packets venant de ports donnés vers un programme donné.

Meuh non meuh non ... faut pas se laisser aller au désespoir mon petit ... ...
suffit de resserer un peu les règles ...

fl0ups a écrit a écrit : non rien à voir avec le port forwarding faut juste qu'il trouve une règle un peu plus élaborée pour pouvoir se connecter à edonkey sans se trouer completement   Par ex si tu patches iptables et ton kernel, tu peux utiliser le "owner-match", et la tu peux faire une regle pour autoriser les packets venant de ports donnés vers un programme donné.

 
moi pas comprendre ... t'es pas en train de me parler de cheval de trois là ?    
parce que du moment qu'il n'y a pas de cheval de trois, y-a personne qui ira se pointé sur le 4661 à part edonkey, si ?
et j'ai pas non plus compris comment nmap est passé au travers  

Zzozo a écrit a écrit :   Meuh non meuh non ... faut pas se laisser aller au désespoir mon petit ... ... suffit de resserer un peu les règles ...

 
 
ça y est, il a la grosse tête  

fl0ups a écrit a écrit : non rien à voir avec le port forwarding faut juste qu'il trouve une règle un peu plus élaborée pour pouvoir se connecter à edonkey sans se trouer completement   Par ex si tu patches iptables et ton kernel, tu peux utiliser le "owner-match", et la tu peux faire une regle pour autoriser les packets venant de ports donnés vers un programme donné.

Euh non ... ca marche pas comme ca ... le owner match c'est bon que pour les paquets explicitements générés par le fw lui même, donc en OUTPUT ...
Non, il a juste à virer les règles INPUT et FORWARD avec des -sport 466x qui le trouent complètement ...

djoh a écrit a écrit :       ça y est, il a la grosse tête

Ben y'a juste à lire ses règles pour voir comment il a pu passer au travers ... non ?
Regardes bien cé pas sorcier ...

Zzozo a écrit a écrit :   Euh non ... ca marche pas comme ca ... le owner match c'est bon que pour les paquets explicitements générés par le fw lui même, donc en OUTPUT ... Non, il a juste à virer les règles INPUT et FORWARD avec des -sport 466x qui le trouent complètement ...

 
ah bon, c'est juste ça
donc moi j'ai pas de pb avec le mien alors (j'ai pas ce genre de relge, j'utilise que le masquerade et le dport, pas de sport)
t'avais vérifié ça quand t'as tester ?

Bon moi je vais dodo      
  Bonne n8

a merde mais c'est pas toi qui l'avait tester
tu peux le tester avec toutes les options qui tuent, j'envoie mon ip par MP

Cad quand ?
Et puis là cé passke qu'on avait son script sous les yeux ... mais dans la réalité ca aurait été plus dur de deviner ca ... autrement plus dur ...
En règle général, il ne faut ouvrir que très peu de choses et faire confiance aux règles ESTABLISHED et RELATED ... ca cé qd on à la chane d'avoir un fw stateful qui sait donc faire du suivi de connexion ... cé pas toujours le cas ....

arf les enfoires..... moi qui cherche comme un boeuf depuis une heure !!!
 
je me suis meme decide a re-ecrire entierement le script, a eteindre les pcs du reseau local et a me foutre sur la passerelle (k6-200)
 
 
bon enfin la vous pouvez y aller, rien n'est ouvert !!!
 
ps: nvelle ip : 212.195.187.189
 
edit: sinon tu as raison djoh, c'est une grosse faille de secu le port 4661 que je laisse ouvert, tu fais ce que tu veux a partir de la. va falloir que je securise ca !

Mon nmap est cassé sous windoze, je lance superscan et une autre fois, qd nmap sera réparé, je lancerai avec nmap ...
J'ai ma petite idée pour essayer de passer le fw ...

En ayant scanné les 26000 premiers ports ca donne ca :

Et demain un grand coup Nmap bien vicieux .. et encore un autre outil avec qui peut être marrant ...
   
   
Bonne n8  

J'ai modifie mon firewall
 
est-ce que tu veux bien tester ce que ca donne djoh stp ?
 
nvelle ip: trois messages plus haut

 
ok, je lance ça dans deux secondes

 
Ca a l'air d'etre bon cette fois    
je trouve plus rien
pourtant j'ai essayé de ruser avec un  
 
nmap -sX -P0 -g 1227 -vv -O 213.44.193.101
 
Enfin c'est peut etre parce que t'as pas encore remis ta règle pour dns2go
 
mais si t'avais pas posté ton firewall je pense qu'on aurait rien vu a part les ports ouverts  

 
alors là ... comme pour apolon, je comprends pas ...
j'ai pas ldap, ni de compte pop ni de h323hostcall    
j'ai uniquement ssh ftp et web qui tourne (ah si, et ntop aussi, mais uniquement sur le rezo local)
ce serait pas possible que ce que vous trouvez soit sur les merdes de routeur adsl entre chez moi et wanadoo ?

