Panique a bord. je viens de decouvrir qu'ipcop ne gere pas l'anti spoofing.
Par hasard ce matin je jette un oeil dans les connexions actives de mon router et que vois-je. Une connexion vers un site internet depuis une machine qui n'est pas connectée depuis plus de 24h sur le reseau !!!
tcp (6) 431998 ESTABLISHED 192.168.1.2:32926 192.168.1.1:445 192.168.1.1:445 192.168.1.2:32926 [ASSURED] 1
tcp (6) 359970 ESTABLISHED 192.168.1.3:3217 140.124.35.155:80 140.124.35.155:80 82.225.157.185:3217 [ASSURED] 1
tcp (6) 358272 ESTABLISHED 192.168.1.3:3174 24.37.237.47:20330 24.37.237.47:20330 82.225.157.185:3174 [ASSURED] 28
tcp (6) 367443 ESTABLISHED 192.168.1.3:3264 80.109.246.228:80 80.109.246.228:80 82.225.157.185:3264 [ASSURED] 1
tcp (6) 118 TIME_WAIT 192.168.1.2:32925 192.168.1.1:445 192.168.1.1:445 192.168.1.2:32925 [ASSURED] 1
Est-ce que j'ai des halucinations ou l'antispoofing d'ipcop ne fonctionne que sur l'adresse local 127.0.0.1 ??
car apres reflexion je n'ai jamais vu dans les log des messages BAD ADDRESS pour autre chose que le loopback.
Est-ce que quelqu'un peut me dire comment on active l'anti spoofing sur une ipcop 1.4 ???
IPCOP - OU EST l'ANTI SPOOFING ?????
Modérateur: modos Ixus
4 messages
• Page 1 sur 1
IPCOP - OU EST l'ANTI SPOOFING ?????
par baobab88 » 01 Juil 2004 15:56
Vous pouvez éteindre la télévision et reprendre une activité normale !!!
- baobab88
- Quartier Maître
- Messages: 21
- Inscrit le: 28 Oct 2003 01:00
- Localisation: Paris
par baobab88 » 01 Juil 2004 16:32
apres recherche, il semblerai que ce soit le module rp_filter du kernel qui gere l'anti spoofing.
j'ai trouve l'option ici :
/proc/sys/net/ipv4/conf/eth1/rp_filter
et aussi dans
/proc/sys/net/ipv4/conf/all/rp_filter
et comme de par hasard elle est a 0 sur ipcop 1.4 !!!
je ne sais pas vraiment si l'activation va me poser des souci mais je vote pour le 1.
Si quelqu'un peut me confirmer cette option ça me rendrai vraiment service.
en tout cas je continue mes recherches...
j'ai trouve l'option ici :
/proc/sys/net/ipv4/conf/eth1/rp_filter
et aussi dans
/proc/sys/net/ipv4/conf/all/rp_filter
et comme de par hasard elle est a 0 sur ipcop 1.4 !!!
je ne sais pas vraiment si l'activation va me poser des souci mais je vote pour le 1.
Si quelqu'un peut me confirmer cette option ça me rendrai vraiment service.
en tout cas je continue mes recherches...
Vous pouvez éteindre la télévision et reprendre une activité normale !!!
- baobab88
- Quartier Maître
- Messages: 21
- Inscrit le: 28 Oct 2003 01:00
- Localisation: Paris
par Gesp » 01 Juil 2004 17:55
rp_filter pose problème avec les VPN :
http://marc.theaimsgroup.com/?l=ipcop-d ... 812018&w=2
Ce n'est pas parce que tu vois la connexion d'un port vers une machine arrêtée que la connexion a été détournée de manière anormale. Simplement le timout n'a pas expiré et il peut être très long : convertit en heure la valeur en seconde indiquée sur la page.
http://marc.theaimsgroup.com/?l=ipcop-d ... 812018&w=2
Ce n'est pas parce que tu vois la connexion d'un port vers une machine arrêtée que la connexion a été détournée de manière anormale. Simplement le timout n'a pas expiré et il peut être très long : convertit en heure la valeur en seconde indiquée sur la page.
-
Gesp - Amiral
- Messages: 4481
- Inscrit le: 29 Déc 2002 01:00
par tomtom » 01 Juil 2004 20:10
C'est clair !
La connexion tcp n'a pas été fermée correctement (deconnexion sauvage de l'une ou l'autre des parties), et donc netfilter ne peut pas deviner que la connexion n'est pas établie.
Pour information, le temps de time out d'un conntrack netfilter est de 432000 secondes, soit exactement 5 jours.
Si tu es sur que la connexion n'est plus up, tu peux la supprimer à la main dan sle fichier /proc/net/ip_conntrack (à manipuler avec des pincettes et de la jugeote !)
Quand à l'antispoofing, il est peut-etre réalisé manuellement (règles de blocage au prerouting ?)
Je me rappelle que les débats avaient été annimés autour de ce sujet, mais je ne sais pas ce qu'il en est dans les versions actuelles d'ipcop ...
t.
La connexion tcp n'a pas été fermée correctement (deconnexion sauvage de l'une ou l'autre des parties), et donc netfilter ne peut pas deviner que la connexion n'est pas établie.
Pour information, le temps de time out d'un conntrack netfilter est de 432000 secondes, soit exactement 5 jours.
Si tu es sur que la connexion n'est plus up, tu peux la supprimer à la main dan sle fichier /proc/net/ip_conntrack (à manipuler avec des pincettes et de la jugeote !)
Quand à l'antispoofing, il est peut-etre réalisé manuellement (règles de blocage au prerouting ?)
Je me rappelle que les débats avaient été annimés autour de ce sujet, mais je ne sais pas ce qu'il en est dans les versions actuelles d'ipcop ...
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
4 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité