Re: [hs] Des trous dans Shorewall
Le Wed, 30 Jun 2010 13:00:01 +0200, Frédéric ZULIAN a écrit : Ben il a installé sur son PC une appli Hamachi dont le descriptif est Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade http://www.clubic.com/telecharger-fiche14515-hamachi.html Comment fait-il donc pour contourner ma config de shorewall ? salut, hamachi permet de créer un vpn. Comme il se connecte sur un serveur central via un des ports normalement autorisés (ie 443), il suffit de repérer les adresses IP de cette société. En l'occurrence, voici celles que j'ai: 64.94.18.0/24, 74.201.74.0/23, 77.242.192.0/23 quelques règles iptables et l'affaire est dans la sac. Ceci a un avantage, il est impossible de se connecter sur leurs sites internet (comme https://secure.logmein.com) . Un peu brutal ,je vous l'accorde, mais depuis impossible de s'y connecter. @+ -- Px -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100702174512.64ca7...@lucifer
Re: [hs] Des trous dans Shorewall
Le Tue, Jun 29, 2010 at 05:10:18PM +0200, Sylvain Sauvage écrivait : Pascal Hambourg, mardi 29 juin 2010, 17:01:07 CEST Salut, ???lut, [???] Dans le second cas, j'ai pas d'idée... Mais si, au moins deux : 1. mauvais admin, changer admin (après tout, on ne sait pas ce que fait son pare-feu), et, 2. fiston plus malin que l???admin ;o) Ben il a installé sur son PC une appli Hamachi dont le descriptif est Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade http://www.clubic.com/telecharger-fiche14515-hamachi.html Comment fait-il donc pour contourner ma config de shorewall ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100630110001.ga21...@zulian.com
Re: [hs] Des trous dans Shorewall
Frédéric ZULIAN a écrit : Ben il a installé sur son PC une appli Hamachi dont le descriptif est Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade http://www.clubic.com/telecharger-fiche14515-hamachi.html Comment fait-il donc pour contourner ma config de shorewall ? http://fr.wikipedia.org/wiki/Hamachi C'est une espèce de VPN avec serveur central, donc pour le pare-feu c'est juste une connexion sortante (ça rejoint ma première hypothèse). Tu filtres quoi en sortie vers internet ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c2b2806.8020...@plouf.fr.eu.org
Re: [hs] Des trous dans Shorewall
On Wed, Jun 30, 2010 at 01:00:01PM +0200, Frédéric ZULIAN wrote: Ben il a installé sur son PC une appli Hamachi dont le descriptif est Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade http://www.clubic.com/telecharger-fiche14515-hamachi.html Comment fait-il donc pour contourner ma config de shorewall ? Sans doute une connection sortante vers un port 443 vers les pairs ou via un serveur exterieur, et sans doute en utilisant autre chose que du HTTPS. C'est très, très dur de controller ce genre de chose. Ou alors il faut bloquer le port 443. Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100630112116.gl11...@naryves.com
Re: [hs] Des trous dans Shorewall
Le mercredi 30 juin 2010 à 13:21 +0200, Yves Rutschle a écrit : On Wed, Jun 30, 2010 at 01:00:01PM +0200, Frédéric ZULIAN wrote: Ben il a installé sur son PC une appli Hamachi dont le descriptif est Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade http://www.clubic.com/telecharger-fiche14515-hamachi.html Comment fait-il donc pour contourner ma config de shorewall ? Sans doute une connection sortante vers un port 443 vers les pairs ou via un serveur exterieur, et sans doute en utilisant autre chose que du HTTPS. C'est très, très dur de controller ce genre de chose. Ou alors il faut bloquer le port 443. Y. Ce machin tente un peu tout : https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocId=670 A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs, puis, une fois les serveurs contactés, B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon UDP 17771 ou TCP 443 vers des serveurs relais. Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller Windows Update entre autres !). Tu peux aussi construire une liste d'adresses de destination autorisées pour le 443, mais bon courage alors... Christophe -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1277901109.2900.21.ca...@hp6830s.herblain.cdjh.info
Re: [hs] Des trous dans Shorewall
