[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] Re: ICQ
Merci du renseignement, je regarde à faire ça au plus vite.
Fantasio
On Monday 31 December 2001 00:17, you wrote:
> ces packets sont les packets de retour des connections en provenance de
> l'interieur qui sont destines aux ports au dessus de 1024; Si tu ne les
> mets pas, cela ne fonctionnera pas. Tu devrais simplement specifier pour
> TCP que les packets avec le SYN flag set au dessus de 1024 ne doivent pas
> etre acceptes.
>
> JeF
>
> On Sun, 30 Dec 2001, Fantasio wrote:
> > Voici ma typologie réseau
> > Mon réseau se trouve derrière un router/switch ADSL qui forwarde tous les
> > paquets vers le pc sur lequel se trouve le firewall, c'est seulement sur
> > ce pc que j'accepte ou non les connections.
> > La règle 3. peut en effet être supprimée.
> > La règle 1. sert effectivement à permettre les connexions internes.
> > La règle 2. ne me plaît pas trop, mais je crois y être contraint lorsque
> > je vois les extraits du logfile (à moins que ce premier cas soit une
> > tentative de hack). Si je mets la règle de la sorte, n'aurais-je pas des
> > petits soucis de connexion ?
> > sbin/ipchains -A input -p tcp -s 192.168.1.0/0 -d 0/0 1023:65535 -j
> > ACCEPT -l sbin/ipchains -A input -p udp -s 192.168.1.0/0 -d 0/0
> > 1023:65535 -j ACCEPT -l
> >
> > extrait du logfile :
> > Dec 30 22:53:27 cyrix kernel: Packet log: input ACCEPT eth0 PROTO=6
> > 202.58.118.12:4806 192.168.1.3:2382 L=1440 S=0x10 I=34037 F=0x4000 T=41
> > (#27) Dec 30 22:53:27 cyrix kernel: Packet log: input ACCEPT eth0 PROTO=6
> > 202.58.118.12:4806 192.168.1.3:2382 L=1440 S=0x10 I=34038 F=0x4000 T=41
> > (#27) Dec 30 22:53:27 cyrix kernel: Packet log: input ACCEPT eth0 PROTO=6
> > 202.58.118.12:4806 192.168.1.3:2382 L=1440 S=0x10 I=34600 F=0x4000 T=41
> > (#27) Dec 30 22:53:27 cyrix kernel: Packet log: input ACCEPT eth0 PROTO=6
> > 202.58.118.12:4806 192.168.1.3:2382 L=1440 S=0x10 I=34805 F=0x4000 T=41
> > (#27)
> >
> > pour ICQ par exemple c'est correct
> > Dec 31 01:09:27 cyrix kernel: Packet log: input ACCEPT eth0 PROTO=17
> > 205.188.153.99:4000 192.168.1.3:2807 L=49 S=0x00 I=29803 F=0x4000 T=233
> > (#28) Dec 31 01:10:27 cyrix kernel: Packet log: input ACCEPT eth0
> > PROTO=17 205.188.153.99:4000 192.168.1.3:2807 L=49 S=0x00 I=24287
> > F=0x4000 T=233 (#28) Dec 31 01:11:27 cyrix kernel: Packet log: input
> > ACCEPT eth0 PROTO=17 205.188.153.99:4000 192.168.1.3:2807 L=49 S=0x00
> > I=18761 F=0x4000 T=233 (#28)
> >
> > On Sunday 30 December 2001 22:58, you wrote:
> > > Re-salut,
> > >
> > > Je n'ai pas la prétention d'être un expert des firewall ni d'ipchains.
> > > Je connais déjà mieux iptables.
> > >
> > > Je peux pourtant te dire que 3 petites choses me semblent bizarre:
> > >
> > > 1) /sbin/ipchains -A input -p all -s 192.168.1.0/24 -d 0/0 -j ACCEPT
> > >
> > > tu sembles accepter sur ton interface externe (connectée au web) des
> > > paquets dont l'origine est ton réseau interne. Tu pourrais donc être
> > > victime d'IP Spoof.
> > >
> > > 2) /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 1023:65535 -j ACCEPT -l
> > >
> > > Tu acceptes tous les paquets avec comme port de destination tout de
> > > 1023 à 65535????? Mais c'est une vrai passoire!!! On peut se connecter
> > > à tout sur ta machine?!
> > >
> > > 3) /sbin/ipchains -A input -p icmp -s 0/0 -d 0/0 -j ACCEPT
> > >
> > > Tu accèptes tous les icmp. Sache que les icmp peuvent fournir pas mal
> > > d'informations sur un réseau, informations qui pourront bien sûr être
> > > utilisées contre toi. De plus, tu ne limites même pas les "bons" icmp.
