Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1142 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [iptables] blacklistage de boolay - j'ai du raté qq chose

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[iptables] blacklistage de boolay - j'ai du raté qq chose

n°296500
farib
Posté le 27-07-2003 à 01:31:40  profilanswer
 


81.57.157.113 - - [27/Jul/2003:00:06:11 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
81.57.157.113 - - [27/Jul/2003:00:06:13 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
81.57.157.113 - - [27/Jul/2003:00:06:14 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
81.57.157.113 - - [27/Jul/2003:00:06:16 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
81.57.157.113 - - [27/Jul/2003:00:06:18 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283
81.57.157.113 - - [27/Jul/2003:00:06:20 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283
81.57.157.113 - - [27/Jul/2003:00:06:22 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
81.57.157.113 - - [27/Jul/2003:00:06:28 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
 


 
 
 
bon, on va l'envoyer chier
 
iptables -A INPUT -i eth1 -s 81.57.157.113 -j DROP
 
pourtant il réapparait dans les logs....
 


root@alizee:~# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED
DROP       all  --  anywhere             anywhere           state INVALID
fromrezo   all  --  anywhere             anywhere
fromnet    all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:http
DROP       all  --  choisy-1-81-57-157-113.fbx.proxad.net  anywhere
 
Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             farib.rezo         tcp dpts:6881:6889
ACCEPT     tcp  --  anywhere             farib.rezo         tcp dpt:1214
ACCEPT     tcp  --  anywhere             farib.rezo         tcp dpt:4711
ACCEPT     udp  --  anywhere             farib.rezo         udp dpt:4662
ACCEPT     tcp  --  anywhere             farib.rezo         tcp dpt:4661
ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED
DROP       all  --  anywhere             anywhere           state INVALID
fwdrezo    all  --  anywhere             anywhere
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain fromnet (1 references)
target     prot opt source               destination
 
Chain fromrezo (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
 
Chain fwdrezo (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
 

mood
Publicité
Posté le 27-07-2003 à 01:31:40  profilanswer
 

n°296501
bobor
tueur de n44b
Posté le 27-07-2003 à 01:32:50  profilanswer
 

avec -I plutot que -A?


---------------
Gitan des temps modernes
n°296503
farib
Posté le 27-07-2003 à 01:37:07  profilanswer
 

Bobor a écrit :

avec -I plutot que -A?

ah ?
 
concretement ca change quoi ? j'ai jamais réellement compris...

n°296504
bobor
tueur de n44b
Posté le 27-07-2003 à 01:37:43  profilanswer
 

t'appliqe la règle en premier...et pas en dernier!


---------------
Gitan des temps modernes
n°296508
farib
Posté le 27-07-2003 à 01:46:31  profilanswer
 

j'ai ca
 
ACCEPT     all  --  anywhere             anywhere
 
et apparemment, et d'apres mon fichier, je devair pas l'avoir (cette ligne elle a l'air de tout accepter non ?)
 
chuis étonné parce que j'ai toujours ue l'impression que ca fonctionnnait bien et je vois cette ligne j'ai un doute
 


#!/bin/sh
# fichier config alizée pour le 17
 
 
IPT=/usr/sbin/iptables  
 
ipt() {
  echo $*
  $IPT $*
}
 
start() {
  /bin/echo "=> Initialisation du Firewall"
 
  echo -n "."
 
  #####  Initialisation generale
 
  # Polices par default (on accepte uniquement les sorties)
  ipt -P INPUT DROP
  ipt -P OUTPUT ACCEPT
  ipt -P FORWARD DROP
 
  #initialisation
  ipt -t nat -F
  ipt -F
  ipt -X
 
  #creation de tables
  ipt -N fromrezo   #securite moyenne
  ipt -N fromnet    #securite maximum
  ipt -N fwdrezo    #forward depuis le rezo
 
  #####  Premiere couche
 
  # Trie des entrees vers la machine elle meme
  ipt -A INPUT -i lo -j ACCEPT
  ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  ipt -A INPUT -m state --state INVALID -j DROP
 
  ipt -A INPUT -i eth0 -j fromrezo
  ipt -A INPUT -i eth1 -j fromnet
 
 
  #Trie des demandes de forward
  ipt -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
  ipt -A FORWARD -m state --state INVALID -j DROP
  ipt -A FORWARD -i eth0 -j fwdrezo
 
  #On NAt les ips sur le net
  ipt -t nat -A POSTROUTING -o eth1 -j MASQUERADE
 
 
#  #ICQ pour ToTo
#  ipt -t nat -I PREROUTING -i ppp0 -p tcp --dport 4000 -j DNAT --to 10.1.121.1:4000
#  ipt -t nat -I PREROUTING -i ppp0 -p udp --dport 4000 -j DNAT --to 10.1.121.1:4000
#  ipt -A INPUT -i ppp0 -p tcp --dport 4000 -j ACCEPT
#  ipt -A INPUT -i ppp0 -p udp --dport 4000 -j ACCEPT
 
#  Emule pour farib
 
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
 
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
 
iptables -I INPUT -i eth1 -s 81.57.157.113 -j DROP
#81.57.157.113
 
iptables -I PREROUTING -t nat -i eth1 -p tcp --dport 4661 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i eth1 -o eth0 -p tcp --dport 4661 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i eth1 -p udp --dport 4662 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i eth1 -o eth0 -p udp --dport 4662 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i eth1 -p tcp --dport 4711 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i eth1 -o eth0 -p tcp --dport 4711 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i eth1 -p tcp --dport 1214 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i eth1 -o eth0 -p tcp --dport 1214 -d 192.168.0.2 -j ACCEPT
 
 
iptables -I PREROUTING -t nat -i eth1  -p tcp --dport 6881:6889 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i eth1 -o eth0 -p tcp  --dport 6881:6889 -d 192.168.0.2 -j ACCEPT
 
 
 
  #acceptation du rézo
 ipt -A fromrezo -j ACCEPT
 
 
 
  #entrees FORWARD->fwd
 
  ipt -A fwdrezo -j ACCEPT  
 
 
  /bin/echo 1 > /proc/sys/net/ipv4/ip_forward
 
  echo "=> Firewall initialise"
}
 
stop() {
#
# On remet la police par défaut à ACCEPT
#
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
 
#
# On remet les polices par défaut pour la table NAT
#
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
 
#
# On vide (flush) toutes les règles existantes
#
iptables -F
iptables -t nat -F
 
#
# Et enfin, on efface toutes les chaînes qui ne
# sont pas à defaut dans la table filter et nat
 
iptables -X
iptables -t nat -X
 
# Message de fin
echo " [firewall stoppe]"
 
}
 
 
case $1 in
start)
  start
  ;;
 
stop)
  stop  
#  /bin/echo 0 > /proc/sys/net/ipv4/ip_forward
;;
 
restart)
 stop
 start
;;
 
*)
echo "Usage: $0 start | stop | restart"
;;
 
esac
 

n°296510
bobor
tueur de n44b
Posté le 27-07-2003 à 02:03:11  profilanswer
 

c'est pas dû à ta ligne lo par hasard? (dans ce cas c'est bon)
fais iptables-save plutot que iptables -L, c'est plus clair.
 
n'oublie pas de kicker ta blacklist en forward également.


---------------
Gitan des temps modernes
n°296512
C_Po_Ma_Fa​ute
Posté le 27-07-2003 à 02:14:19  profilanswer
 

Effectivement vu le résultat de iptables -L ton firewall laisse tout passer !!! [:totoz]
 
 
Tu définis la chaîne fromnet mais tu ne définis ensuite aucune règle pour elle, puis tu fais pointer la chaîne INPUT du côté de ton interface connectée au net vers  fromnet :
 

Code :
  1. ipt -A INPUT -i eth1 -j fromnet

 
 
Par défaut une chaîne vide est peut-être considérée comme "ACCEPT"
 
 
Je ne vois pas d'autre explication, donc soit tu vires cette chaîne dont tu ne te sers pas, soit les régles que tu définis pour la chaîne INPUT pour eth1, tu les définis pour fromnet, INPUT pointant vers celle-ci ça seras bon


Message édité par C_Po_Ma_Faute le 27-07-2003 à 02:15:58
n°296531
farib
Posté le 27-07-2003 à 07:49:00  profilanswer
 

j'ai retiré les  références à fromnet
 


root@alizee:~# iptables-save
# Generated by iptables-save v1.2.7a on Sun Jul 27 07:42:22 2003
*nat
:PREROUTING ACCEPT [526:34058]
:POSTROUTING ACCEPT [260:42352]
:OUTPUT ACCEPT [278:49753]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 6881:6889 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth1 -p tcp -m tcp --dport 1214 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth1 -p tcp -m tcp --dport 4711 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth1 -p udp -m udp --dport 4662 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth1 -p tcp -m tcp --dport 4661 -j DNAT --to-destination 192.168.0.2
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Sun Jul 27 07:42:22 2003
# Generated by iptables-save v1.2.7a on Sun Jul 27 07:42:22 2003
*filter
:INPUT DROP [262:15286]
:FORWARD DROP [2:2744]
:OUTPUT ACCEPT [1022:177465]
:fromrezo - [0:0]
:fwdrezo - [0:0]
-A INPUT -s 81.57.157.113 -i eth1 -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i eth0 -j fromrezo
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -o eth0 -p tcp -m tcp --dport 6881:6889 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -o eth0 -p tcp -m tcp --dport 1214 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -o eth0 -p tcp -m tcp --dport 4711 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -o eth0 -p udp -m udp --dport 4662 -j ACCEPT
-A FORWARD -d 192.168.0.2 -i eth1 -o eth0 -p tcp -m tcp --dport 4661 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth0 -j fwdrezo
-A fromrezo -j ACCEPT
-A fwdrezo -j ACCEPT
COMMIT
# Completed on Sun Jul 27 07:42:22 2003
root@alizee:~#
 


