Reprise du message précédent :

impossible de banir une ip qui te scanne intélligement !!!
 
c sure, un scan sauvage sans reglage de timeout ou avec de s port croissant etc ... ca facile a reperer ...
 
va chopper un scan dont l'empreinte differe (methode aléatoire de scan), l'outils retina (entre autre) permet, par ex., de genérer aletoirement une methode de scan ...
 
Le "petit" Superscan peut te scanner en 30 secondes tout tes port comme je peut le regler pour y passer une nuit entiére avec des timeout qui tourne et des ordres de test de port aleatoire : essaie de me reperer !!!
 
je ne parle meme pas d'un mec qui te scan en ligne de commmande avec nmap ... la c ingerable pour un ids.

 
t es po fou ds ta tete ???

quouak ?  

 
je te rappeles ke les ids (je ne connais pas trop comment ils marchent ), peuvent "voir" kelles ips, meme sur une longue periode, si il s agit d une attaque ou pas (nmap ou autre)
 
ce n est pas parce que tu mets 4h pour scanner une machine avec nmap que tu ne sera pas repere
car nmap a un pb : il est tres reconnaissable

 
J'ai une petite question sur le cgi
Est ce qu'il existe des choses que l'on ne peut faire qu'en cgi
car j'aimerai bien m'en passer ça à l'air d'etre dur a gérer, un peu trop porte ouverte à mon gout
 
en fait j'aimerai tout simplement le desactiver a la compilation d'apache, mais je me demande si dans le futur ça ne me posera pas de probleme....
 
 

bon, deja, je n utilise pas (et je ne l ai jamais utilise d ailleurs) le cgi
le cgi est un script perl (corriger moi si je me gourre, c est souvent en ce moment )
 
donc si ds httpd.conf tu n as pas autorise l execution des scripts perl c est bon
 
je pense ke tu peux remplacer le cgi par le php, ds la majorite des cas

 
aahahahahah !!!
 
apparement tu connais pas le proxy anonyme toi ....        

explication :
 
tu te logue sur un site qui te propose le proxy anonyme ET la redirection sur d'autre partenaire proxy anonyme !!!
 
resultat ton ip est envoyé AUX PROXY anonyme que tu as chois MAIS ne va jamais au site scanné ....  
 
je suis clair ?
 
edit : en clair ce sont les IP des proxy anonymes qui vton scanné a ta place le site visé !!! pas mal non ...

mais c est pas gratuit, et je pense k il doit y avoir des limitations
 
enfin bon, c est po le sujet du post hein

 
c ce qui me semblait  
merci  
d'autres avis eventuellement??  

 
Non, un cgi n'est pas un script en perl, mais n'importe quel type de programme écrit en n'importe quel langage du moment qu'il crache du HTML et qu'il se trouve dans un répertoire "possédant les droits CGI" pour apache

 
cgi en bash roulaize

ah ok
 
mais le perl est souvent utilise pour les cgi, nan ?

Y'a mieux que les proxy anonymes ...
Mais il faut les repérer ...  

on t'ecoutes ..... ?
 
(ca m'interesse d'ailleurs )

spoof ?

Allons allons ... un peu d'imagination que diable ...
Le bounce scan en général et le FTP bounce scan en particulier ...
Faut juste trouver une "victime" innocente ...

Ca ne permet pas vraiment de scanner ...
Pas directement en tout cas ... combiné avec certaines techniques ca peut aider mais ca ne suffit pas tout seul...

d'apres mes souvenirs d'il y a quelques temps, on peut faire des choses marrantes avec du spoof ...
 
tu explik le bounce ??

Justement ... le spoofing est utilisé dans les scans type Bounce Scan ... mais en lui même il ne sert à rien ... c'est combiné avec d'autre techqniques comme la prédiction des numéros de séquence ...
D'ailleurs, ici, ils appellent ca le "spoof bounce" ...

pas chez moi en tout cas : je bloque les IP du LAN et de la DMZ (en adresse privée bien sure) sur mon interface EXT (web)
donc le spoof chez moi c  

bon allez viendez m aider a securiser mon server mail
 
postfix + qpopper

bon j ai ajoute klk trucs sur apache
 
voilou
 
ps : bon et pour postfix, je fe comment moi hein ??

fo le dire si ca vous interesse pas

Mais non, c'est po ça...
 
