Fermer les connexion TCP / UDP

Recherche :

Dernière réponse

Sujet : Fermer les connexion TCP / UDP

BMOTheKiller

il y a un p'tit truc que tu peux faire simplement, c'est dire à iptables de te passer tes polices en DROP (si tu n'as pas "installer" de firewall, enfin choisi le niveau de sécurité est plus correct à dire)

iptables -P INPUT DROP <---- tout ce qui se passe sera rejeté

ensuite tu ajoutes tes polices dans INPUT, du genre

iptables -s 0/0 -d 0/0 -j ACCEPT -i lo <--- on accepte tout ce qui se passe en local seulement
iptables -s 0/0 -d 0/0 -j ACCEPT -i eth0 <----- on accepte tout ce qui se passe sur le réseau local
iptables -s 0/0 -d 0/0 -dport 21 -p tcp -j ACCEPT -i pp0 <---- on accepte seulement les connexions au port 21 (ftp) protocole tcp à partir de l'extérieur (donc ici ppp0 étant notre interface "net" )

bref, ton iterface au net peut etre eth0 et ton réseau local eth1, à toi d'adapter

le plus simple en tous cas, c'est de jouer avec iptables/ipachains et donc de fermer toutes les connexions sur une interface directement et ensuite d'ajouter seulement ce que l'on veut (DNS, ftp, http, ssh, ....), deplus comme ça tu deviens "invisible" puisque tu n'es même plus pingable, ni donc scanable :D

par là dessus j'ai rajouté portsentry qui me détecte les scans directs sur des ports donnés et qui me ban l'IP du gars au bout de 2 tentatives, bref voici un exemple un peu ancien que j'ai dans mes logs de ce que ça fait :

Code :

Aug 28 07:25:48 SERVEURADSL portsentry[3703]: attackalert: Connect from host: HSE-Windsor-ppp211898.sympatico.ca/64.228.147.213 to TCP port: 635
Aug 28 07:25:48 SERVEURADSL portsentry[3703]: attackalert: Host 64.228.147.213 has been blocked via dropped route using command: "/sbin/ipchains -I input -s 64.228.147.213 -j DENY -l"
Aug 28 07:25:49 SERVEURADSL kernel: Packet log: input DENY ppp0 PROTO=6 64.228.147.213:3848 193.252.3.110:1080 L=40 S=0x00 I=41449 F=0x4000 T=110 (#1)
Aug 28 07:25:49 SERVEURADSL kernel: Packet log: input DENY ppp0 PROTO=6 64.228.147.213:3853 193.252.3.110:1080 L=40 S=0x00 I=41450 F=0x4000 T=110 (#1)
Aug 28 07:25:49 SERVEURADSL kernel: Packet log: input DENY ppp0 PROTO=6 64.228.147.213:3849 193.252.3.110:1080 L=40 S=0x00 I=41453 F=0x4000 T=11

bref, après 6 répétitions de la dernière ligne, le gars me connait plus, il n'a plus accès à la machine :D

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

BMOTheKiller

Code :

Aug 28 07:25:48 SERVEURADSL portsentry[3703]: attackalert: Connect from host: HSE-Windsor-ppp211898.sympatico.ca/64.228.147.213 to TCP port: 635
Aug 28 07:25:48 SERVEURADSL portsentry[3703]: attackalert: Host 64.228.147.213 has been blocked via dropped route using command: "/sbin/ipchains -I input -s 64.228.147.213 -j DENY -l"
Aug 28 07:25:49 SERVEURADSL kernel: Packet log: input DENY ppp0 PROTO=6 64.228.147.213:3848 193.252.3.110:1080 L=40 S=0x00 I=41449 F=0x4000 T=110 (#1)
Aug 28 07:25:49 SERVEURADSL kernel: Packet log: input DENY ppp0 PROTO=6 64.228.147.213:3853 193.252.3.110:1080 L=40 S=0x00 I=41450 F=0x4000 T=110 (#1)
Aug 28 07:25:49 SERVEURADSL kernel: Packet log: input DENY ppp0 PROTO=6 64.228.147.213:3849 193.252.3.110:1080 L=40 S=0x00 I=41453 F=0x4000 T=11

bref, après 6 répétitions de la dernière ligne, le gars me connait plus, il n'a plus accès à la machine :D

xpoulet

merci ^^

bon je vais :sleep:

bonne nuit :hello: et merci encore

Tux Le Penguin

Xpoulet a écrit a écrit :

Port State Service
111/tcp open sunrpc
515/tcp open printer

il y a une commande pour fermer manuellement les ports 111 et 515 ?

je pense que si tu vires inetd comme je t'es dis, tu n'auras plus rien ... en tout cas, il me semble que sunrpc y est directement lié
par contre, pour printer, peut-être qu'en virant lpr du rep rc.d, ça suffirait

xpoulet

Port State Service
111/tcp open sunrpc
515/tcp open printer

il y a une commande pour fermer manuellement les ports 111 et 515 ?

xpoulet

je vais essayer un firewall aussi
guargdog (un truc comme ca) ou bastille , non ?

Tux Le Penguin

Xpoulet a écrit a écrit :

merci ^^

il reste ça:

111/tcp open sunrpc
113/tcp open auth
515/tcp open printer

il faut les fermer ?

pas obliger, mais si tu l'utilises pas , ce serait mieux
perso, comme je l'ai dit tout a l'heure, j'ai tout virer, et j'ai plus rien (comme ça, en cas de nmap, on peut même pas savoir quel os j'ai :D )
sinon, tu fous un firewall qui bloque ces ports ...

xpoulet

merci ^^

il reste ça:

111/tcp open sunrpc
113/tcp open auth
515/tcp open printer

il faut les fermer ?

PinG

Xpoulet a écrit a écrit :

merde j'ai fait

update-rc.d -f nfs-common remove
update-rc.d -f exim remove
update-rc.d -f inetd remove

sur une debian il vaut mieux les commenter dans le /etc/inetd.conf?

comment on les remet alors ? je les commenterais donc...

tu peut au moins commenter tout dans le /etc/inetd.conf (avec des #), puis faire un 'ln -s /etc/init.d/inetd /etc/rc2.d/S20inetd', avant de faire un '/etc/rc2.d/S20inetd restart' (pour voir si le tout marche bien ;))

Tux Le Penguin

c'est l'interet du -f, tu peux remettre facilement :
update-rc.d inetd defaults

Tux Le Penguin

PinG a écrit a écrit :

spa terrible, si il a une distro qui gère les paquets (comment ca je suis anti-slack?), si il veut installer un truc genre samba sous inetd, il vas se faire chier... autant #er les lignes pour le moment...

c'est vrai, j'utilise pas samba, donc je sais pas ... par contre j'utilise proftp et il en parle à l'install je crois, et comem je lui dit que c'est à proftp de se démerder tout seul, je peux couper inetd ... enfin je dis pas que c'est pas crade, mais c'est la façon que j'utilise :)
sinon, effectivement, commenter chaque ligne du /etc/inetd.conf, c'est pas plus compliqué :jap:

xpoulet

merde j'ai fait

update-rc.d -f nfs-common remove
update-rc.d -f exim remove
update-rc.d -f inetd remove

sur une debian il vaut mieux les commenter dans le /etc/inetd.conf?

comment on les remet alors ? je les commenterais donc...

PinG

Tux Le Penguin a écrit a écrit :

a priori il veut tout virer, donc autant arreter inetd...

spa terrible, si il a une distro qui gère les paquets (comment ca je suis anti-slack?), si il veut installer un truc genre samba sous inetd, il vas se faire chier... autant #er les lignes pour le moment...

Tux Le Penguin

PinG a écrit a écrit :

vi /etc/inetd.conf

a priori il veut tout virer, donc autant arreter inetd...

