complément d'infos sur la chaîne PSCAN d'iptables

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar stardust » 27 Août 2003 17:16

Bonjour, <BR> <BR>Je me lance sur IPCOP et je me pose la question suivante sur l'iptables par défaut <BR> <BR>Quelqu'un saurait il me dire pourquoi alors que toutes les références faites à la chaîne PSCAN sont basés sur TCP (lignes 2 et 3 de la chaîne INPUT et lignes 3 et 4 de la chaîne FORWARD), je trouve une ligne udp et une ligne icmp dans la chaîne PSCAN ?? <BR> <BR>Ci dessous une partie de l'iptables : <BR> <BR>Machine_ipcop130#iptables -v -L <BR> <BR>Chain INPUT (policy DROP 1 packets, 231 bytes) <BR>pkts bytes target prot opt in out source destination <BR> 79 4701 ipac~o all -- any any anywhere anywhere <BR> 0 0 PSCAN tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG <BR> 0 0 PSCAN tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE <BR> 1 48 tcp -- any any anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 10/sec burst 5 <BR> <BR> <BR>Chain FORWARD (policy DROP 0 packets, 0 bytes) <BR>pkts bytes target prot opt in out source destination <BR> 16 2862 ipac~fi all -- any any anywhere anywhere <BR> 16 2862 ipac~fo all -- any any anywhere anywhere <BR> 0 0 PSCAN tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG <BR> 0 0 PSCAN tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE <BR> <BR> <BR>Chain PSCAN (4 references) <BR>pkts bytes target prot opt in out source destination <BR> 0 0 LOG tcp -- any any anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `TCP Scan? ' <BR> 0 0 LOG udp -- any any anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `UDP Scan? ' <BR> 0 0 LOG icmp -- any any anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `ICMP Scan? ' <BR> 0 0 LOG all -f any any anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `FRAG Scan? ' <BR> 0 0 DROP all -- any any anywhere anywhere <BR> <BR>Je sais cela n'est pas bloquant mais juste une petite indication ferait avancer le "schmilblick" <IMG SRC="images/smiles/icon_confused.gif">
Avatar de l’utilisateur
stardust
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 181
Inscrit le: 21 Fév 2003 01:00
Localisation: Ile de France

Messagepar guiguid » 27 Août 2003 17:37

Salut, <BR>J'ai pas vérifié, mais effectivement, PSCAN devrait etre appeler par l'interface RED <BR>quelque soit le protocole ! <BR> <BR>Guillaume <BR> <BR>
Avatar de l’utilisateur
guiguid
Vice-Amiral
Vice-Amiral
 
Messages: 636
Inscrit le: 10 Avr 2003 00:00
Localisation: 66

Messagepar Gesp » 27 Août 2003 20:50

C'est comme cela que c'est défini dans rc.firewall mais je ne saisis pas la subtilité entre la chaine définie sur différents protocoles et l'application de la chaine sur d'autres chaines uniquement sur tcp <BR> # This chain will log, then DROPs "Xmas" and Null packets which might <BR> # indicate a port-scan attempt <BR> /sbin/iptables -N PSCAN <BR> /sbin/iptables -A PSCAN -p tcp -m limit --limit 10/minute -j LOG --log-prefix "TCP Scan? " <BR> /sbin/iptables -A PSCAN -p udp -m limit --limit 10/minute -j LOG --log-prefix "UDP Scan? " <BR> /sbin/iptables -A PSCAN -p icmp -m limit --limit 10/minute -j LOG --log-prefix "ICMP Scan? " <BR> /sbin/iptables -A PSCAN -f -m limit --limit 10/minute -j LOG --log-prefix "FRAG Scan? " <BR> /sbin/iptables -A PSCAN -j DROP <BR> <BR> # Disallow packets frequently used by port-scanners, XMas and Null <BR> /sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j PSCAN <BR> /sbin/iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j PSCAN <BR> /sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -j PSCAN <BR> /sbin/iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j PSCAN
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar stardust » 28 Août 2003 09:14

<BR>Comme on peut le voir ci dessous la cible (PSCAN) n'est atteinte que selon l'état des flags TCP (tous à 1 ou tous à 0) <BR> <BR> # Disallow packets frequently used by port-scanners, XMas and Null <BR>/sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j PSCAN <BR>/sbin/iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j PSCAN <BR>/sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -j PSCAN <BR>/sbin/iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j PSCAN <BR> <BR> <IMG SRC="images/smiles/icon_smile.gif">
Avatar de l’utilisateur
stardust
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 181
Inscrit le: 21 Fév 2003 01:00
Localisation: Ile de France


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron