Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3325 connectés 

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

analyse de log ?

n°772165
lima44
Posté le 16-01-2006 à 10:24:45  profilanswer
 

slt,
 
j'ai besoin d'un petit cours.
 
voilà un log:
Jan 15 17:16:01 localhost IN=eth0 OUT= MAC=00:0c:6e:eb:8a:06:00:07:cb:06:54:2c:08:00  SRC=213.186.33.14 DST=82.254.126.79 LEN=52 TOS=00 PREC=0x00 TTL=56 ID=0 DF PROTO=TCP SPT=21 DPT=40317 SEQ=163706256 ACK=1162901236 WINDOW=5792 ACK URGP=0  
 
correspondant à cette règle
 
iptables -A INPUT -i eth0 --protocol tcp --source-port 21 -m state --state NEW,ESTABLISHED -j ULOG
iptables -A INPUT -i eth0 --protocol tcp --source-port 21 -m state --state NEW,ESTABLISHED -j ACCEPT
 
je log les connexions sur mon serveur FTP, par contre j'ai du mal avec l'interpretation,  
DST=82.254.126.79 je pense que c'est moi qui suit la destination ;-)
par contre
SPT=21 DPT=40317 par contre la je comprends plus, la connexion devrait arriver sur le port 21 de ma machine, ou alors source et destination en changées de sens ??
ACK=1162901236 je pensais que ACK ne pouvait avoir que 0 ou 1 comme valeur?
 
vos lumières sont les biens venues.
 
et pour ceux qui sont courageux:
 
# ftp
iptables -A INPUT -i eth0 --protocol tcp --source-port 21 -m state --state NEW,ESTABLISHED -j ULOG
iptables -A INPUT -i eth0 --protocol tcp --source-port 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 21 -m state --state NEW,ESTABLISHED -j ACCEPT
 
#FTP passif
iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
Voilà mes règles pour FTP et ma soeur n'arrive pas à se connecter à mon micro?

mood
Publicité
Posté le 16-01-2006 à 10:24:45  profilanswer
 

n°772171
l0ky
Posté le 16-01-2006 à 10:59:58  profilanswer
 

As tu chargé le modules ftp pour conntrack ?

n°772182
lima44
Posté le 16-01-2006 à 11:35:26  profilanswer
 

lsmod |grep ftp
ip_nat_ftp              2272  0
iptable_nat            19068  3 ipt_MASQUERADE,ip_nat_ftp
ip_conntrack_ftp       71344  1 ip_nat_ftp
ip_conntrack           37400  5 ipt_MASQUERADE,ipt_state,ip_nat_ftp,iptable_nat,ip_conntrack_ftp

n°772582
roscocoltr​an
L'enfer c'est les utilisateurs
Posté le 17-01-2006 à 13:42:03  profilanswer
 

ftp est spécial, selon le  mode actif ou passif du client c'est le serveur ou le client qui va fournir le port pour le transfert des données. C'est le protocole ftp que tu dois étudier.


---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
n°772617
lima44
Posté le 17-01-2006 à 15:16:22  profilanswer
 

j'ai qque peu modifier mes règles mais c'est tjs pas ça:
 
# ftp
iptables -A INPUT -i eth0 --protocol tcp --source-port 21 -m state --state ESTABLISHED -j ULOG
iptables -A INPUT -i eth0 --protocol tcp --source-port 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 --protocol tcp --dport 21 -m state --state NEW -j ULOG
iptables -A INPUT -i eth0 --protocol tcp --dport 21 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 21 -m state --state NEW,ESTABLISHED -j ACCEPT
 
#FTP passif
iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
pour le mode je privilégie le passif.
 
donc si j'ai bien compris: j'accepte les demandes de connexion sur le port 21
 
iptables -A INPUT -i eth0 --protocol tcp --dport 21 -m state --state NEW -j ACCEPT
 
je permet la reponse:
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 21 -m state --state NEW,ESTABLISHED -j ACCEPT
 
une fois le n° de port client transmis je permet le dialogue avec des ports qui s'ouvrent grace à RELATED
 
#FTP passif
iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT  
 
je vois pas ou mon raisonnement cloche??


Aller à :
Ajouter une réponse
 

Sujets relatifs
Detection/analyse d'intrusions IPTables/IPFilteranalyse sur une architecture réseau
méthodes d'analyse des risques 2méthodes d'analyse des risques
Analyse de log Apache en mode webDebian - Analyse de logs (squid)
Analyse de traffic routé par un linux[Apache] Module d'analyse d'URL
Analyse de la section « brevets logiciels » du rapport numéro 41soft d'analyse technique boursière
Plus de sujets relatifs à : analyse de log ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR