Ipcop 1.4a12 et lib ipt_string ACTIVEE

[nomat]

Voili voilou, <BR> <BR>Aprés les questions voici les réponses que j'ai trouvées. <BR> <BR>L'objectif est de filtrer des fichiers avec iptables afin que ce filtrage soit valable pour tous les protocole réseau. <BR> <BR>ll faut qu'ipcop dispose du module ip_string, on peut le vérifier avec la présence de la librairie libipt_string dans le répertoire /lib/iptables. <BR> <BR>Pour les versions 1.3 lucyfire avait fait une compilation avec tous ce qu'il faut voir post : <BR> <BR><!-- BBCode auto-link start --><a href="http://www.ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&mode=viewtopic&topic=4273&forum=2&start=6" target="_blank">http://www.ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&mode=viewtopic&topic=4273&forum=2&start=6</a><!-- BBCode auto-link end --> <BR> <BR> <BR>sinon pour l'exemple je veux bloquer les fichiers : "cmd.exe" la régle donne : <BR> <BR>/sbin/iptables -I INPUT -j DROP -m string -p tcp -s 0.0.0.0/0 --string cmd.exe <BR> <BR>Cette régle bloque ce fichier du red vers le green, du green vers le red MAIS PAS du green au green. <BR> <BR> <BR>Voila pour les trouvailles, Sinon j'ai des questions qui sont toujours en cours et pour lesquelles vous pourriez m'aider. <BR> <BR>Probleme 1 : un fichier nommé par exemple acmd.exe est également bloqué MAIS il ne devrait pas. Je précise que ma régle iptables encadrée précédement la chaine à dropper par des guillemets : "cmd.exe" mais le probleme est alors qu'aucun filtrage n'est fait et le fichier passe sans probleme. <BR> <BR> <BR>Probleme 2 : comment fait on pour créer un log de ce que fait cette régle et où retrouve t on ce journal d'activité ???? <BR>

[nomat]

Cette partie est surtout destinée à belugha. <BR> <BR>Mais est à prendre en compte par tout le monde suite au post ci-dessus <BR> <BR>Le fais que je n'arrive pas à poster de sujet depuis hier venait du fait qu'en précisant le nom du fichier filtré : cmd.exe iptables devait bloquer le transfert meme si c'est du texte et nom un fichier. <BR> <BR>Donc à tous ATTENTION le filtrage est vraiment universel <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>Bon sinon vu que je suis loin d'être un pro d'iptable si quelqu'un pouvait me conseiller une petite régle pour filtrer seulement du RED vers le GREEN ou sinon seulement des fichiers et pas du texte. <BR> <BR>

[tomtom]

Je suis désolé de briser tes illusions, mais ceci risque fort de ne pas marcher longtemps... <BR> <BR>-Le module string de netfilter regarde simplement dans CHAQUE PAQUET si la chaine passée en paramètre est présente. <BR> <BR>- Vu que tu as travaillé sur la chaine INPUT, je suppose que tu dois utiliser un proxy (sinon, ce serait dans FORWARD qu'il aurait fallu faire). Tu peux bien sur regler le sens (avec -i interface d'entree) pour ajuster ton blocage... <BR> <BR>- Ce système est completement bancal car le protocole IP inclut de la fragmentation.. En clair, suppose que le nom de fichier soit coupé en deux, rien ne sera filtré ! <BR>De plus, le paquet contenant la chaine ets bloqué; mais les autres passent toujours, entrainant des communications non valides (car fragmentées, et pas avec tous les fragments !) <BR>Enfin, evidemment, toutu texte que tu telecharges contenant la string en question sera bloqué, car la connexion sera foutue à cause du fragment perdu <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR> <BR> <BR>En conclusion, il existe un truc tres bien qui s'appelle DansGuardian, ou SquidGuard, qui font du filtrage de contenu et qui moyennant des regles bien posées, seront bien plus efficaces, moins gourmande et sans soucis pour faire ceci... <BR>Netfilter n'est pas fait pour faire du filtrage texte, sauf applications tres tres particulières (blocage des connexions des p2p par exemple, et encore la fiabilité ne doit surmement pas être tres grande...) <BR> <BR>t.

[JaDiuM]

Bonjour, <BR> <BR>Tu peux même faire des choses comme celle-ci: <BR> <BR>iptables -A SnortRules -p udp -s $EXTERNAL_NET -d $HOME_NET --dport 518 -m <BR>string --string " è" -j LOG --log-prefix "SID313 " # "EXPLOIT ntalkd x86 <BR> linux overflow" bugtraq,210 classtype:attempted-admin sid:313 <BR> <BR> <BR> <BR>effectivement cela est joli, mais bien peser le pour et le contre (tomtom m'a devancé <IMG SRC="images/smiles/icon_bise.gif"> ),Iptables est censé gérer les couches basses du protocole IP, et la ce sont les couches superieur. Donc l'utiliser ponctuellement pour --string “c+dir” --string “cmd.exe” --string “default.ida” --string “Kazaa”, ça passe mais vaut mieux paramettrer snort en flexresp (couche haute c'est sont job). <BR> <BR> <BR>Cdt

[nomat]

JaDium peux tu me décrire ce que fai la régle que tu as écrite car je n'ai pas tout compris... <BR> <BR>Sinon pour le filtrage je n'ai pas l'intention d'y mettre une liste énorme, juste he bien les fichiers que tu as cité avec en plus tous les extensions pif et scr qui véhiculent des virus chez moi ce sont les seuls qui arrivent à passer au travers de l'antivirus <BR> <BR> <BR>Sinon pour ma culture generale de ce que vous m'avez dit le nom d'un fichier et le fichier lui même se trouve dans la meme couche reseau qu'une chaine de texte ???? <BR> <BR>N'y a t il pas un moyen de les différencier

[Gesp]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>Sinon pour ma culture generale de ce que vous m'avez dit le nom d'un fichier et le fichier lui même se trouve dans la meme couche reseau qu'une chaine de texte ???? </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Pas vraiment. <BR> <BR>Ce qui a été dit, c'est que au niveau de la couche ip, chaine de texte ou nom de fichier n'a pas de sens. <BR>A ce niveau, le réseau tranfert des paquets de données respectant les trames ip et ce que donne comme sens les couches supérieures à ces données est totalement inconnu. <BR>

[Franck78]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-03-03 23:12, Gesp a écrit: <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>Sinon pour ma culture generale de ce que vous m'avez dit le nom d'un fichier et le fichier lui même se trouve dans la meme couche reseau qu'une chaine de texte ???? </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>C'est ancien mais ca éclaircira ta compréhension de ce qu'est le réseau. <BR> <BR>Concis: <BR><!-- BBCode auto-link start --><a href="http://www.01net.com/article/191847.html" target="_blank">http://www.01net.com/article/191847.html</a><!-- BBCode auto-link end --> <BR> <BR>Détaillé <BR><!-- BBCode auto-link start --><a href="http://membres.lycos.fr/teki/reso/mosi.html" target="_blank">http://membres.lycos.fr/teki/reso/mosi.html</a><!-- BBCode auto-link end --> <BR> <BR>