[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] Re: ICQ
Voici ma typologie réseau
Mon réseau se trouve derrière un router/switch ADSL qui forwarde tous les
paquets vers le pc sur lequel se trouve le firewall, c'est seulement sur ce
pc que j'accepte ou non les connections.
La règle 3. peut en effet être supprimée.
La règle 1. sert effectivement à permettre les connexions internes.
La règle 2. ne me plaît pas trop, mais je crois y être contraint lorsque je
vois les extraits du logfile (à moins que ce premier cas soit une tentative
de hack). Si je mets la règle de la sorte, n'aurais-je pas des petits soucis
de connexion ?
sbin/ipchains -A input -p tcp -s 192.168.1.0/0 -d 0/0 1023:65535 -j ACCEPT -l
sbin/ipchains -A input -p udp -s 192.168.1.0/0 -d 0/0 1023:65535 -j ACCEPT -l
extrait du logfile :
Dec 30 22:53:27 cyrix kernel: Packet log: input ACCEPT eth0 PROTO=6
202.58.118.12:4806 192.168.1.3:2382 L=1440 S=0x10 I=34037 F=0x4000 T=41 (#27)
Dec 30 22:53:27 cyrix kernel: Packet log: input ACCEPT eth0 PROTO=6
202.58.118.12:4806 192.168.1.3:2382 L=1440 S=0x10 I=34038 F=0x4000 T=41 (#27)
Dec 30 22:53:27 cyrix kernel: Packet log: input ACCEPT eth0 PROTO=6
202.58.118.12:4806 192.168.1.3:2382 L=1440 S=0x10 I=34600 F=0x4000 T=41 (#27)
Dec 30 22:53:27 cyrix kernel: Packet log: input ACCEPT eth0 PROTO=6
202.58.118.12:4806 192.168.1.3:2382 L=1440 S=0x10 I=34805 F=0x4000 T=41 (#27)
pour ICQ par exemple c'est correct
Dec 31 01:09:27 cyrix kernel: Packet log: input ACCEPT eth0 PROTO=17
205.188.153.99:4000 192.168.1.3:2807 L=49 S=0x00 I=29803 F=0x4000 T=233 (#28)
Dec 31 01:10:27 cyrix kernel: Packet log: input ACCEPT eth0 PROTO=17
205.188.153.99:4000 192.168.1.3:2807 L=49 S=0x00 I=24287 F=0x4000 T=233 (#28)
Dec 31 01:11:27 cyrix kernel: Packet log: input ACCEPT eth0 PROTO=17
205.188.153.99:4000 192.168.1.3:2807 L=49 S=0x00 I=18761 F=0x4000 T=233 (#28)
On Sunday 30 December 2001 22:58, you wrote:
> Re-salut,
>
> Je n'ai pas la prétention d'être un expert des firewall ni d'ipchains.
> Je connais déjà mieux iptables.
>
> Je peux pourtant te dire que 3 petites choses me semblent bizarre:
>
> 1) /sbin/ipchains -A input -p all -s 192.168.1.0/24 -d 0/0 -j ACCEPT
>
> tu sembles accepter sur ton interface externe (connectée au web) des
> paquets dont l'origine est ton réseau interne. Tu pourrais donc être
> victime d'IP Spoof.
>
> 2) /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 1023:65535 -j ACCEPT -l
>
> Tu acceptes tous les paquets avec comme port de destination tout de 1023
> à 65535????? Mais c'est une vrai passoire!!! On peut se connecter à tout
> sur ta machine?!
>
> 3) /sbin/ipchains -A input -p icmp -s 0/0 -d 0/0 -j ACCEPT
>
> Tu accèptes tous les icmp. Sache que les icmp peuvent fournir pas mal
> d'informations sur un réseau, informations qui pourront bien sûr être
> utilisées contre toi. De plus, tu ne limites même pas les "bons" icmp.