Un petit truc que je n'ai pas trop compris encore ... mettre en /bin/false : l'intéret ??
 
Ma passerelle est peut-être une passoire à cause de ça et je ne le sais pas     .
 
Le passant.

bah ca sert a ne pas povoir se loguer c tout
 
nan ??

Ch'ai po, mais va falloir que je gratte tous ça pour me rassurer maintenant.
 
Méchant         .
 
Mon WE est foutu         .
 
Plus sérieusement, en /bin/false, toute demande de connection par ce service est renvoyé à /bin/false, donc jeté à la trappe ???
 
Donc, si je le fait avec sshd, j'ai l'air malin avec ma passerelle sans interface, non ??
 
On peut considérer que c'est comme une suppression pure et simple du service ??
(sauf qu'il est toujuors la et que en cas de besoin...)
 
Le passant.

 
nan par exemple si tu te connecte en ssh avec ce user, tu aura comme shell .... /bin/false
 
pas tres pratique en fait

Petite question :
 
Je viens de mettre à jour mon script iptables
mais existe t il un outil user friendly pour browser les logs ?

tu peux utiliser tes logs avec mysql
http://forum.hardware.fr/forum2.ph [...] h=&subcat=

bon, voila, ca tourne bien
 
je matte mes logs avec tail -f /var/log/messages (moyen mais ca marche)
 
Je vois bcp de ACK Packet et de syn flood
 
qq1 à des liens avec des explications ?

upppppppppp !!!!!!!!!

Ben moi j'ai installé le paquet ipmasqd qui s'occupe de tout se qui est filtrage et masquerading, donc pas à ce faire chié pour faire un firewall "maison" qui fonctionnera moin bien.  
J'ai rajouté portsentry pour bloquer les scans udp et tcp, et snort pour la detection de trucs louche, les deux sur ppp0, ainsi que tcpdump pour voir ce qui se passe.
Je n'y connais pas grand chose, mais je ne sais pas vraiment quoi faire de plus...

tu peux tjs nous expliquer tout ca en detail, pour ke je rajoute ca en 1ere page

 
Ben c'est simple :
apt-get install ipmasq
Ca va mettre en place un firewall sur la machine servant de passerelle empêchant toute connection externe non-établie.
Le tout est présent sous la forme d'un ensemble de scripts modifiable et configurable comme on veut.
Plus de détail :
http://packages.debian.org/testing/net/ipmasq.html
 
Pour portsentry, apt-get install portsentry.
permet de detecter les scans de tout genre. 3 manière de réagir. Soit il le log ( par défaut ), soit il envoie un mail, soit il bloque en dropant tout les paquets entrant du bonhomme qui scanne. Il y a aussi plusieurs mode de fonctionnement, udp, sudp, tcp, stcp, etc.. tout est bien documenté. Il faut aussi spécifier les ports que l'on veut surveiller. Le fichier de conf est bien clair. Suffit de le lire.
 
et les deux derniers : apt-get install snort tcpdump.
snort va écouter tout ce qui passe et l'analyser en fonction d'un ensemble de règle. En gros il s'est à quoi faire gaffe et qd il le rencontre, il le log. Cependant il ne peut le faire que sur un port. Moi j'ai mis le port externe, dans ppp0 vu que j'ai l'adsl. Il va loguer tout ce qui est anormal. scan de machine, scan de réseau, etc.. bref tout ce qui est anormal. Le tout dans /var/log("s" ?)/snort/alert.log et portscan.log.  
Les sorties des logs se font sous la forme standard de sorties générées par tcpdump.
tcpdum permet de voir tous les paquets tous les paquets qui passent par exemple tcpdum -type 'tcp' ( pas sûre de ça, man tcpdump ) va montrer la circulation d'informations tcp via ce port. On peut aussi créer des filtres afin d'affiner pour voir ce que l'on cherche exactement. Je ne sais pas le faire, mais il me semble que pas mal de monde ici le sais, donc..  
Voilà, j'espère que j'ai pas trop dit de conneries.

Ben j'ai pas dis le contraire    
Le topic c'est sécuriser sa passerelle, ben je te dis ce que j'ai mis dessus. Y a des outils tout fait sur debian pour tout faire, pourquoi se faire chié avec autre chose ?

mais moi non plus
je reponds juste