il avait deja trouvé ldap et netmeeting a appolon tt a l'heure c peut etre un bug de son soft

fl0ups a écrit a écrit : il avait deja trouvé ldap et netmeeting a appolon tt a l'heure c peut etre un bug de son soft

 
ouai ben j'espere ...
ah mais c'est des soft windows en plus    
faut mieux pas chercher plus loin    
j'attends qu'on me trouve ces ports ouverts avec nmap sous linux pour voir    
mais pop, c'est pas normal non plus, pas plus que smtp, j'ai pas de serveur mail chez moi ...
ça pourrait pas être mozilla qui fait l'con ?  

 
je trouve ça :
 
 

 
okai ca c'est normal !!
 
je vais aller faire dodo un tit peu et reprendre ca demain !!
 
ps : mldonkey, vraiment tres bien !!
 
edit: pour tout le monde, je suis en train de mettre mon firewall a jour et de m'occuper des regles de log.
 
Je poste tout ca demain si j'arrive a faire ce que je veux !

djoh a écrit a écrit :     ouai ben j'espere ... ah mais c'est des soft windows en plus     faut mieux pas chercher plus loin     j'attends qu'on me trouve ces ports ouverts avec nmap sous linux pour voir     mais pop, c'est pas normal non plus, pas plus que smtp, j'ai pas de serveur mail chez moi ... ça pourrait pas être mozilla qui fait l'con ?

Pour le 389 et le 1720, je commence à me demander aussi si cé pas superscan qui est buggé ... mais pour le reste ... superscan n'indique pas qd un port est filtré, fermé ou ouvert .... s'il le faut la liste qu'il donne est la liste des ports fermés ou ouverts ... d'ailleurs qd cé ouvert il tente un "telnet" dessus pour voir ce que réponde le "serveur" en face ...
 
EDIT : Autre chose, je ne sais pas exactement quelle méthode utilise superscan pour effectuer ses scans, même si en l'ayant un peu observé je le soupconne d'utiliser un SYN stealth scan ... si cé pas ca, ils ont pe mis au point une méthode de scan "diabolique" qu'ils n'ont pas dévoilés encore alors ...    

bon me voici de retour....
 
nouvelle conf de firewall :
 
#!/bin/bash
 
#on commence par tout purger
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
 
#regles par defaut (drop)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
#on autorise le traffic sur lo
#iptables -A INPUT -i lo -j ACCEPT
#iptables -A OUTPUT -o lo -j ACCEPT
 
#on autorise le traffic avec le reseau local ( +  simple)
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
 
#creation de regles perso
iptables -N LOG_ACCEPT
iptables -N LOG_DROP
 
#remplissage de ces regles
iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT]' --log-level 7
iptables -A LOG_ACCEPT -j ACCEPT
 
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP]' --log-level 7
iptables -A LOG_ACCEPT
 
#partage de connection
iptables -t nat -A POSTROUTING -s 192.168.0.1 -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
 
#protections ping flood, port scan
iptables -A INPUT -p icmp --icmp-type echo-request -m limit ! --limit 5/m -j LOG --log-prefix='[Ping Flood]' --log-level=7
iptables -A INPUT -i ppp0 -p tcp --syn -m limit --limit 3/m -j LOG --log-prefix='[Port Scanner]' --log-level=7
 
#on autorise le dns (tcp,udp)
iptables -A INPUT -i ppp0 -p tcp --sport 53 -s 194.117.200.10 ! --syn -j ACCEPT iptables -A INPUT -i ppp0 -p tcp --sport 53 -s 194.117.200.15 ! --syn -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -d 194.117.200.10 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -d 194.117.200.15 -j ACCEPT
 
iptables -A INPUT -i ppp0 -p udp --sport 53 -s 194.117.200.10 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --sport 53 -s 194.117.200.15 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp --dport 53 -d 194.117.200.10 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp --dport 53 -d 194.117.200.15 -j ACCEPT
 
#on autorise le http
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 80 ! --syn -j ACCEPT
 
#on autorise dns2go
iptables -A INPUT -i ppp0 -p tcp --sport 1227 ! --syn -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 1227 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --sport 1227 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp --dport 1227 -j ACCEPT
 
#on autorise ssh
iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 22 ! --syn -j ACCEPT
 
#on autorise le ftp
iptables -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 21 ! --syn -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 20 ! --syn -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 20 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 65000:65535 ! --syn -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 65000:65535 -j ACCEPT
 
#on autorise edonkey
#serveurs
iptables -A INPUT -i ppp0 -p tcp --sport 4661 ! --syn -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 4661 -j ACCEPT
 
#clients
iptables -A INPUT -i ppp0 -p tcp --sport 4662 --dport 1024:65000  -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 4662 --sport 1024:65000 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 4662 --sport 1024:65000 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 4662 --dport 1024:65000 -j ACCEPT
 
 
#on autorise le port 80 (out seulement), temporaire
iptables -A INPUT -i ppp0 -p tcp --sport 80 ! --syn -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 443 ! --syn -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 443 -j ACCEPT
 
#(temporaire)
iptables -A FORWARD -j ACCEPT
 
voila !!
 
nvelle ip: 212.195.116.151

ben faudrait voir avec superscan, puisqu'on a deja vu hier que c'était bon pour nmap
 
et moi j'aimerais bien qu'on me fasse un scan d'ailleurs

 
a ton avis on peut encore passer par les ports 4661,4662 et 1227 ?

 
ouai, j'ai bien l'impression, d'après ce que zzozo a dit hier
ta faille vient de tes sport
je sais pas pk tu utilises les sport alors que tu utilises aussi le masquerade
perso, chez moi, mon serveur fpt (en mode passif) et mon mldonkey se contente très bien du dport (faut p-t jouer avec le RELATED, bien que ça marche sans chez moi, mais pas besoin de sport)

 
oui    
 

 
enfin... c'est pas la peine de sombrer dans la parano
sans voir ton script il faudrait scanner pendant des heures pour passer à travers.
Et 1 fois passé, finalement c'est la que le plus dur commence, réussir à faire quelquechose.
 
Concernant ton script de firewalling en lui même, ce qui est dommage c'est que tu n'utilises pas le statefull (-m state --state RELATED,ESTABLISHED -j ACCEPT)
 
Je pense qu'en statefull tu pourrais te passer de toutes tes règles d'input (pour le dns, dns2go et edonkey)

fl0ups a écrit a écrit :     oui       Code : nmap -sX -vv -g 1227 -O -d -P0 212.195.116.151 Insufficient responses for TCP sequencing (3), OS detection may be less accurate Interesting ports on lns16m-5-151.w.club-internet.fr (212.195.116.151): (The 1598 ports scanned but not shown below are in state: closed) Port       State       Service 22/tcp     open        ssh 111/tcp    open        sunrpc 4000/tcp   open        remoteanything Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20 OS Fingerprint: T1(Resp=Y%DF=Y%W=1680%ACK=S++%Flags=AS%Ops=MNNTNW) T2(Resp=N) T3(Resp=Y%DF=Y%W=1680%ACK=S++%Flags=AS%Ops=MNNTNW) T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=) T5(Resp=N) T6(Resp=N) T7(Resp=N) PU(Resp=N) Uptime 0.134 days (since Thu Aug  8 14:02:05 2002) IPID Sequence Generation: All zeros Final times for host: srtt: 219034 rttvar: 17532  to: 300000 Nmap run completed -- 1 IP address (1 host up) scanned in 77 seconds   enfin... c'est pas la peine de sombrer dans la parano sans voir ton script il faudrait scanner pendant des heures pour passer à travers. Et 1 fois passé, finalement c'est la que le plus dur commence, réussir à faire quelquechose.   Concernant ton script de firewalling en lui même, ce qui est dommage c'est que tu n'utilises pas le statefull (-m state --state RELATED,ESTABLISHED -j ACCEPT)   Je pense qu'en statefull tu pourrais te passer de toutes tes règles d'input (pour le dns, dns2go et edonkey)

En plus le mode Stateful de netfilter est assez stable ... donc pourquoi s'en priver ...

je vais m'occuper de ca de suite.
 
en tout cas le firewall t'as detecte. c'est bien toi xxx.xxx.xxx.xxx ?

Cé pas moi, j'ai pas scanné encore ... ...

A propos du stateful:
http://www.puschitz.com/FirewallAndRouters.shtml
 
EN bas de la page y a un lien vers un tutorial sur le site d'ibm dw "Linux 2.4 stateful firewall design" fait par Daniel Robbins.
 
Je l'ai pas encore regardé, mais vu la qualité des autres tutoriaux qu'il a fait, ca doit etre pas mal

bon je viens de modifier ca
 
un volontaire pour re-essayer ?

c'est partit
 
mais ca met une plombe et il a l'air de rien trouver donc c'est plutot bon signe  

Bon ... au 24000 ème port ca donne ca avec superscan (à prendre avec précaution donc pour le moment ... ) :

 
25/110 c'est bizarre puisque je n'ai pas autorise ces ports
 
le 4662 j'ai pas le choix, c'est pour mldonkey
 
edit: arretes ton scan, j'ai rien au dela du 29900

nmap -sX -vv -g 1227 -O -d -P0 212.195.116.151
 
Nmap run completed -- 1 IP address (1 host up) scanned in 949 seconds
 
Il me met que tous les ports (du 1 à 65000 et quelques) sont ouverts. Mais c'est plutot parce qu'il pédale dans la choucroute et qu'il a rien trouvé  

fl0ups a écrit a écrit : nmap -sX -vv -g 1227 -O -d -P0 212.195.116.151   Nmap run completed -- 1 IP address (1 host up) scanned in 949 seconds   Il me met que tous les ports (du 1 à 65000 et quelques) sont ouverts. Mais c'est plutot parce qu'il pédale dans la choucroute et qu'il a rien trouvé

 
okai
 
tu peux faire la meme chose sans specifier le -g 1227 ?

J'essaye de déterminer la méthode de scan de superscan pour voir si cé un outil sérieux ou pas ...
Par contre, est ce que le fw a logué le scan ?