[iptables]résultat de scans étranges !

résultat de scans étranges ! [iptables] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 24-04-2003 à 14:15:55    

le résultat d'un scan à distance avec nmap (sans options mais en root) sur ma machine donne ceci :
 
Port       State       Service
21/tcp     open        ftp
22/tcp     open        ssh
389/tcp    open        ldap
1002/tcp   open        unknown
1720/tcp   open        H.323/Q.931
 
Nmap run completed -- 1 IP address (1 host up) scanned in 1313.683 seconds
pour ftp et ssh c'est tout à fait normal mais pour le reste je ne sais pas ce que ça vient faire là ni même ce que c'est.
ces port s devraient être interdit en entré et pour tester j'ai rajouté en haut de mon script iptables :
$ipt -A INPUT -i $INET_IFACE -p tcp --dport 389 -j DROP
$ipt -A INPUT -i $INET_IFACE -p tcp --dport 1002 -j DROP
$ipt -A INPUT -i $INET_IFACE -p tcp --dport 1720 -j DROP
mais rien n'y fait et je peut toujours me connecter en telnet sur ces ports.
est-ce que quelqu'un connait ces ports et les services associés ?

Reply

Marsh Posté le 24-04-2003 à 14:15:55   

Reply

Marsh Posté le 24-04-2003 à 14:20:00    

essayes avec -I INPUT à la place de -A (insérer au lieu de ajouter) .
 
vérifie que t'as pas une règle qui ouvres les ports en entrée


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 24-04-2003 à 14:34:43    

Mjules a écrit :

essayes avec -I INPUT à la place de -A (insérer au lieu de ajouter) .
 
vérifie que t'as pas une règle qui ouvres les ports en entrée


bon j'ai relancé un scan avec -I INPUT mais j'ai pas trop d'espoir parce que le -A était quand même au début du script.
et j'ai beau parcourir mon script je ne vois pas de ports acceptés en entré (à part ftp et ssh), les INPUT sont quasiment tous en connexion ESTABLISHED,RELATED

Reply

Marsh Posté le 24-04-2003 à 14:37:29    

tes règles par défaut sont bien de tout refuser ?


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 24-04-2003 à 14:40:30    

ouaip -P INPUT DROP


Message édité par nikosaka le 24-04-2003 à 14:41:33
Reply

Marsh Posté le 24-04-2003 à 14:45:57    

bon c est pas mieux.
je vais me retaper un scan en loggant ces fameux port pour voir.

Reply

Marsh Posté le 24-04-2003 à 14:58:31    

t as ferme tous les ports au debut du script ??

Reply

Marsh Posté le 24-04-2003 à 15:06:51    

tomate77 a écrit :

t as ferme tous les ports au debut du script ??


ben je flush toutes les règles, je met les règles par défaut (-P) de INPUT OUTPUT et FORWARD à DROP et ensuite j'ouvre les ports dont j'ai besoin ...

Reply

Marsh Posté le 24-04-2003 à 15:08:03    

nikosaka a écrit :


ben je flush toutes les règles, je met les règles par défaut (-P) de INPUT OUTPUT et FORWARD à DROP et ensuite j'ouvre les ports dont j'ai besoin ...
 


bon bah c bien chelou ton histoire :/
 
t es sur de ne pas faire un nmap en local par hazard ... :heink:

Reply

Marsh Posté le 24-04-2003 à 15:13:50    

non non je suis pas chez moi je scanne ma machine du boulot.
et ça mais 3 plombes à chaque fois  :sweat:

Reply

Marsh Posté le 24-04-2003 à 15:13:50   

Reply

Marsh Posté le 24-04-2003 à 15:14:49    

nikosaka a écrit :

non non je suis pas chez moi je scanne ma machine du boulot.
et ça mais 3 plombes à chaque fois  :sweat:  


 :heink:  
 
et si tu fermes tout !
sauf ssh bien sur :D
 

Reply

Marsh Posté le 24-04-2003 à 15:20:01    

tomate77 a écrit :


 :heink:  
 
et si tu fermes tout !
sauf ssh bien sur :D
 
 


je vais essayer après.
j'ai un doute là je redémarre la machine avec un autre kernel paske je me demande si le patch grsec pour iptables et les patch-o-matic extras mettent pas un peu la zone là  :heink:  

Reply

Marsh Posté le 24-04-2003 à 15:20:52    

nikosaka a écrit :


je vais essayer après.
j'ai un doute là je redémarre la machine avec un autre kernel paske je me demande si le patch grsec pour iptables et les patch-o-matic extras mettent pas un peu la zone là  :heink:  
 


normalement ils enlevent les trous de secu, ils en rajoutent pas :D

Reply

Marsh Posté le 24-04-2003 à 15:24:08    

J'ai aussi un probleme similaire, mon firewall bloque par ex. le port 21 (enfin tout est fermé à la base et celui ci n'a pas été ouvert).
 
Nmap trouve quand meme que le port 21 est ouvert ... Enfin il est ouvert ok mais pas "connectable". Nmap envoit pas des paquets SYN plutot ?? Ya pas une histoire du style, genre il initie une connexion mais pas complète, du coup le port est ouvert mais pas accessible ?? :??:

Reply

Marsh Posté le 24-04-2003 à 15:32:29    

Cruchot a écrit :

J'ai aussi un probleme similaire, mon firewall bloque par ex. le port 21 (enfin tout est fermé à la base et celui ci n'a pas été ouvert).
 
Nmap trouve quand meme que le port 21 est ouvert ... Enfin il est ouvert ok mais pas "connectable". Nmap envoit pas des paquets SYN plutot ?? Ya pas une histoire du style, genre il initie une connexion mais pas complète, du coup le port est ouvert mais pas accessible ?? :??:


oui sauf que moi si je telnet le port 389 je suis connecté !
Trying 86.65.14.214...
Connected to 86.65.14.214.
Escape character is '^]'.
 
 :sweat:

Reply

Marsh Posté le 24-04-2003 à 15:52:16    

tu as tjrs ce pb cruchot ?
si oui est-ce que tu peux poster le resultat d un telnet sur ton port 21 ?

Reply

Marsh Posté le 24-04-2003 à 15:56:35    

#netstat -antu
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN
tcp        0    272 86.65.14.214:22         81.49.14.2:2753         ESTABLISHED
y a rien de spécial pourtant?
et si c'est nmap qui délire pourquoi je me connecte en telnet  :??:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed