[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[linux] Re: ICQ



Re-salut,

Je n'ai pas la prétention d'être un expert des firewall ni d'ipchains.
Je connais déjà mieux iptables. 

Je peux pourtant te dire que 3 petites choses me semblent bizarre:

1) /sbin/ipchains -A input -p all -s 192.168.1.0/24 -d 0/0 -j ACCEPT

tu sembles accepter sur ton interface externe (connectée au web) des
paquets dont l'origine est ton réseau interne. Tu pourrais donc être
victime d'IP Spoof.

2) /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 1023:65535 -j ACCEPT -l

Tu acceptes tous les paquets avec comme port de destination tout de 1023
à 65535????? Mais c'est une vrai passoire!!! On peut se connecter à tout
sur ta machine?!

3)  /sbin/ipchains -A input -p icmp -s 0/0 -d 0/0 -j ACCEPT

Tu accèptes tous les icmp. Sache que les icmp peuvent fournir pas mal
d'informations sur un réseau, informations qui pourront bien sûr être
utilisées contre toi. De plus, tu ne limites même pas les "bons" icmp.
Le traitement des icmp peut très facilement mettre une machine sur les
rotules si on y prend pas garde. Il s'agit de ping flooding. Bien sûr tu
n'as aucun moyen d'empêcher que l'on te floode ta ligne physique mais tu
peux agir sur le flood "logiciel" par icmp et contre le synflooding.

J'aimerais avoir plus de précision sur ta topologie réseau, tes
interfaces pour pouvoir te répondre. Tu ne fais rien sur tes chaînes
output et forward est-ce normal?

Sur quelle interface appliques-tu ces règles? As-tu plusieurs cartes
réseaux?

Voici un lien qui pourra peut-être t'aider.

http://www.securityfocus.com/cgi-bin/unix_topics.pl?topic=fwrules. 

A+

Benoit

On Sun, Dec 30, 2001 at 10:55:41PM, Fantasio wrote:
> En quoi, mes règles que voici ne seraient pas suffisantes pour ICQ ?
> /sbin/ipchains -F
> /sbin/ipchains -P input DENY
> 
> /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 80 -j ACCEPT
> /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 25 -j ACCEPT
> /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 443 -j ACCEPT
> /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 21 -j ACCEPT
> /sbin/ipchains -A input -p udp -s 0/0 -d 0/0 21 -j ACCEPT
> /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 20 -j ACCEPT
> /sbin/ipchains -A input -p udp -s 0/0 -d 0/0 20 -j ACCEPT
> /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 8080 -j ACCEPT
> /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 53 -j ACCEPT
> /sbin/ipchains -A input -p udp -s 0/0 -d 0/0 53 -j ACCEPT
> /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 123 -j ACCEPT
> /sbin/ipchains -A input -p udp -s 0/0 -d 0/0 123 -j ACCEPT
> /sbin/ipchains -A input -p icmp -s 0/0 -d 0/0 -j ACCEPT
>  
> /sbin/ipchains -A input -p all -s 192.168.1.0/24 -d 0/0 -j ACCEPT
> /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 1023:65535 -j ACCEPT -l
> #/sbin/ipchains -nL
> 
> Fantasio
> 
> On Sunday 30 December 2001 15:07, you wrote:
> > Holà l'ami, il me semble que tu t'égares un brin. J'ai un firewall qui
> > bloque tout sauf ftp, http, et un ou deux autres ports. Le port 4000
> > n'est certainement pas ouvert et ne doit pas l'être.
> > Cependant, une mauvaise configuration ou une configuration paranoiaque
> > peut poser des problèmes, c'est vrai.
> >
> > J'utilise ickle pour icq et gaim pour aol (je n'aime pas la gestion ICQ
> > de gaim) et tout fonctionne parfaitement. Je pense que c'est surtout
> > parce que le client utilisé ne supporte pas le nouveau protocol ICQ basé
> > sur tcp et non plus sur udp comme avant.
> >
> > A+
> >
> > Benoit
> >
> > On Sat, Dec 29, 2001 at 12:54:29AM, Fantasio wrote:
> > > Salut,
> > > Oui c'est bien le firewall en cause, j'ai exactement le même problème et
> > > comme je n'utlise que très rarement ICQ, ça ne me gêne pas outre-mesure.
> > > Si mes souvenirs sont bons, je crois que le port 4000 doit être ouvert
> > > pour l'authentification et au-dessus de 1024 pour le reste de la
> > > connexion. Lorsque je veux l'utiliser, je coupe mon firewall les quelques
> > > minutes nécessaires.
> > >
> > > On Friday 28 December 2001 21:50, you wrote:

-- 

Benoit JOSEPH 
Manex SPRL: benoit.joseph@manex.be
Perso: joker@baby-linux.net
       benoit.joseph@teledisnet.be

Attachment: pgp00888.pgp
Description: PGP signature