Bonjour, Le mercredi 30 juin 2010, Christophe a écrit... C'est très, très dur de controller ce genre de chose. Ou alors il faut bloquer le port 443. Ce machin tente un peu tout : https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocId=670 A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs, puis, une fois les serveurs contactés, B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon UDP 17771 ou TCP 443 vers des serveurs relais. Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller Windows Update entre autres !). Tu peux aussi construire une liste d'adresses de destination autorisées pour le 443, mais bon courage alors... N'y a t-il pas des modules iptables qui permettent d'attaquer/filtrer la couche applicative ? -- jm A.E.L. Sarl (R.C.S CASTRES 490843240) http://www.spidboutic.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100630124828.gn28...@espinasse
Re: [hs] Des trous dans Shorewall
Le mercredi 30 juin 2010 à 14:48 +0200, Jean-Michel OLTRA a écrit : Bonjour, Bonjour, Le mercredi 30 juin 2010, Christophe a écrit... C'est très, très dur de controller ce genre de chose. Ou alors il faut bloquer le port 443. Ce machin tente un peu tout : https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocId=670 A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs, puis, une fois les serveurs contactés, B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon UDP 17771 ou TCP 443 vers des serveurs relais. Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller Windows Update entre autres !). Tu peux aussi construire une liste d'adresses de destination autorisées pour le 443, mais bon courage alors... N'y a t-il pas des modules iptables qui permettent d'attaquer/filtrer la couche applicative ? Si, il y a bien xtables-addons et son module ipp2p, et layer7. Mais je ne crois pas qu'ils connaissent hamachi. On peut toujours écrire ses propres règles de détection pour layer7, ceci dit ! Mais il faut encore trouver quoi mettre dedans... Christophe -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1277905327.2900.28.ca...@hp6830s.herblain.cdjh.info
[hs] Des trous dans Shorewall
Bonjour, Sur le réseau familial, un de mes fils a un serveur de jeux (fonctionnant sur un PC sous win7) et utilisant le port 444. Pourtant je n'ai aucune ligne sous shorewall autorisant du trafic sur le port 444 ! Et cela passe, ses amis se connectent sur son serveur en passant par ma passerelle sous shorewall ! !! Une idée ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100629140841.ga13...@zulian.com
Re: [hs] Des trous dans Shorewall
Salut, f1...@zulian.com a écrit : Sur le réseau familial, un de mes fils a un serveur de jeux (fonctionnant sur un PC sous win7) et utilisant le port 444. Pourtant je n'ai aucune ligne sous shorewall autorisant du trafic sur le port 444 ! Et cela passe, ses amis se connectent sur son serveur en passant par ma passerelle sous shorewall ! !! TCP ou UDP ? Y a-t-il un serveur central qui fait la mise en relation des postes clients et serveurs ou bien les postes clients se connectent-ils directement au poste serveur en spécifiant son adresse IP publique ? Dans le premier cas, le jeu pourrait exploiter un mécanisme de NAT traversal de type STUN ou équivalent : le serveur central connaît les adresses IP publiques des postes clients et les communique au poste serveur qui peut initier une connexion sortante à travers le pare-feu (hole punching), ce qui permet aux postes clients de communiquer avec lui. Ça marche assez bien en UDP, pas forcément aussi bien en TCP. Dans le second cas, j'ai pas d'idée... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c2a0ab3.6070...@plouf.fr.eu.org
Re: [hs] Des trous dans Shorewall
Pascal Hambourg, mardi 29 juin 2010, 17:01:07 CEST Salut, ’lut, […] Dans le second cas, j'ai pas d'idée... Mais si, au moins deux : 1. mauvais admin, changer admin (après tout, on ne sait pas ce que fait son pare-feu), et, 2. fiston plus malin que l’admin ;o) -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100629171018.0a6d3...@ithil
Re: [hs] Des trous dans Shorewall
Le 29 juin 2010 16:08, f1...@zulian.com a écrit : Une idée ? UPnP peut être ? -- Kévin -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktilrsjfbygg9yqt_zon2v3gbs5tlegqsalhnd...@mail.gmail.com