Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3436 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Port bloqué par ip tables mais alerte SNORT quand meme

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Port bloqué par ip tables mais alerte SNORT quand meme

n°988567
dreamkille​r
Posté le 07-12-2007 à 10:01:29  profilanswer
 

Bonjour,
j'ai un petit soucis (enfin plutôt un truc que je comprend mal).
 
Voila j'ai cette alerte récurrente dans snort/acidbase
 
#12-(1-236)   [nessus] [cve] [icat] [bugtraq] [local] [snort] MS-SQL version overflow attempt   2007-12-07 01:24:37   218.6.128.186:1824   192.168.0.254:1434   UDP
#13-(1-237)  [url] [nessus] [cve] [icat] [bugtraq] [bugtraq] [local] [snort] MS-SQL Worm propagation attempt  2007-12-07 01:31:54  218.64.237.219:1452  192.168.0.254:1434  UDP
#14-(1-238)  [nessus] [cve] [icat] [bugtraq] [local] [snort] MS-SQL version overflow attempt  2007-12-07 01:31:54  218.64.237.219:1452  192.168.0.254:1434  UDP
 
Pourtant le port 1434 n'est pas ouvert dans mon iptables:
#vidage des tables de filtrage
iptables -F
iptables -X
 
#drop par defaut
 
#iptables -A INPUT -j LOG --log-prefix="[IN_PKTS_DROP]==> "
#iptables -A FORWARD -j LOG --log-prefix="[FO_PKTS_DROP]==> "
#iptables -A OUTPUT -j LOG --log-prefix="[OU_PKTS_DROP]==> "
 
#traffic local localhost authoris<C3><A9>
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
#Authoris<C3><A9> ping
iptables -A INPUT -p icmp -i eth0 --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp -o eth0 --icmp-type echo-request -j ACCEPT
 
#Authorisation DNS
#iptables -A INPUT -p udp -i eth0 --sport 53 --dport 1024:  -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -p udp -o eth0 --sport 1024: --dport 53 -m state --state ! INVALID -j ACCEPT
iptables -A OUTPUT -p udp -o eth0 --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport 53 -m state --state NEW -j ACCEPT
 
#Authorisation SSH
iptables -A INPUT -p tcp -i eth0 --dport ssh -m state --state NEW -j ACCEPT
 
#Authorisation Apache  port 80
iptables -A INPUT -p tcp -i eth0 --dport 80 -m state --state NEW -j ACCEPT
 
#Authorisation Apache SSL port 443
iptables -A INPUT -p tcp -i eth0 --dport 443 -m state --state NEW -j ACCEPT
 
#Authorisation traffic web sortant pour mise a jour
iptables -A OUTPUT -p tcp -o eth0 --dport 80 -m state --state NEW -j ACCEPT
 
#FTP
modprobe ip_conntrack_ftp
 
iptables -A INPUT -i eth0  -p tcp --dport 21 -m state --state NEW -j ACCEPT
 
#Autorisation pour les connection deja etabli
iptables -A INPUT -i eth0  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0  -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 
J'avoue ne pas comprendre comment c'est possible (hormis une erreur dans mon iptables mais les scan en ligne que j'ai fait n'ont pas trouvé le port 1434 ouvert)
 
Quelqu'un peut il éclairer ma lanterne
 

mood
Publicité
Posté le 07-12-2007 à 10:01:29  profilanswer
 

n°988586
czh
Posté le 07-12-2007 à 10:24:32  profilanswer
 

Oulah malheureux ! Par défaut quand tu flush les iptables, les règles se mettent tous en ACCEPT. Après un "iptables -F ", il faut faire un "iptables -A INPUT -j DROP". Là, tes ports sont tous accessibles du numéro 1 au 65000.


Message édité par czh le 07-12-2007 à 10:25:50
n°988588
o'gure
Multi grognon de B_L
Posté le 07-12-2007 à 10:27:10  profilanswer
 

-P est fait pour les politiques par défaut...


---------------
Relax. Take a deep breath !
n°988601
dreamkille​r
Posté le 07-12-2007 à 10:43:07  profilanswer
 

grrrrrrrrr j'ai commente comme un barbare je remet sa

n°988846
dreamkille​r
Posté le 07-12-2007 à 22:25:08  profilanswer
 

bon ben meme avec les DROP par defaut, j'ai toujours les meme alerte

n°988873
Zzozo
Un peu, passionément, à la fol
Posté le 08-12-2007 à 08:25:25  profilanswer
 

Même remarque que o'gure, je ne vois pas, dans ce que tu montres, où, par défaut, tu droppes les paquets ...
Au mieux, dans les lignes que tu as mises en commentaires (et encore, tu les as mises au début, alors qu'il faut les mettre tout à la fin ... ), tu loggues des paquets ...

 

As tu rajouté, en début de script, des lignes du style ? :

 

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

 


Pour la politique par defaut en OUTPUT, c'est à adapter au mieux de tes règles/niveau de sécurité souhaité, soit ACCEPT (le + "laxiste" ), soit DROP (le + "dur" mais il faut écrire les règles OUTPUT qui vont bien, sinon bcp de services ne fonctionneront pas bien).

Message cité 1 fois
Message édité par Zzozo le 08-12-2007 à 13:45:33

---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
n°988942
fighting_f​alcon
Posté le 08-12-2007 à 11:59:52  profilanswer
 

Zzozo a écrit :

... soit DROP (le + "laxiste" ), soit ACCEPT (le + "dur" ...


 
l'inverse non ?? DROP = le + dur, ACCEPT = le + laxiste   ;)  

n°988955
Zzozo
Un peu, passionément, à la fol
Posté le 08-12-2007 à 13:45:05  profilanswer
 

"Ouais, le matin c'est le mal ©" :o


---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
n°988980
o'gure
Multi grognon de B_L
Posté le 08-12-2007 à 15:56:46  profilanswer
 

ca dépend tu si tu mets un ! très dur dans la règle, le DROP devient laxiste :o

Spoiler :

Tentative de rattrapage de coincoin :/


---------------
Relax. Take a deep breath !
n°989436
dreamkille​r
Posté le 10-12-2007 à 10:18:51  profilanswer
 

je remets mon fichier iptables corrigé
 

#!/bin/bash
 
#vidage des tables de filtrage
iptables -F
iptables -X
 
#drop par defaut
 
#iptables -A INPUT -j LOG --log-prefix="[IN_PKTS_DROP]==> "
#iptables -A FORWARD -j LOG --log-prefix="[FO_PKTS_DROP]==> "
#iptables -A OUTPUT -j LOG --log-prefix="[OU_PKTS_DROP]==> "
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
#traffic local localhost authorisé
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
#Authorisé ping
iptables -A INPUT -p icmp -i eth0 --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp -o eth0 --icmp-type echo-request -j ACCEPT
 
#Authorisation DNS
#iptables -A INPUT -p udp -i eth0 --sport 53 --dport 1024:  -m state --state REL
ATED,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -p udp -o eth0 --sport 1024: --dport 53 -m state --state ! I
NVALID -j ACCEPT
iptables -A OUTPUT -p udp -o eth0 --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport 53 -m state --state NEW -j ACCEPT
 
#Authorisation SSH
iptables -A INPUT -p tcp -i eth0 --dport ssh -m state --state NEW -j ACCEPT
 
#Authorisation Apache  port 80
iptables -A INPUT -p tcp -i eth0 --dport 80 -m state --state NEW -j ACCEPT
 
#Authorisation Apache SSL port 443
iptables -A INPUT -p tcp -i eth0 --dport 443 -m state --state NEW -j ACCEPT
 
#Authorisation traffic web sortant pour mise a jour
iptables -A OUTPUT -p tcp -o eth0 --dport 80 -m state --state NEW -j ACCEPT
 
#FTP
modprobe ip_conntrack_ftp
 
iptables -A INPUT -i eth0  -p tcp --dport 21 -m state --state NEW -j ACCEPT
 
#Authorisation Teamspeak
#Serveur Web
iptables -A INPUT -p tcp -i eth0 --dport 14534 -m state --state NEW -j ACCEPT
#ts
iptables -A INPUT -p tcp -i eth0 --dport 51234 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport 8767:8800 -m state --state NEW -j ACCEP
T
 
#NTP
iptables -A INPUT -p udp -i eth0 --sport 123 -m state --state NEW -j ACCEPT
 
 
#Autorisation pour les connection deja etabli
iptables -A INPUT -i eth0  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0  -m state --state ESTABLISHED,RELATED -j ACCEPT


 
ça m'intrigue


Message édité par dreamkiller le 10-12-2007 à 10:22:48
mood
Publicité
Posté le 10-12-2007 à 10:18:51  profilanswer
 

n°989551
Taz
bisounours-codeur
Posté le 10-12-2007 à 13:34:16  profilanswer
 

osef de ton fichier, on veut ton iptables -L --line-numbers
 
 
Sinon ce genre de truc:
-m state --state NEW -j ACCEPT  
 
c'est complètement inutile.
 
 
Gaffe avec tes règles DNS, le DNS c'est aussi TCP
 
 
tes logs te montrent des rejets sur ce fameux port ?

n°989565
dreamkille​r
Posté le 10-12-2007 à 14:20:55  profilanswer
 

j'ai pas loggé les rejet sa produit une qunatité assez affreuse de log vais le faire sur une courte periode afin d'y retrouvé mes petits sinon pourquoi le -m state --state NEW -j ACCEPT est inutile?
 


$iptables -L --line-numbers
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere
2    ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
3    ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain state NEW
4    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh state NEW
5    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www state NEW
6    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https state NEW
7    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp state NEW
8    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:14534 state NEW
9    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:51234 state NEW
10   ACCEPT     udp  --  anywhere             anywhere            udp dpts:8767:8800 state NEW
11   ACCEPT     udp  --  anywhere             anywhere            udp spt:ntp state NEW
12   ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
 
Chain FORWARD (policy DROP)
num  target     prot opt source               destination
 
Chain OUTPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere
2    ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
3    ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain state NEW
4    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www state NEW
5    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp state NEW
6    ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED


 
bon J'ai reussi a trouver les logs des DROP
 


Dec 10 18:39:43 odin kernel: [IN_PKTS_DROP]==> IN=eth0 OUT= MAC=00:09:6b:49:a1:0e:00:07:cb:94:30:86:08:00 SRC=218.64.237.219 DST=192.168.0.254 LEN=404 TOS=0x00 PREC=0x00 TTL=103 ID=14753 PROTO=UDP SPT=1452 DPT=1434 LEN=384
 
Dec 10 18:44:12 odin kernel: [IN_PKTS_DROP]==> IN=eth0 OUT= MAC=00:09:6b:49:a1:0e:00:07:cb:94:30:86:08:00 SRC=202.130.88.155 DST=192.168.0.254 LEN=404 TOS=0x00 PREC=0x00 TTL=108 ID=58175 PROTO=UDP SPT=64455 DPT=1434 LEN=384


Message édité par dreamkiller le 10-12-2007 à 22:12:39

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Port bloqué par ip tables mais alerte SNORT quand meme

 

Sujets relatifs
ouvrir un port depuis l'interieurOuverture d'un port sous RED HAT
Détecter les scans de portAnkh 2 : Un port Linux si 250 pré-commandes
Configuration dual port sur RHEL 4 update 4[RESOLU]SNORT: mise à jour des règles
syslog sur port non-privilégiéIPtables Redirection du port 80 d'un poste ver un site
Alerte mail quand hdd > X % ?[macPro] reboot bloqué apres install de bootcamp
Plus de sujets relatifs à : Port bloqué par ip tables mais alerte SNORT quand meme

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.058 secondes

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)