PinG

Xpoulet a écrit a écrit :

je l'ai fait et pourtant un Nmap mon_ip retourne encore cela

Port State Service
9/tcp open discard
13/tcp open daytime
25/tcp open smtp
37/tcp open time
111/tcp open sunrpc
113/tcp open auth
515/tcp open printer

vi /etc/inetd.conf

xpoulet

merci ^^

Tux Le Penguin

Xpoulet a écrit a écrit :

je l'ai fait et pourtant un Nmap mon_ip retourne encore cela

Port State Service
9/tcp open discard
13/tcp open daytime
25/tcp open smtp
37/tcp open time
111/tcp open sunrpc
113/tcp open auth
515/tcp open printer

ouai, c'est parce que ça ne l'a pas arreté, ça lui dit juste de pas le démarrer au prochain boot ... normalement tu l'as encore quand tu fais "ps aux" : recherche inetd, c'est lui qui fait ça
et tu l'arretes avec kill, ou kill -9 s'il est récalcitrant
après ça devrait être bon normalement...

xpoulet

je l'ai fait et pourtant un Nmap mon_ip retourne encore cela

Port State Service
9/tcp open discard
13/tcp open daytime
25/tcp open smtp
37/tcp open time
111/tcp open sunrpc
113/tcp open auth
515/tcp open printer

Tux Le Penguin

Xpoulet a écrit a écrit :

Pardon, je suis sous debian woody
Pour chacune des commandes, voila ce que j obtiens : c'est normal ?

NunuX:~# update-rc.d nfs-common remove
update-rc.d: /etc/init.d/nfs-common exists during rc.d purge (use -f to force)

je dois forcer les commandes ?

ah oui désolé, il faut rajouter le -f
sinon il faut que tu enleves le fichier de /etc/init.d pour qu'il n'affiche pas le message, mais mieux vaut le garder, au cas où tu voudrais le remettre plus tard

PinG

BMenez a écrit a écrit :

A moi de poser une question...
Comment on coupe une connexion pour liberer un port pris par une connexion TCP ouverte mais pas fermée ? Est-on obligé d'attendre le time-out ou est-ce qu'il existe un outil pour tuer les connexions fantomes ?

bah typiquement, tu peux tuer la connect en envoyant des paquets RST... mais c un peut porc :D

xpoulet

Tux Le Penguin a écrit a écrit :

tiens, c'est marrant, tu n'as pas trop de chose en faite ...
bon, quelques uns quand même (merde, j'ai oublié de te demander ta distro):
si tu es sous debian :
update-rc.d nfs-common remove
update-rc.d exim remove
update-rc.d inetd remove (<= celui là c'est pour virer ce que tu voulais virer)
y-en a surement d'autre que tu peux virer, notamment ppp, lpr et les dm (xdm, kdm, gdm : tu devrais en avoir besoin que d'un normalement), mais ça dépend de ta config...
si tu es sous mandrake, tu vires les 3 aussi, mais via le mandrake control center

Pardon, je suis sous debian woody
Pour chacune des commandes, voila ce que j obtiens : c'est normal ?

NunuX:~# update-rc.d nfs-common remove
update-rc.d: /etc/init.d/nfs-common exists during rc.d purge (use -f to force)

je dois forcer les commandes ?

Tux Le Penguin

Xpoulet a écrit a écrit :

