résultat de scans étranges ! [iptables] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 24-04-2003 à 14:20:00
essayes avec -I INPUT à la place de -A (insérer au lieu de ajouter) .
vérifie que t'as pas une règle qui ouvres les ports en entrée
Marsh Posté le 24-04-2003 à 14:34:43
Mjules a écrit : essayes avec -I INPUT à la place de -A (insérer au lieu de ajouter) . |
bon j'ai relancé un scan avec -I INPUT mais j'ai pas trop d'espoir parce que le -A était quand même au début du script.
et j'ai beau parcourir mon script je ne vois pas de ports acceptés en entré (à part ftp et ssh), les INPUT sont quasiment tous en connexion ESTABLISHED,RELATED
Marsh Posté le 24-04-2003 à 14:37:29
tes règles par défaut sont bien de tout refuser ?
Marsh Posté le 24-04-2003 à 14:40:30
ouaip -P INPUT DROP
Marsh Posté le 24-04-2003 à 14:45:57
bon c est pas mieux.
je vais me retaper un scan en loggant ces fameux port pour voir.
Marsh Posté le 24-04-2003 à 15:06:51
tomate77 a écrit : t as ferme tous les ports au debut du script ?? |
ben je flush toutes les règles, je met les règles par défaut (-P) de INPUT OUTPUT et FORWARD à DROP et ensuite j'ouvre les ports dont j'ai besoin ...
Marsh Posté le 24-04-2003 à 15:08:03
nikosaka a écrit : |
bon bah c bien chelou ton histoire
t es sur de ne pas faire un nmap en local par hazard ...
Marsh Posté le 24-04-2003 à 15:13:50
non non je suis pas chez moi je scanne ma machine du boulot.
et ça mais 3 plombes à chaque fois
Marsh Posté le 24-04-2003 à 15:14:49
nikosaka a écrit : non non je suis pas chez moi je scanne ma machine du boulot. |
et si tu fermes tout !
sauf ssh bien sur
Marsh Posté le 24-04-2003 à 15:20:01
tomate77 a écrit : |
je vais essayer après.
j'ai un doute là je redémarre la machine avec un autre kernel paske je me demande si le patch grsec pour iptables et les patch-o-matic extras mettent pas un peu la zone là
Marsh Posté le 24-04-2003 à 15:20:52
nikosaka a écrit : |
normalement ils enlevent les trous de secu, ils en rajoutent pas
Marsh Posté le 24-04-2003 à 15:24:08
J'ai aussi un probleme similaire, mon firewall bloque par ex. le port 21 (enfin tout est fermé à la base et celui ci n'a pas été ouvert).
Nmap trouve quand meme que le port 21 est ouvert ... Enfin il est ouvert ok mais pas "connectable". Nmap envoit pas des paquets SYN plutot ?? Ya pas une histoire du style, genre il initie une connexion mais pas complète, du coup le port est ouvert mais pas accessible ??
Marsh Posté le 24-04-2003 à 15:32:29
Cruchot a écrit : J'ai aussi un probleme similaire, mon firewall bloque par ex. le port 21 (enfin tout est fermé à la base et celui ci n'a pas été ouvert). |
oui sauf que moi si je telnet le port 389 je suis connecté !
Trying 86.65.14.214...
Connected to 86.65.14.214.
Escape character is '^]'.
Marsh Posté le 24-04-2003 à 15:52:16
tu as tjrs ce pb cruchot ?
si oui est-ce que tu peux poster le resultat d un telnet sur ton port 21 ?
Marsh Posté le 24-04-2003 à 15:56:35
#netstat -antu
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 272 86.65.14.214:22 81.49.14.2:2753 ESTABLISHED
y a rien de spécial pourtant?
et si c'est nmap qui délire pourquoi je me connecte en telnet
Marsh Posté le 24-04-2003 à 14:15:55
le résultat d'un scan à distance avec nmap (sans options mais en root) sur ma machine donne ceci :
Port State Service
21/tcp open ftp
22/tcp open ssh
389/tcp open ldap
1002/tcp open unknown
1720/tcp open H.323/Q.931
Nmap run completed -- 1 IP address (1 host up) scanned in 1313.683 seconds
pour ftp et ssh c'est tout à fait normal mais pour le reste je ne sais pas ce que ça vient faire là ni même ce que c'est.
ces port s devraient être interdit en entré et pour tester j'ai rajouté en haut de mon script iptables :
$ipt -A INPUT -i $INET_IFACE -p tcp --dport 389 -j DROP
$ipt -A INPUT -i $INET_IFACE -p tcp --dport 1002 -j DROP
$ipt -A INPUT -i $INET_IFACE -p tcp --dport 1720 -j DROP
mais rien n'y fait et je peut toujours me connecter en telnet sur ces ports.
est-ce que quelqu'un connait ces ports et les services associés ?