> > > Le traitement des icmp peut très facilement mettre une machine sur les
> > > rotules si on y prend pas garde. Il s'agit de ping flooding. Bien sûr
> > > tu n'as aucun moyen d'empêcher que l'on te floode ta ligne physique
> > > mais tu peux agir sur le flood "logiciel" par icmp et contre le
> > > synflooding.
> > >
> > > J'aimerais avoir plus de précision sur ta topologie réseau, tes
> > > interfaces pour pouvoir te répondre. Tu ne fais rien sur tes chaînes
> > > output et forward est-ce normal?
> > >
> > > Sur quelle interface appliques-tu ces règles? As-tu plusieurs cartes
> > > réseaux?
> > >
> > > Voici un lien qui pourra peut-être t'aider.
> > >
> > > http://www.securityfocus.com/cgi-bin/unix_topics.pl?topic=fwrules.
> > >
> > > A+
> > >
> > > Benoit
> > >
> > > On Sun, Dec 30, 2001 at 10:55:41PM, Fantasio wrote:
> > > > En quoi, mes règles que voici ne seraient pas suffisantes pour ICQ ?
> > > > /sbin/ipchains -F
> > > > /sbin/ipchains -P input DENY
> > > >
> > > > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 80 -j ACCEPT
> > > > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 25 -j ACCEPT
> > > > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 443 -j ACCEPT
> > > > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 21 -j ACCEPT
> > > > /sbin/ipchains -A input -p udp -s 0/0 -d 0/0 21 -j ACCEPT
> > > > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 20 -j ACCEPT
> > > > /sbin/ipchains -A input -p udp -s 0/0 -d 0/0 20 -j ACCEPT
> > > > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 8080 -j ACCEPT
> > > > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 53 -j ACCEPT
> > > > /sbin/ipchains -A input -p udp -s 0/0 -d 0/0 53 -j ACCEPT
> > > > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 123 -j ACCEPT
> > > > /sbin/ipchains -A input -p udp -s 0/0 -d 0/0 123 -j ACCEPT
> > > > /sbin/ipchains -A input -p icmp -s 0/0 -d 0/0 -j ACCEPT
> > > >
> > > > /sbin/ipchains -A input -p all -s 192.168.1.0/24 -d 0/0 -j ACCEPT
> > > > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 1023:65535 -j ACCEPT -l
> > > > #/sbin/ipchains -nL
> > > >
> > > > Fantasio
> > > >
> > > > On Sunday 30 December 2001 15:07, you wrote:
> > > > > Holà l'ami, il me semble que tu t'égares un brin. J'ai un firewall
> > > > > qui bloque tout sauf ftp, http, et un ou deux autres ports. Le port
> > > > > 4000 n'est certainement pas ouvert et ne doit pas l'être.
> > > > > Cependant, une mauvaise configuration ou une configuration
> > > > > paranoiaque peut poser des problèmes, c'est vrai.
> > > > >
> > > > > J'utilise ickle pour icq et gaim pour aol (je n'aime pas la gestion
> > > > > ICQ de gaim) et tout fonctionne parfaitement. Je pense que c'est
> > > > > surtout parce que le client utilisé ne supporte pas le nouveau
> > > > > protocol ICQ basé sur tcp et non plus sur udp comme avant.
> > > > >
> > > > > A+
> > > > >
> > > > > Benoit
> > > > >
> > > > > On Sat, Dec 29, 2001 at 12:54:29AM, Fantasio wrote:
> > > > > > Salut,
> > > > > > Oui c'est bien le firewall en cause, j'ai exactement le même
> > > > > > problème et comme je n'utlise que très rarement ICQ, ça ne me
> > > > > > gêne pas outre-mesure. Si mes souvenirs sont bons, je crois que
> > > > > > le port 4000 doit être ouvert pour l'authentification et
> > > > > > au-dessus de 1024 pour le reste de la connexion. Lorsque je veux
> > > > > > l'utiliser, je coupe mon firewall les quelques minutes
> > > > > > nécessaires.
> > > > > >
> > > > > > On Friday 28 December 2001 21:50, you wrote:
> >
> > ----------------------------------------
> > Content-Type: application/pgp-signature; charset="iso-8859-15";
> > name="Attachment: 1"
> > Content-Transfer-Encoding: 7bit
> > Content-Description:
> > ----------------------------------------
> >
> > [ Soyez précis dans vos sujets svp afin de déterminer directement ]
> > [ le type de demande... ]
> > [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
> > [ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
> > [ http://unixtech.be Contact: listmaster@unixtech.be ]
>
> [ Soyez précis dans vos sujets svp afin de déterminer directement ]
> [ le type de demande... ]
> [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
> [ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
> [ http://unixtech.be Contact: listmaster@unixtech.be ]
[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
[ http://unixtech.be Contact: listmaster@unixtech.be ]