blacklistage de boolay - j'ai du raté qq chose [iptables] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 27-07-2003 à 01:32:50
avec -I plutot que -A?
Marsh Posté le 27-07-2003 à 01:37:07
Bobor a écrit : avec -I plutot que -A? |
ah ?
concretement ca change quoi ? j'ai jamais réellement compris...
Marsh Posté le 27-07-2003 à 01:37:43
t'appliqe la règle en premier...et pas en dernier!
Marsh Posté le 27-07-2003 à 01:46:31
j'ai ca
ACCEPT all -- anywhere anywhere
et apparemment, et d'apres mon fichier, je devair pas l'avoir (cette ligne elle a l'air de tout accepter non ?)
chuis étonné parce que j'ai toujours ue l'impression que ca fonctionnnait bien et je vois cette ligne j'ai un doute
|
Marsh Posté le 27-07-2003 à 02:03:11
c'est pas dû à ta ligne lo par hasard? (dans ce cas c'est bon)
fais iptables-save plutot que iptables -L, c'est plus clair.
n'oublie pas de kicker ta blacklist en forward également.
Marsh Posté le 27-07-2003 à 02:14:19
Effectivement vu le résultat de iptables -L ton firewall laisse tout passer !!!
Tu définis la chaîne fromnet mais tu ne définis ensuite aucune règle pour elle, puis tu fais pointer la chaîne INPUT du côté de ton interface connectée au net vers fromnet :
Code :
|
Par défaut une chaîne vide est peut-être considérée comme "ACCEPT"
Je ne vois pas d'autre explication, donc soit tu vires cette chaîne dont tu ne te sers pas, soit les régles que tu définis pour la chaîne INPUT pour eth1, tu les définis pour fromnet, INPUT pointant vers celle-ci ça seras bon
Marsh Posté le 27-07-2003 à 07:49:00
j'ai retiré les références à fromnet
|
Marsh Posté le 27-07-2003 à 07:52:29
et j'ai toujours ca
ACCEPT all -- anywhere anywhere
en fait ce qu'il y a de bizarre c'est que selon les scanneurs on-line, je suis bien protégé...
Marsh Posté le 27-07-2003 à 09:30:59
iptables-save est ok. Fais un test sans la ligne de lo car je pense que c'est ça.
donc tout est bon là.
Marsh Posté le 27-07-2003 à 09:51:05
Bobor a écrit : iptables-save est ok. Fais un test sans la ligne de lo car je pense que c'est ça. |
bah fo quand même plutot accepter le local non ?
Marsh Posté le 27-07-2003 à 09:55:14
oui, c'est juste pour voir si cela correspond à cette ligne intrigante
Marsh Posté le 27-07-2003 à 10:34:51
apparemment oui.
mais ca n'explique aps pourquoi la blacklisté a pu réussir à acceder au pc ( -A ou -I je vois pas au final la différence...) puisque par défaut c'est à drop
Marsh Posté le 27-07-2003 à 10:40:48
parce que iptables lit les règles dans l'ordre: il est tombé en 1er (avec -A) sur la ligne ACCEPT port 80 donc accés autorisé (car iptables arrête alors la lecture des règles). En mettant -I, la ligne blacklistée se retrouve en 1er dans le déroulement des règles et donc il se fait dropé illico car c'est la première règle qui coprrespond. Iptables arrête la lecture à ce niveau.
regarde bien l'ordre dans iptables-save.
Marsh Posté le 27-07-2003 à 10:46:16
Bobor a écrit : parce que iptables lit les règles dans l'ordre: il est tombé en 1er (avec -A) sur la ligne ACCEPT port 80 donc accés autorisé (car iptables arrête alors la lecture des règles). En mettant -I, la ligne blacklistée se retrouve en 1er dans le déroulement des règles et donc il se fait dropé illico car c'est la première règle qui coprrespond. Iptables arrête la lecture à ce niveau. |
l'enculé
Marsh Posté le 27-07-2003 à 10:48:35
un homme averti en vaut 2
Marsh Posté le 27-07-2003 à 11:20:22
un clavier azerty en vaut deux, inculte.
nan mais justement c'est important de savoir qu'il sarrete apres un accept au niveau des ADD, moi je pensais qu'il cherchait a respecter toutes les règles, sachant que la dernière règle rentrée est la plus prioritaire....
Marsh Posté le 27-07-2003 à 01:31:40
81.57.157.113 - - [27/Jul/2003:00:06:11 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
81.57.157.113 - - [27/Jul/2003:00:06:13 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
81.57.157.113 - - [27/Jul/2003:00:06:14 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
81.57.157.113 - - [27/Jul/2003:00:06:16 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
81.57.157.113 - - [27/Jul/2003:00:06:18 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283
81.57.157.113 - - [27/Jul/2003:00:06:20 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283
81.57.157.113 - - [27/Jul/2003:00:06:22 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
81.57.157.113 - - [27/Jul/2003:00:06:28 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
bon, on va l'envoyer chier
iptables -A INPUT -i eth1 -s 81.57.157.113 -j DROP
pourtant il réapparait dans les logs....
root@alizee:~# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere state INVALID
fromrezo all -- anywhere anywhere
fromnet all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:http
DROP all -- choisy-1-81-57-157-113.fbx.proxad.net anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere farib.rezo tcp dpts:6881:6889
ACCEPT tcp -- anywhere farib.rezo tcp dpt:1214
ACCEPT tcp -- anywhere farib.rezo tcp dpt:4711
ACCEPT udp -- anywhere farib.rezo udp dpt:4662
ACCEPT tcp -- anywhere farib.rezo tcp dpt:4661
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere state INVALID
fwdrezo all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fromnet (1 references)
target prot opt source destination
Chain fromrezo (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain fwdrezo (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere