connexion sur certains site

par **jeal** » 20 Jan 2004 20:47

slt tout le monde, je viens de charger la 1.3.0 d ipcop, modem ethernet eci, connexion permanente nerim avec ip fixe or, qq minutes apres le lancement de la passerelle (red et green ok) je n ai plus acces à certains sites web (notemment le mien!) qui ne repond plus aux ping alors que je peux toujours surfer sur d autres sites (mon ip fixe est differente de mon site web) voila mon prob j ai fait un tour sur les forums et je pense etre le seul a rencontrer ce type de prob qui n est pas une reelle deconnexion, de plus je ne pense pas que nerim ai des problemes de maj de dns puisque au redemarrage de la connexion tout se passe bien mais pas longtemps je dois etre bmoque en sortie sur certaines ip ou j ai fait trop d acces a la meme ip? ps: je debute sous linux mais suis perceverant ! merci c un peu le meme probleme que vinzstyle je l ai reinstallee n ai pas active snort ni le proxy suis en pppoe

par **jeal** » 20 Jan 2004 21:10

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-01-20 19:47, jeal a écrit: slt tout le monde, je viens de charger la 1.3.0 d ipcop, modem ethernet eci, connexion permanente nerim avec ip fixe or, qq minutes apres le lancement de la passerelle (red et green ok) je n ai plus acces à certains sites web (notemment le mien!) qui ne repond plus aux ping alors que je peux toujours surfer sur d autres sites (mon ip fixe est differente de mon site web) voila mon prob j ai fait un tour sur les forums et je pense etre le seul a rencontrer ce type de prob qui n est pas une reelle deconnexion, de plus je ne pense pas que nerim ai des problemes de maj de dns puisque au redemarrage de la connexion tout se passe bien mais pas longtemps je dois etre bmoque en sortie sur certaines ip ou j ai fait trop d acces a la meme ip? ps: je debute sous linux mais suis perceverant ! merci c un peu le meme probleme que vinzstyle je l ai reinstallee n ai pas active snort ni le proxy suis en pppoe petite info supplementaire le ping ne fonctionne pas mais avec un traceroute ca marche ! </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE>

par **MoiCVincent** » 20 Jan 2004 21:33

Ca vas peut etre pas t'aidr bocoup mais essaie de faire une resolution DNS au moment ou ca ne passe plus ! Regarde si <a href="mailto:l@IP">l@IP</a> est la bonne ! Sinon pour le moment je vois pas!

par **jeal** » 20 Jan 2004 21:36

si ca marche quand je ping ca correspond bien à l'ip et depuis une autre connexion ca marche bien le serveur est actif et si je redemarre la connexion ca va marcher mais que qq secondes je suis en train de tester les regles du firewall moi aussi je donne ma langue au chat merci quand meme

par **jeal** » 20 Jan 2004 21:50

j ai peut etre trouve la soluce en fait dans les regles du firewell etc/rc.d/rc.firewall j ai commente toutes les lignes avec --limit 10/minute du coup ca "semble" resoudre mon probleme

par **MoiCVincent** » 20 Jan 2004 23:54

oki tu as raison si tu ping avec l'ip rien a voir avec le DNS! Je pense effectivement que tu est sur la bonne voie avec les --limit dans ton script! Envoie le si tu n'arrive pas a trouver d'ou viens le probleme <IMG SRC="images/smiles/icon_wink.gif">