Message édité par farib le 27-07-2003 à 07:50:36
n°296532
farib
Posté le 27-07-2003 à 07:52:29  profilanswer
 

et j'ai toujours ca  
 
ACCEPT     all  --  anywhere             anywhere
 
en fait ce qu'il y a de bizarre c'est que selon les scanneurs on-line, je suis bien protégé...


Message édité par farib le 27-07-2003 à 08:36:40
n°296533
bobor
tueur de n44b
Posté le 27-07-2003 à 09:30:59  profilanswer
 

iptables-save est ok. Fais un test sans la ligne de lo car je pense que c'est ça.  
donc tout est bon là.


---------------
Gitan des temps modernes
mood
Publicité
Posté le 27-07-2003 à 09:30:59  profilanswer
 

n°296534
farib
Posté le 27-07-2003 à 09:51:05  profilanswer
 

Bobor a écrit :

iptables-save est ok. Fais un test sans la ligne de lo car je pense que c'est ça.  
donc tout est bon là.

bah fo quand même plutot accepter le local non ?

n°296535
bobor
tueur de n44b
Posté le 27-07-2003 à 09:55:14  profilanswer
 

oui, c'est juste pour voir si cela correspond à cette ligne intrigante


---------------
Gitan des temps modernes
n°296536
farib
Posté le 27-07-2003 à 10:34:51  profilanswer
 

apparemment oui.
 
 
mais ca n'explique aps pourquoi la blacklisté a pu réussir à acceder au pc ( -A ou -I je vois pas au final la différence...) puisque par défaut c'est à drop

n°296538
bobor
tueur de n44b
Posté le 27-07-2003 à 10:40:48  profilanswer
 

parce que iptables lit les règles dans l'ordre: il est tombé en 1er (avec -A) sur la ligne ACCEPT port 80 donc accés autorisé (car iptables arrête alors la lecture des règles). En mettant -I, la ligne blacklistée se retrouve en 1er dans le déroulement des règles et donc il se fait dropé illico car c'est la première règle qui coprrespond. Iptables arrête la lecture à ce niveau.
 
regarde bien l'ordre dans iptables-save.


---------------
Gitan des temps modernes
n°296539
farib
Posté le 27-07-2003 à 10:46:16  profilanswer
 

Bobor a écrit :

parce que iptables lit les règles dans l'ordre: il est tombé en 1er (avec -A) sur la ligne ACCEPT port 80 donc accés autorisé (car iptables arrête alors la lecture des règles). En mettant -I, la ligne blacklistée se retrouve en 1er dans le déroulement des règles et donc il se fait dropé illico car c'est la première règle qui coprrespond. Iptables arrête la lecture à ce niveau.
 
regarde bien l'ordre dans iptables-save.


 
l'enculé

n°296541
bobor
tueur de n44b
Posté le 27-07-2003 à 10:48:35  profilanswer
 

un homme averti en vaut 2  [:bigsmilev]


---------------
Gitan des temps modernes
n°296543
farib
Posté le 27-07-2003 à 11:20:22  profilanswer
 

un clavier azerty en vaut deux, inculte.
 
nan mais justement c'est important de savoir qu'il sarrete apres un accept au niveau des ADD, moi je pensais qu'il cherchait a respecter toutes les règles, sachant que la dernière règle rentrée est la plus prioritaire....


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [iptables] blacklistage de boolay - j'ai du raté qq chose

 

Sujets relatifs
IpTables, mon 1er script, j'ai des questions[iptables] routage ftp
RESOLU [IPTables] Permettre l'upload sur ftpJ'ai envie d'essayer quelque chose d'autre.
Ca vaut quelque chose ce smb.conf ?[iptables] aide a tous ceux qui y capte rien :d
encoder des images en vidéo en choisisant son frame rateDetecteur d'intrusion sur linux , gerer ses log iptables ?
[iptables]restriction IP client[iptables] un pti coudmain vite fait pour comprendre bien ?
Plus de sujets relatifs à : [iptables] blacklistage de boolay - j'ai du raté qq chose


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR