[Confirme] Re: ipchains et port 0
Le Fri, 15 Aug 2003 00:07:59 -0400, Christophe PEREZ a écrit: > Tout est sorti vert, stealth. Ah ben non, ça c'était dans le scan de la totalité des ports. Avec le "common ports", j'ai le 80 ouvert, le 113 et le 135 closed, et le reste stealth. C'est quoi ces 113 et 135 ? -- Christophe PEREZ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] Re: ipchains et port 0
Le Sun, 17 Aug 2003 12:07:19 +0400, David Robert a écrit: >> Et bien, je les ai fermés explicitement dans "rules" de shorewall, mais je >> ne comprends pas qu'il les ait vus étant donné que tout de net vers loc >> est fermé dans "policy", et que je n'autorise que le 80 dans "rules"... > oui mais qu'as tu dans tes fichiers common et common.def (qui est le > troisième et 4ième fichier après rules et policy ? Bien vu !!! # grep -v "^#" common . /etc/shorewall/common.def run_iptables -A common -p udp --sport 53 -mstate --state NEW -j DROP # grep -v "^#" common.def run_iptables -A common -p icmp -j icmpdef run_iptables -A common -m state -p tcp --state INVALID -j DROP run_iptables -A common -p udp --dport 137:139 -j REJECT run_iptables -A common -p udp --dport 445 -j REJECT run_iptables -A common -p tcp --dport 135 -j reject run_iptables -A common -p udp --dport 1900-j DROP run_iptables -A common -d 255.255.255.255 -j DROP run_iptables -A common -d 224.0.0.0/4 -j DROP run_iptables -A common -p tcp --dport 113 -j reject C'est quoi ces fichiers dont je ne m'étais même pas aperçu de l'existence ? Qu'amènent-ils de plus que policy et rules ? Moi qui croyais avoir presque compris shorewall :-)) Et si quelqu'un ouvait m'expliquer plus précisément la ligne sur le port 53, car en effet, j'ai bien souvent des problèmes de DNS sur mon réseau, que je pourrai détailler dans un autre fil si quelqu'un se sent de m'aider. PS : Marc, désolé d'avoir squatté. -- Christophe PEREZ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] Re: ipchains et port 0
Le Mon, 18 Aug 2003 05:47:11 +, AMORE Rosaire a écrit: > Mais y'en a peut être d'autres. Après, je peux peut être t'aider ;-) Ma question en reserve, tu l'as déjà eue sur la liste débutant, et elle était restée sans réponse :-)) Et puis, là, j'ai fait simple car, comme je considère avoir mis tout ce qu'il faut comme règles dans rules, j'ai viré celles de ces fichiers common, ça ne change strictement rien apparemment, parce que mes dernières règles de rules prenaient le dessus. -- Christophe PEREZ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] Re: ipchains et port 0
Le Mon, 18 Aug 2003 12:40:49 +0200, Franck RICHARD a écrit: > Es tu sur que tu n'ai pas 2 process qui répondent au port 8080 ? Ben il ne semble pas. > Essaie de couper squid pour voir si tu as une réponse d'apache ? Oui, pareil. Donc on peut en déduire que ce n'est pas squid qui est défaillant ? > Car si les 2 répondent en 8080, un fois squid répond google/tapage est > accessible, une fois apache répond et là tu es coincé... A priori non, squid coupé, testé par nmap et telnet, plus de réponse sur le 8080 > C'est une hypothèse, je sais pas ... C'était bien essayé, mais ce n'est à priori pas squid. Alors, dns ou iptables (shorewall) ? -- Christophe PEREZ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] Re: ipchains et port 0
Le Tue, 19 Aug 2003 10:15:20 +0200, Franck RICHARD a écrit: > Je ne pense vraiment pas que ça puisse être un problème de DNS. Bon. > Effectivement l'histoire du timeout est a creuser. Je creuse, je creuse :-)) > Tu as déjà une redirection vers une page de squid pour te dire qu'une > URL était indisponible ? Ben, oui, quand squid ne trouve pas une page, il le dit en envoyant SA page. > Dans ce cas, c'est bien squid qui te répond. Mais là, non, ce n'est pas squid qui répond, c'est apache, et c'est aussi ce que l'on voit parfaitement dans les logs. > D'après ce que j'ai compris c'est apache qui te répond, mais le cas est > proche... Oui, mais, pas pareil ;-) > Regarde dans la conf de squid, il y a peut être une redirection vers > apache ou un port 80 qui traine... Déjà cherché partout, mais j'avoue que je ne comprends pas tout à squid. voici ma config de squid, si quelqu'un y voit quelque chose de choquant : redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf http_port 8080 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? \.cgi \.pl \.php3 \.asp \.php no_cache deny QUERY cache_mem 16 MB cache_swap_low 75 cache_swap_high 90 maximum_object_size 4096 KB cache_dir ufs /var/spool/squid 100 16 256 log_fqdn on client_netmask 255.255.255.255 strip_query_terms off dns_nameservers 192.168.0.100 auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours refresh_pattern ^ftp: 144020% 10080 refresh_pattern ^gopher:14400% 1440 refresh_pattern . 0 20% 4320 connect_timeout 30 seconds read_timeout 2 minutes request_timeout 30 seconds acl to_localhost dst 127.0.0.1/255.255.255.255 acl to_serveur dst 192.168.0.100/255.255.255.255 acl to_sites dstdomain .novazur.fr .novazur.com .locamart.com no_cache deny to_localhost no_cache deny to_serveur acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 acl manager proto cache_object acl localnet src 192.168.0.0/255.255.255.0 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 4660-4670 # mldonkey acl CONNECT method CONNECT acl sites_interdits dstdomain .yahoo.com http_access allow manager localhost http_access allow manager localnet http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access allow localnet icp_access deny all cache_mgr webmaster cache_effective_user squid cache_effective_group squid append_domain .novazur.fr cachemgr_passwd all error_directory /usr/lib/squid/errors/French snmp_port 0 offline_mode on coredump_dir /var/spool/squid httpd_accel_port 80 httpd_accel_host virtual httpd_accel_with_proxy on httpd_accel_uses_host_header on Merci. -- Christophe PEREZ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] Re: ipchains et port 0
Le Tue, 19 Aug 2003 05:23:43 -0400, NAOAQUALI a écrit: > tu ne sais pas si ton pb viens de ta résolution de nom (dns) causé par ton > filtrage.je me demande si t'as pas fait des redirection un peu partout avec des > regles shorewall un peu biscornu.tu peux faire voir ta conf shorewall. Voici m'sieur :-) : - common.def, il ne reste que : run_iptables -A common -p icmp -j icmpdef run_iptables -A common -m state -p tcp --state INVALID -j DROP - interfaces : net ppp0- noping loc eth0detect - masq : ppp0eth0 - policy : loc fw ACCEPT fw loc ACCEPT net all DROPinfo all all DROPinfo - rules : ACCEPT net fw icmp8 ACCEPT loc fw icmp8 ACCEPT fw net tcp 53 ACCEPT net fw tcp 53 ACCEPT fw net udp 53 ACCEPT loc net tcp 22 ACCEPT loc net tcp 23 ACCEPT loc net udp 23 ACCEPT fw net tcp 80,443 ACCEPT fw net udp 80,443 ACCEPT loc net tcp 443 ACCEPT loc net udp 443 ACCEPT fw net tcp 21,115 ACCEPT fw net udp 21,115 ACCEPT loc net tcp 21,115 ACCEPT loc net udp 21,115 ACCEPT fw net tcp 25 ACCEPT fw net udp 25 ACCEPT fw net tcp 110 ACCEPT fw net udp 110 ACCEPT fw net tcp 119 ACCEPT fw net udp 119 ACCEPT loc net tcp 119 ACCEPT loc net udp 119 ACCEPT fw net tcp 123 ACCEPT fw net udp 123 ACCEPT fw net tcp 43,513 ACCEPT loc net tcp 43,513 ACCEPT loc net tcp 4660:4670 ACCEPT loc net udp 4660:4670 DNATnet loc:192.168.0.1 tcp 4660:4670 DNATnet loc:192.168.0.1 udp 4660:4670 ACCEPT fw net tcp 992:995 ACCEPT fw net udp 992:995 ACCEPT fw net tcp 2703 ACCEPT net fw tcp 80 ACCEPT loc net udp 5155:5156 ACCEPT loc net tcp 5155:5156 ACCEPT loc net tcp 554 REDIRECTloc 8080tcp www - !192.168.0.100 - zones : net Net Internet loc Local Local networks - shorewall.conf : FW=fw SUBSYSLOCK=/var/lock/subsys/shorewall STATEDIR=/var/lib/shorewall ALLOWRELATED=yes MODULESDIR= LOGRATE= LOGBURST= LOGUNCLEAN=info LOGFILE=/var/log/syslog NAT_ENABLED=Yes MANGLE_ENABLED=Yes IP_FORWARDING=On ADD_IP_ALIASES=Yes ADD_SNAT_ALIASES=No TC_ENABLED=No BLACKLIST_DISPOSITION=DROP BLACKLIST_LOGLEVEL= CLAMPMSS=Yes OLD_PING_HANDLING=Yes NEWNOTSYN=No MACLIST_DISPOSITION=REJECT MACLIST_LOG_LEVEL=info TCP_FLAGS_DISPOSITION=DROP TCP_FLAGS_LOG_LEVEL=info RFC1918_LOG_LEVEL=info MARK_IN_FORWARD_CHAIN=No CLEAR_TC=Yes ROUTE_FILTER=No NAT_BEFORE_RULES=Yes MULTIPORT=No DETECT_DNAT_IPADDRS=No MERGE_HOSTS=Yes MUTEX_TIMEOUT=60 LOGNEWNOTSYN= FORWARDPING=Yes - Le reste est soit standard, soit vide. Merci. -- Christophe PEREZ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] Re: ipchains et port 0
Le Thu, 21 Aug 2003 01:32:08 -0400, Christophe PEREZ a écrit: > Déjà cherché partout, mais j'avoue que je ne comprends pas tout à squid. > voici ma config de squid, si quelqu'un y voit quelque chose de choquant > : [...] Aucun commentaire sur ma config squid ? > Merci. -- Christophe PEREZ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Re: ipchains et port 0
Le Vendredi 15 Août 2003 00:11, Christophe PEREZ a écrit : > C'est quoi ces 113 et 135 ? Ben 135 c'est un port netbios je crois. Mais par contre je n'ai pas le message auquel tu réponds... bizarre. En tout cas j'ai toujours le port zéro qui n'est pas stealth dans les common ports. -- Je vous serai reconnaissant de ne pas m'envoyer de pièces jointes aux formats Microsoft Word ou Microsoft PowerPoint. Utilisez des formats universels et connus comme rtf ou texte. Merci. Lisez ceci : http://www.fsf.org/philosophy/no-word-attachments.fr.html Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Re: ipchains et port 0
Tiens une liste des ports là : http://www.good-stuff.co.uk/useful/portfull.php on y trouve ça : # Glenn Davis &[EMAIL PROTECTED]> ident 113/tcp auth113/tcpAuthentication Service auth113/udpAuthentication Service et puis ça : # Mike Berrow <---none---> epmap 135/tcpDCE endpoint resolution epmap 135/udpDCE endpoint resolution donc c'est un 13x qui n'est pas ce que je disais. -- Je vous serai reconnaissant de ne pas m'envoyer de pièces jointes aux formats Microsoft Word ou Microsoft PowerPoint. Utilisez des formats universels et connus comme rtf ou texte. Merci. Lisez ceci : http://www.fsf.org/philosophy/no-word-attachments.fr.html Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
RE: [Confirme] Re: ipchains et port 0
Tu as la liste dans /etc/services ... -Message d'origine- De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] la part de marc guillaume Envoyé : vendredi 15 août 2003 09:08 À : [EMAIL PROTECTED] Objet : Re: [Confirme] Re: ipchains et port 0 Tiens une liste des ports là : http://www.good-stuff.co.uk/useful/portfull.php on y trouve ça : # Glenn Davis &[EMAIL PROTECTED]> ident 113/tcp auth113/tcpAuthentication Service auth113/udpAuthentication Service et puis ça : # Mike Berrow <---none---> epmap 135/tcpDCE endpoint resolution epmap 135/udpDCE endpoint resolution donc c'est un 13x qui n'est pas ce que je disais. -- Je vous serai reconnaissant de ne pas m'envoyer de pièces jointes aux formats Microsoft Word ou Microsoft PowerPoint. Utilisez des formats universels et connus comme rtf ou texte. Merci. Lisez ceci : http://www.fsf.org/philosophy/no-word-attachments.fr.html Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Re: ipchains et port 0
Le Dimanche 17 Août 2003 17:55, Christophe PEREZ a écrit : > PS : Marc, désolé d'avoir squatté. ouaip ! c'est grave !! de toute façon avec mes ipchains ça ne tente plus grand monde, mais je continue à me documenter. -- Je vous serai reconnaissant de ne pas m'envoyer de pièces jointes aux formats Microsoft Word ou Microsoft PowerPoint. Utilisez des formats universels et connus comme rtf ou texte. Merci. Lisez ceci : http://www.fsf.org/philosophy/no-word-attachments.fr.html Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Re: ipchains et port 0
Christophe PEREZ a écrit : Le Sun, 17 Aug 2003 12:07:19 +0400, David Robert a écrit: Et bien, je les ai fermés explicitement dans "rules" de shorewall, mais je .../... run_iptables -A common -d 224.0.0.0/4 -j DROP run_iptables -A common -p tcp --dport 113 -j reject C'est quoi ces fichiers dont je ne m'étais même pas aperçu de l'existence ? Qu'amènent-ils de plus que policy et rules ? Moi qui croyais avoir presque compris shorewall :-)) C'est bien pour cette raison que j'ai tendance à penser que c'est de la connerie ce shorewall (et les autres avec!) : c'est soi-disant fait pour simplifier la mise en place des règles iptables. La réalité est tout autre : si tu veux faire un réglage fin, tu dois non seulement te coltiner l'apprentissage de shorewall le simplificateur (sic! : pas si simple que ça), mais en plus au total, va falloir que tu apprennes en réalité, le fonctionnement de netfilter et donc iptables qui sont "derrière". Choisis ton camp camarade! disait l'aut'. Pour ma prt, j'ai préféré bosser une seule fois. C'est là où j'ai pigé à peu près tout : http://christian.caleca.free.fr/ Mais y'en a peut être d'autres. Après, je peux peut être t'aider ;-) à+ Rosaire Et si quelqu'un ouvait m'expliquer plus précisément la ligne sur le port 53, car en effet, j'ai bien souvent des problèmes de DNS sur mon réseau, que je pourrai détailler dans un autre fil si quelqu'un se sent de m'aider. PS : Marc, désolé d'avoir squatté. Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Re: ipchains et port 0
Christophe PEREZ a écrit : Le Mon, 18 Aug 2003 05:47:11 +, AMORE Rosaire a écrit: Mais y'en a peut être d'autres. Après, je peux peut être t'aider ;-) Ma question en reserve, tu l'as déjà eue sur la liste débutant, et elle était restée sans réponse :-)) Excuses, je ne voulais pas être cassant, mais honnêtement, je ne connais rien à shorewall. Et je connais un peu iptables. La question sans réponse, c'était quoi? Rosaire Et puis, là, j'ai fait simple car, comme je considère avoir mis tout ce qu'il faut comme règles dans rules, j'ai viré celles de ces fichiers common, ça ne change strictement rien apparemment, parce que mes dernières règles de rules prenaient le dessus. Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Re: ipchains et port 0
>Moi qui croyais avoir presque compris shorewall :-)) je suis d'accord avec Rosaire : certains firewalls utilisent des synthaxes qui ne simplifie rien voir méme complique les choses! de plus on sait déjà que shorewall a quelques bugs >Et si quelqu'un ouvait m'expliquer plus précisément la ligne sur le port >53, car en effet, j'ai bien souvent des problèmes de DNS sur mon réseau, c'est une synthaxe proched' iptables que l'on retoruve dans le fichier de conf: franchement si tu vas aussi loin dans la decouverte de ton firewall, tu peux apprendre iptables :-) run_iptables -A common -p udp --sport 53 -mstate --state NEW -j DROP = tout les paquet UDP provenant d'une ip source quelconque et du port 53 et qui tente d'initialiser une connexion est rejeté Alex
