[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] Re: SuSEfirewall2 - Episode II
Le Mardi 26 Février 2002 10:18, vous avez écrit :
> ...
>
> > Si une, mais c'est subtile:
> > Lorsque tu tente d'accéder à un service qui ne tourne pas, le machine
> > renvoi une réponse icmp "port unreachable"
> > Si l'adresse ip est inaccessible le dernier routeur renvoi "no route to
> > host".
> >
> > Donc "Pas de réponse", c'est déjà une réponse, mais tu ne bouffe de bande
> > passante à répondre.
> >
> > Ensuite avec iptables tu peux tricher sur la réponse, par exemple faire
> > répondre à un machine sur le port 80 "no route to host". C'est marrant ce
> > genre de réponse tu ping une machine et elle te répond qu'elle n'a pas de
> > route vers elle-même ! Dans ce cas là c'est flagrant, y' a un truc.
>
> Mieux: tu fais simplement un "-j DROP"
>
> Ton firewall va ignorer le paquet et le sender devra attendre qu'il y aie
> un timeout avant d'avoir une réponse ;-)
>
> Et toi tu ne renvois rien du tout...
Oui Merci de préciser, c'est ce que je disais par "Pas de réponse", et si
reliq bien ce que j'ai écris, en cas de scan violent où le mec cherche à
pirater TA machine, le manque de réponse sur certains port et pas d'autre
permet de dire qu'il y a du filtrage et donc de tenter de contourner.
Et le fin de mon mail propose une alternative à "-j DROP" comme "-j REJECT
--reject-with icmp-host-unreachable" qui permet de mieux tromper les scans.
De plus avec --limit tu peux répondre un cetain temps avec -j REJECT puis
avec du -j DROP.
--
Linux pour Mac !? Enfin le moyen de transformer
une pomme en véritable ordinateur.
JL.
/========================================>
| Olivier Thauvin - CNRS Service Aeronomie
| olivier.thauvin@aerov.jussieu.fr
| 01 64 47 43 60 à Verrières (lundi,mercredi et vendredi)
| 01 44 27 47 59 à Jussieu (Mardi et Jeudi)
| Fax:33 (0)1 69 20 29 99
| Service d'Aéronomie, Réduit de Verrieres
| Route des Gatines - BP 3
| 91371 Verrieres le Buisson Cedex
| France
\======>
_______________________________________________
Linux Mailing List
Archives: http://unixtech.be/mailman/listinfo/linux