> Le traitement des icmp peut très facilement mettre une machine sur les
> rotules si on y prend pas garde. Il s'agit de ping flooding. Bien sûr tu
> n'as aucun moyen d'empêcher que l'on te floode ta ligne physique mais tu
> peux agir sur le flood "logiciel" par icmp et contre le synflooding.
>
> J'aimerais avoir plus de précision sur ta topologie réseau, tes
> interfaces pour pouvoir te répondre. Tu ne fais rien sur tes chaînes
> output et forward est-ce normal?
>
> Sur quelle interface appliques-tu ces règles? As-tu plusieurs cartes
> réseaux?
>
> Voici un lien qui pourra peut-être t'aider.
>
> http://www.securityfocus.com/cgi-bin/unix_topics.pl?topic=fwrules.
>
> A+
>
> Benoit
>
> On Sun, Dec 30, 2001 at 10:55:41PM, Fantasio wrote:
> > En quoi, mes règles que voici ne seraient pas suffisantes pour ICQ ?
> > /sbin/ipchains -F
> > /sbin/ipchains -P input DENY
> >
> > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 80 -j ACCEPT
> > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 25 -j ACCEPT
> > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 443 -j ACCEPT
> > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 21 -j ACCEPT
> > /sbin/ipchains -A input -p udp -s 0/0 -d 0/0 21 -j ACCEPT
> > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 20 -j ACCEPT
> > /sbin/ipchains -A input -p udp -s 0/0 -d 0/0 20 -j ACCEPT
> > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 8080 -j ACCEPT
> > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 53 -j ACCEPT
> > /sbin/ipchains -A input -p udp -s 0/0 -d 0/0 53 -j ACCEPT
> > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 123 -j ACCEPT
> > /sbin/ipchains -A input -p udp -s 0/0 -d 0/0 123 -j ACCEPT
> > /sbin/ipchains -A input -p icmp -s 0/0 -d 0/0 -j ACCEPT
> >
> > /sbin/ipchains -A input -p all -s 192.168.1.0/24 -d 0/0 -j ACCEPT
> > /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 1023:65535 -j ACCEPT -l
> > #/sbin/ipchains -nL
> >
> > Fantasio
> >
> > On Sunday 30 December 2001 15:07, you wrote:
> > > Holà l'ami, il me semble que tu t'égares un brin. J'ai un firewall qui
> > > bloque tout sauf ftp, http, et un ou deux autres ports. Le port 4000
> > > n'est certainement pas ouvert et ne doit pas l'être.
> > > Cependant, une mauvaise configuration ou une configuration paranoiaque
> > > peut poser des problèmes, c'est vrai.
> > >
> > > J'utilise ickle pour icq et gaim pour aol (je n'aime pas la gestion ICQ
> > > de gaim) et tout fonctionne parfaitement. Je pense que c'est surtout
> > > parce que le client utilisé ne supporte pas le nouveau protocol ICQ
> > > basé sur tcp et non plus sur udp comme avant.
> > >
> > > A+
> > >
> > > Benoit
> > >
> > > On Sat, Dec 29, 2001 at 12:54:29AM, Fantasio wrote:
> > > > Salut,
> > > > Oui c'est bien le firewall en cause, j'ai exactement le même problème
> > > > et comme je n'utlise que très rarement ICQ, ça ne me gêne pas
> > > > outre-mesure. Si mes souvenirs sont bons, je crois que le port 4000
> > > > doit être ouvert pour l'authentification et au-dessus de 1024 pour le
> > > > reste de la connexion. Lorsque je veux l'utiliser, je coupe mon
> > > > firewall les quelques minutes nécessaires.
> > > >
> > > > On Friday 28 December 2001 21:50, you wrote:
----------------------------------------
Content-Type: application/pgp-signature; charset="iso-8859-15";
name="Attachment: 1"
Content-Transfer-Encoding: 7bit
Content-Description:
----------------------------------------
[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
[ http://unixtech.be Contact: listmaster@unixtech.be ]