Re: [Confirme] Re: ipchains et port 0
Je ne pense vraiment pas que ça puisse être un problème de DNS. Effectivement l'histoire du timeout est a creuser. Tu as déjà une redirection vers une page de squid pour te dire qu'une URL était indisponible ? Dans ce cas, c'est bien squid qui te répond. D'après ce que j'ai compris c'est apache qui te répond, mais le cas est proche... Regarde dans la conf de squid, il y a peut être une redirection vers apache ou un port 80 qui traine... C'était bien essayé, mais ce n'est à priori pas squid. Alors, dns ou iptables (shorewall) ? -- Christophe PEREZ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com"; Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Re: ipchains et port 0
Christophe PEREZ a écrit : Le Thu, 21 Aug 2003 01:32:08 -0400, Christophe PEREZ a écrit: Déjà cherché partout, mais j'avoue que je ne comprends pas tout à squid. voici ma config de squid, si quelqu'un y voit quelque chose de choquant : [...] Aucun commentaire sur ma config squid ? Je vais voir ! Une recherche sur google Linux en français à partir de ta réponse d'hier m'a mennée ici uniquement ! Moi aussi, c'est un problème de squid que j'aimerais rendre transparent ! Juste un chalenge pour on cours que je prépare ! nb : pour faire un fichier comme le tien, il faudrait que j'enlève toutes les lignes commençant par #. Comment le faire en ligne de commande? En C, c'est facile, mais bon... -- Amicalement vOOotre Troumad Alias Bernard SIAUD mon site : http://troumad.free.fr : AD&D, mathématiques, WEB, et sectes. Pour que vive la liberté soutenez http://www.mandrakelinux.com/fr/ : Mandrake Linux, http://www.eurolinux.org/index.fr.html Je souhaite recevoir uniquement des documents avec des formats ouverts, par exemple avec http://fr.openoffice.org Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Re: ipchains et port 0
Troumad wrote: > Christophe PEREZ a écrit : > > >Le Thu, 21 Aug 2003 01:32:08 -0400, Christophe PEREZ a écrit: > > > > > > > >>Déjà cherché partout, mais j'avoue que je ne comprends pas tout à squid. > >>voici ma config de squid, si quelqu'un y voit quelque chose de choquant > >>: > >> > >> > >[...] > > > >Aucun commentaire sur ma config squid ? > > > Je vais voir ! Une recherche sur google Linux en français à partir de ta > réponse d'hier m'a mennée ici uniquement ! > Moi aussi, c'est un problème de squid que j'aimerais rendre transparent > ! Juste un chalenge pour on cours que je prépare ! > > nb : pour faire un fichier comme le tien, il faudrait que j'enlève > toutes les lignes commençant par #. Comment le faire en ligne de commande? > En C, c'est facile, mais bon... > vi fichier :g/^#/d (si ça fait l'inverse de ce que tu veux pas remplacer g par v) :wq vivie vi > > -- > Amicalement vOOotre Troumad Alias Bernard SIAUD > mon site : http://troumad.free.fr : AD&D, mathématiques, WEB, et sectes. > Pour que vive la liberté soutenez http://www.mandrakelinux.com/fr/ : > Mandrake Linux, http://www.eurolinux.org/index.fr.html > Je souhaite recevoir uniquement des documents avec des formats ouverts, > par exemple avec http://fr.openoffice.org > > > Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? > Rendez-vous sur "http://www.mandrakestore.com"; Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";