par **jeal** » 21 Jan 2004 20:31

le --limit (voir les pages man du firewall) m a pas trop aide en fait ci dessous mon fichier de config en l'etat, un special parano qui se trouve dans: /etc/rc.d/rc.firewall pour ceux qui veulent le recuperer et améliorer attentiona penser à remettre le chmod en 777 et comme ma soluce a pas marche meme probleme d acces à mon site, suit le meme fichier en plus soft si ca interresse du monde je peux mettre 'ma' version d ipcop en download sur mon site ou ailleurs (interface graphique refaite, ajout de samba, portsentry....) #!/bin/sh . /var/ipcop/ppp/settings . /var/ipcop/ethernet/settings IFACE=`/bin/cat /var/ipcop/red/iface | /usr/bin/tr -d '012'` iptables_init() { echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route echo 1 > /proc/sys/net/ipv4/conf/all/log_martians # Reduce DoS'ing ability by reducing timeouts echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout echo 0 > /proc/sys/net/ipv4/tcp_window_scaling echo 0 > /proc/sys/net/ipv4/tcp_timestamps echo 0 > /proc/sys/net/ipv4/tcp_sack echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog # Flush all rules and delete all custom chains /sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -X /sbin/iptables -t nat -X # Set up policies /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT ACCEPT # This chain will log, then DROPs "Xmas" and Null packets which might # indicate a port-scan attempt /sbin/iptables -N PSCAN /sbin/iptables -A PSCAN -p tcp -m limit --limit 10/minute -j LOG --log-prefix "TCP Scan? " /sbin/iptables -A PSCAN -p udp -m limit --limit 10/minute -j LOG --log-prefix "UDP Scan? " /sbin/iptables -A PSCAN -p icmp -m limit --limit 10/minute -j LOG --log-prefix "ICMP Scan? " /sbin/iptables -A PSCAN -f -m limit --limit 10/minute -j LOG --log-prefix "FRAG Scan? " /sbin/iptables -A PSCAN -j DROP # Disallow packets frequently used by port-scanners, XMas and Null /sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j PSCAN /sbin/iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j PSCAN /sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -j PSCAN /sbin/iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j PSCAN } iptables_red() { /sbin/iptables -F RED /sbin/iptables -t nat -F RED # PPPoE / PPTP Device if [ "$IFACE" != "" ]; then # PPPoE / PPTP if [ "$DEVICE" != "" ]; then /sbin/iptables -A RED -i $DEVICE -j ACCEPT fi if [ "$RED_TYPE" = "PPTP" -o "$RED_TYPE" = "PPPOE" ]; then if [ "$RED_DEV" != "" ]; then /sbin/iptables -A RED -i $RED_DEV -j ACCEPT fi fi fi if [ "$IFACE" != "" -a -f /var/ipcop/red/active ]; then # DHCP if [ "$RED_DEV" != "" -a "$RED_TYPE" = "DHCP" ]; then /sbin/iptables -A RED -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A RED -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT fi if [ "$PROTOCOL" = "RFC1483" -a "$METHOD" = "DHCP" ]; then /sbin/iptables -A RED -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A RED -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT fi # Allow IPSec /sbin/iptables -A RED -p 47 -i $IFACE -j ACCEPT /sbin/iptables -A RED -p 50 -i $IFACE -j ACCEPT /sbin/iptables -A RED -p 51 -i $IFACE -j ACCEPT /sbin/iptables -A RED -p udp -i $IFACE --sport 500 --dport 500 -j ACCEPT # Outgoing masquerading /sbin/iptables -t nat -A RED -o $IFACE -j MASQUERADE fi } # See how we were called. case "$1" in start) iptables_init # Limit Packets- helps reduce dos/syn attacks /sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 10/sec # CUSTOM chains, can be used by the users themselves /sbin/iptables -N CUSTOMINPUT /sbin/iptables -A INPUT -j CUSTOMINPUT /sbin/iptables -N CUSTOMFORWARD /sbin/iptables -A FORWARD -j CUSTOMFORWARD /sbin/iptables -t nat -N CUSTOMPREROUTING /sbin/iptables -t nat -A PREROUTING -j CUSTOMPREROUTING # Accept everyting connected /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # localhost and ethernet. /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -p icmp -j ACCEPT /sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT /sbin/iptables -A FORWARD -i $GREEN_DEV -j ACCEPT # accept all traffic from ipsec interfaces /sbin/iptables -A INPUT -i ipsec+ -j ACCEPT /sbin/iptables -A FORWARD -i ipsec+ -j ACCEPT # Port forwarding if [ "$ORANGE_DEV" != "" ]; then # This rule enables a host on ORANGE network to connect to the outside /sbin/iptables -A FORWARD -i $ORANGE_DEV -p tcp -o ! $GREEN_DEV -j ACCEPT /sbin/iptables -A FORWARD -i $ORANGE_DEV -p udp -o ! $GREEN_DEV -j ACCEPT fi # RED chain, used for the red interface /sbin/iptables -N RED /sbin/iptables -A INPUT -j RED /sbin/iptables -t nat -N RED /sbin/iptables -t nat -A POSTROUTING -j RED iptables_red # XTACCESS chain, used for external access /sbin/iptables -N XTACCESS /sbin/iptables -A INPUT -j XTACCESS # PORTFWACCESS chain, used for portforwarding /sbin/iptables -N PORTFWACCESS /sbin/iptables -A FORWARD -j PORTFWACCESS # DMZ pinhole chain. setdmzholes setuid prog adds rules here to allow # ORANGE to talk to GREEN. /sbin/iptables -N DMZHOLES /sbin/iptables -A FORWARD -o $GREEN_DEV -j DMZHOLES # Custom prerouting chains (for transparent proxy and port forwarding) /sbin/iptables -t nat -N SQUID /sbin/iptables -t nat -A PREROUTING -j SQUID /sbin/iptables -t nat -N PORTFW /sbin/iptables -t nat -A PREROUTING -j PORTFW # last rule in input and forward chain is for logging. /sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT " /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT " ;; stop) iptables_init # Accept everyting connected /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # localhost and ethernet. /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT if [ "$RED_DEV" != "" -a "$RED_TYPE" = "DHCP" ]; then /sbin/iptables -A input -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A input -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT fi if [ "$PROTOCOL" = "RFC1483" -a "$METHOD" = "DHCP" ]; then /sbin/iptables -A input -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A input -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT fi /sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT " /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT " ;; reload) iptables_red ;; restart) $0 stop $0 start ;; *) echo "Usage: $0 {start|stop|reload|restart}" exit 1 ;; esac exit 0 fin du script ********************************************************** mes nouvelles regles: #!/bin/sh echo 1 > /proc/sys/net/ipv4/ip_forward iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -t nat -F PREROUTING iptables -t nat -F POSTROUTING iptables -t nat -F OUTPUT iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -p all -j MASQUERADE

par **MoiCVincent** » 21 Jan 2004 21:12

Ola c'est un bon gros srcipt avec plein de regle comme je les aimes <IMG SRC="images/smiles/icon_eek.gif"> Bah , je suis en train de me rememorer mes cours de TCP/Ip apres un coup d'oeil rapide ya une ligne qui me gene # Limit Packets- helps reduce dos/syn attacks /sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 10/sec Je trouve ca un peux violent En fait si tu limite a 10 par seconde les paquets TCP avec les drapeaux SYN ou ACK SYN bah je pense que tu peux plus communiquer assez rapidement . Essaie en placant un commentaire juste sur cette ligne <IMG SRC="images/smiles/icon_razz.gif"> De plus je pense que Les lignes : # Reduce DoS'ing ability by reducing timeouts echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout echo 0 > /proc/sys/net/ipv4/tcp_window_scaling echo 0 > /proc/sys/net/ipv4/tcp_timestamps echo 0 > /proc/sys/net/ipv4/tcp_sack echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog Sont suffisante pour te proteger des dos/syn attack Mais c'est loin , il fo que je me replogne dans TCP/IP moi

connexion sur certains site

Qui est en ligne ?