ls -l /etc/rc`runlevel | cut -f2 -d' '`.d/
total 0
lrwxrwxrwx 1 root root 18 Oct 17 14:54 S10sysklogd -> ../init.d/sysklogd
lrwxrwxrwx 1 root root 15 Oct 17 14:54 S11klogd -> ../init.d/klogd
lrwxrwxrwx 1 root root 13 Oct 17 14:54 S14ppp -> ../init.d/ppp
lrwxrwxrwx 1 root root 20 Oct 17 13:10 S19nfs-common -> ../init.d/nfs-common
lrwxrwxrwx 1 root root 14 Oct 17 14:54 S20exim -> ../init.d/exim
lrwxrwxrwx 1 root root 15 Oct 17 14:54 S20inetd -> ../init.d/inetd
lrwxrwxrwx 1 root root 13 Oct 17 13:10 S20lpd -> ../init.d/lpd
lrwxrwxrwx 1 root root 17 Oct 17 14:53 S20makedev -> ../init.d/makedev
lrwxrwxrwx 1 root root 13 Oct 17 13:10 S20ssh -> ../init.d/ssh
lrwxrwxrwx 1 root root 13 Oct 17 13:11 S20xfs -> ../init.d/xfs
lrwxrwxrwx 1 root root 13 Oct 17 14:54 S89atd -> ../init.d/atd
lrwxrwxrwx 1 root root 14 Oct 17 14:53 S89cron -> ../init.d/cron
lrwxrwxrwx 1 root root 13 Oct 17 13:12 S99gdm -> ../init.d/gdm
lrwxrwxrwx 1 root root 13 Oct 17 13:12 S99kdm -> ../init.d/kdm
lrwxrwxrwx 1 root root 19 Oct 17 14:53 S99rmnologin -> ../init.d/rmnologin
lrwxrwxrwx 1 root root 13 Oct 17 13:13 S99xdm -> ../init.d/xdm

tiens, c'est marrant, tu n'as pas trop de chose en faite ...
bon, quelques uns quand même (merde, j'ai oublié de te demander ta distro):
si tu es sous debian :
update-rc.d nfs-common remove
update-rc.d exim remove
update-rc.d inetd remove (<= celui là c'est pour virer ce que tu voulais virer)
y-en a surement d'autre que tu peux virer, notamment ppp, lpr et les dm (xdm, kdm, gdm : tu devrais en avoir besoin que d'un normalement), mais ça dépend de ta config...
si tu es sous mandrake, tu vires les 3 aussi, mais via le mandrake control center

Tux Le Penguin

BMenez a écrit a écrit :

A moi de poser une question...
Comment on coupe une connexion pour liberer un port pris par une connexion TCP ouverte mais pas fermée ? Est-on obligé d'attendre le time-out ou est-ce qu'il existe un outil pour tuer les connexions fantomes ?

[:rofl] [:ddr555]

BMenez

A moi de poser une question...
Comment on coupe une connexion pour liberer un port pris par une connexion TCP ouverte mais pas fermée ? Est-on obligé d'attendre le time-out ou est-ce qu'il existe un outil pour tuer les connexions fantomes ?

xpoulet

ls -l /etc/rc`runlevel | cut -f2 -d' '`.d/
total 0
lrwxrwxrwx 1 root root 18 Oct 17 14:54 S10sysklogd -> ../init.d/sysklogd
lrwxrwxrwx 1 root root 15 Oct 17 14:54 S11klogd -> ../init.d/klogd
lrwxrwxrwx 1 root root 13 Oct 17 14:54 S14ppp -> ../init.d/ppp
lrwxrwxrwx 1 root root 20 Oct 17 13:10 S19nfs-common -> ../init.d/nfs-common
lrwxrwxrwx 1 root root 14 Oct 17 14:54 S20exim -> ../init.d/exim
lrwxrwxrwx 1 root root 15 Oct 17 14:54 S20inetd -> ../init.d/inetd
lrwxrwxrwx 1 root root 13 Oct 17 13:10 S20lpd -> ../init.d/lpd
lrwxrwxrwx 1 root root 17 Oct 17 14:53 S20makedev -> ../init.d/makedev
lrwxrwxrwx 1 root root 13 Oct 17 13:10 S20ssh -> ../init.d/ssh
lrwxrwxrwx 1 root root 13 Oct 17 13:11 S20xfs -> ../init.d/xfs
lrwxrwxrwx 1 root root 13 Oct 17 14:54 S89atd -> ../init.d/atd
lrwxrwxrwx 1 root root 14 Oct 17 14:53 S89cron -> ../init.d/cron
lrwxrwxrwx 1 root root 13 Oct 17 13:12 S99gdm -> ../init.d/gdm
lrwxrwxrwx 1 root root 13 Oct 17 13:12 S99kdm -> ../init.d/kdm
lrwxrwxrwx 1 root root 19 Oct 17 14:53 S99rmnologin -> ../init.d/rmnologin
lrwxrwxrwx 1 root root 13 Oct 17 13:13 S99xdm -> ../init.d/xdm

Tux Le Penguin

Xpoulet a écrit a écrit :

Bonsoir je suis une grosse tanche en réseau ...

comment faire un script pour fermer les ports suivants ...
(si j'ai bien compris ils sont ouverts sur ma machine) :/

Port State Service
9/tcp open discard
13/tcp open daytime
25/tcp open smtp
37/tcp open time
111/tcp open sunrpc
113/tcp open auth
515/tcp open printer

Je voudrais juste conserver les ports communiquant internet.

Merci :jap:

ps aux
ls -l /etc/rc`runlevel | cut -f2 -d' '`.d/

xpoulet

Bonsoir je suis une grosse tanche en réseau ...

comment faire un script pour fermer les ports suivants ...
(si j'ai bien compris ils sont ouverts sur ma machine) :/

Port State Service
9/tcp open discard
13/tcp open daytime
25/tcp open smtp
37/tcp open time
111/tcp open sunrpc
113/tcp open auth
515/tcp open printer

Je voudrais juste conserver les ports communiquant internet.

Merci :jap:

Tux Le Penguin

raah ! j'arrive trop tard :o
ben tant mieux si ça marche :)

Naab

BMOTheKiller a écrit a écrit :

et si tu tapes ça ?

iptables -I INPUT 1 -s 0/0 -d 0/0 -j REJECT -i eth0

tu peux y aller, ça ferme tout :D, je viens d'essayer, mes NFS n'ont pas appréciés :pt1cable:

Merci beaucoup, ca fonctionne :)

BMOTheKiller

et si tu tapes ça ?

iptables -I INPUT 1 -s 0/0 -d 0/0 -j REJECT -i eth0

tu peux y aller, ça ferme tout :D, je viens d'essayer, mes NFS n'ont pas appréciés :pt1cable:

Naab	Tu aurais un exemple de script coupant toutes les connexion ?

Tux Le Penguin

Naab a écrit a écrit :

C'est une connexion au rezeau local qui est protegée donc l'arreter / relancer risque d'etre dure (mais si c'est possible de deconnecter 2 secondes la machines du rezeau et de le reconnecter ca me va aussi)

etant debutant avec linux je ne sais pas comment deconnecter / reconnecter au reseau le pc de maniere automatique

pourquoi automatiquement ? une fois que ton script est bon, tu le laisse non ?
enfin, de toute maniere, si ton script est bien fait, il coupe tout tout de suite, et pas seulement les nouvelles connexions ...

Naab

C'est une connexion au rezeau local qui est protegée donc l'arreter / relancer risque d'etre dure (mais si c'est possible de deconnecter 2 secondes la machines du rezeau et de le reconnecter ca me va aussi)

etant debutant avec linux je ne sais pas comment deconnecter / reconnecter au reseau le pc de maniere automatique

Tux Le Penguin

Naab a écrit a écrit :

Hello

Je cherche le moyen de fermer toutes les connexions actives sur ma machine via iptables

pour le moment j'au reussis a fair un firewall qui bloque toute nouvelle connexion une fois qu'il est lancé, mais il ne drop pas les anciennes, donc une fois le firewall on toute nouvelle connexion est drop mais toutes les anciennes sont actives, et c'est tres genant

C'est quelqu'un a une solution, je suis preneur

merci :)

ben arrete ta connexion puis redémarre là ?

Naab

Hello

Je cherche le moyen de fermer toutes les connexions actives sur ma machine via iptables

pour le moment j'au reussis a fair un firewall qui bloque toute nouvelle connexion une fois qu'il est lancé, mais il ne drop pas les anciennes, donc une fois le firewall on toute nouvelle connexion est drop mais toutes les anciennes sont actives, et c'est tres genant

C'est quelqu'un a une solution, je suis preneur

merci :)