Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
969 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  iptables et nmap

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

iptables et nmap

n°754821
lolo_067
Posté le 22-11-2005 à 09:00:20  profilanswer
 

hello,  
 
j'ai installé un firewall avec iptables. J'ai testé avec nmap. J'ai comme résultats des ports fermés et des ports ouverts (ce que je voulais). Par contre j'ai aussi  
 
(The 1658 ports scanned but not shown below are in state: filtered).
 
Ca veut dire quoi des ports filtered ? Sont ils fermés ? ne répondent ils pas ?
 
Merci

mood
Publicité
Posté le 22-11-2005 à 09:00:20  profilanswer
 

n°754823
l0ky
Posté le 22-11-2005 à 09:02:50  profilanswer
 

Ils ne répondent pas => ils sont filtrés (filtered en anglais)

n°754826
lolo_067
Posté le 22-11-2005 à 09:09:11  profilanswer
 

ok cela veut dire qu'on peut quand essayer de pénétrer par ces ports ou que le système les considère comme inexistants ?

n°754833
l0ky
Posté le 22-11-2005 à 09:34:41  profilanswer
 

On peut essayer oui mais en théorie on y arrivera pas, sauf faiblesse du firewall et attaque un peu plus élaborée [:spamafote]
Ton firewall empeche tout packet provenant de l'extérieur d'atteindre ce port.

n°754839
lolo_067
Posté le 22-11-2005 à 09:44:51  profilanswer
 

ok,
 
cela concerne les 1658 premiers ports. Et pour les autres ? Comment faire pour les fermé ou les filtrer ? Je pense surtout pour les softs de p2p. Ils utilisent des ports comme 4662 (emule me semble t il ).
 
Une idée ?

n°754843
l0ky
Posté le 22-11-2005 à 09:47:58  profilanswer
 

deux solutions:
 soit tu mets ta politique à DROP puis tu autorises au cas par cas les protocoles que tu acceptes (target ACCEPT), en précisant le sens (LAN vers Internet) + ESTABLISHED/RELATED.
 les autres flux seront par défaut dropés.
 
 Soit tu mets ta politique à ACCEPT puis tu interdit au cas par cas les protocoles que tu ne veux pas (target DROP).
 
Conseil de lecture:
http://christian.caleca.free.fr/netfilter/iptables.htm

n°754847
lolo_067
Posté le 22-11-2005 à 09:51:51  profilanswer
 

j'ai suivi ce tuto mais j'ai utilisateur qui arrive à passer avec Shéréazade alors que si j'ai bien tout compris tout devrait être fermé.  
C'est le poruqoi de ma question

n°754850
l0ky
Posté le 22-11-2005 à 09:54:51  profilanswer
 

tu peux faire un iptables -n -v -L et poster le résultats dans un block [ fixed] ?

n°754852
lolo_067
Posté le 22-11-2005 à 10:02:55  profilanswer
 

et voila le résultat...
 
Je matrise pas encore comme il faut cette affaire. Tu as du t'en rendre compte ...
 
Merci
 
 

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
  235 18670 local-internet  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    1    44 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:20
 
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    9  1211 local-internet  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       192.168.1.200        0.0.0.0/0           tcp dpt:25 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       192.168.1.200        0.0.0.0/0           tcp dpt:110 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.200       tcp spt:25 state RELATED,ESTABLISHED
 
Chain OUTPUT (policy ACCEPT 174 packets, 21202 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
 
Chain local-internet (2 references)
 pkts bytes target     prot opt in     out     source               destination
   20  2477 ACCEPT     all  --  !ppp0  *       0.0.0.0/0            0.0.0.0/0           state NEW
  223 17360 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

n°754853
l0ky
Posté le 22-11-2005 à 10:07:05  profilanswer
 

il me semble que ta chain local-internet accepte tout le traffic provenant de toutes les interface autres que ppp0
ie: si ton utilisateur est connecté disons sur eth0, il a acces à tout Internet.
 
Si je me trompes, corriger moi.

mood
Publicité
Posté le 22-11-2005 à 10:07:05  profilanswer
 

n°754855
l0ky
Posté le 22-11-2005 à 10:08:15  profilanswer
 

idem, tous tes process locaux ont un acces full a internet.
conseil: enleve la premiere regle dans la chaine FORWARD

n°754857
lolo_067
Posté le 22-11-2005 à 10:14:57  profilanswer
 

en fait j'ai une carte réseau (eth0) et un modem (ppp0). Internet vient par ppp0 et le réseau local par eth0


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  iptables et nmap

 

Sujets relatifs
Iptables: command owner match plus supporte par le 2.6.14iptables et outlook
[Iptables] Pas d'initialisation au démarrageRecherche différents exemples de log iptables...
Questions à propos d'iptablesProblème avec les log d'iptables
mapper un port avec iptables[Iptables] script pour passerelle
IPTABLES: limiter les accès SSHService Iptables Arreté !
Plus de sujets relatifs à : iptables et nmap

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.030 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR