nouvelle sur le forum

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

nouvelle sur le forum

Messagepar camille.titoune » 08 Oct 2005 13:59

:D bonjour tout le monde, je me presente: je suis camille.
:P J'ai decouvert ipcop depuis 1 mois et mon installation a la maison fonctionne bien
( grace a ma lecture du forum, encore un grand bravo pour tout les post ! ) :D

Voila j'ai un petit probleme, hiers soir j'ai teste un petit programme du nom de ip-toots, il me permet de suivre les connections sur ma machine ... et ce matin j'ai decouvert cela ...
TCP ( mon ip ) :2157 82.xx;xx;xx;x :110 ESTABLISHED ???:3952
TCP ( mon ip) :2753 82.xx;xx;xx;x :110 ESTABLISHED ???:3952

Qu'est ce que cela signifit ? en cherchant sur internet, j'ai trouve un site qui parle du port 3952 ..
comme etant un trojan manager ?
J'ai pinger les 2 ip mais une seule me repond...
Avez vous une idée :oops: :?:
Sinon je regarde mes logs sur mon ipcop mais pour le moment rien...

amicalement
Camille
Avatar de l’utilisateur
camille.titoune
Matelot
Matelot
 
Messages: 3
Inscrit le: 08 Oct 2005 13:49

Messagepar jdh » 08 Oct 2005 14:19

Il me semble qu'il faut plutôt lire ces infos comme :

il y a des liaisons établies dans le sens :

(ton ip, tcp/port 2157) -> (82.xx.xx.xx, tcp/port 110)

Ce qui signifie que ta machine est en train de regarder la boite mail en utilisant le port pop=tcp/port 110. D'ailleurs pour vérifier cela il te suffit de faire "ping pop.fai.fr" (remplace fai par ton fai réel) et de comparer l'adresse ip avec 82.xx.xx.xx. Il faut aussi noter que le port (source) 2157 n'a aucun intéret : ce pourrait être n'importe quelle valeur (entre 1025 et 65535).

Peut-être as tu 2 boites mail d'où 2 liens avec des ip différentes ?

Tu peux aussi fermer Outlook (ou autre) et tu pourras constater qu'il n'y a plus de lien établi.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar camille.titoune » 08 Oct 2005 14:42

:lol: J'ai fait un test sur mon FAI mais cela ne correspond pas .. d'ailleurs, aucun programme de mail fonctionnait a ce moment la :roll: merci pour le feedback :wink:
Avatar de l’utilisateur
camille.titoune
Matelot
Matelot
 
Messages: 3
Inscrit le: 08 Oct 2005 13:49

Messagepar erreipnaej » 08 Oct 2005 22:11

Bonsoir,

As tu regardé la page Etat/Connections sur IpCop à ce moment?
Est ce que cela ne pourrais pas être la durée de vie de cette connections?
Je ne connais pas IP-Toots, Google non plus d'ailleurs!
Edit
Je suis nul! C'est IP-Tools, bien sur! et il n'est pas si tard.....je vais peut être aller me coucher!
@+[/code]
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar jdh » 08 Oct 2005 22:27

J'avais trouvé Ip-Tools bien sur. Mais il s'agit d'un shareware.

Je peux supposer que, dans cette fonction Ip-Tools, fournit les résultats de la commande "netstat".

J'ai pensé que le 110 signifie pop3. Il faudrait voir réellement ce qui est réalisé : le port 110 ou le port 3952.

Il est clair que la seule justification du port 110 est Outlook (ou équivalent Thunderbird). Si ce pgm ne tourne pas, et qu'il n'y a pas 2 comptes pop, on est en droit de regarder.

Au cas où, il est toujours possible de faire un "tcpdump" sur l'IPCOP. Par exemple, un "tcpdump -ln -i eth? 'not port 22' | tee zz" permet de suivre et stocker le traffic dans zz.

C'est basic, mais c'est sur comme démarche.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar wann » 10 Oct 2005 09:39

Pour le suivi des connexions, il y a bien évidemment l'interface graphique qui a certains attraits, et notamment la colorisation en fonction des réseaux de provenance et de destination. En revanche, il n'est pas dynamique et il faut recharger la page pour actualiser l'état des connexions en cours.

Depuis peu (IPCop 1.4.6 je crois), iptstate a été ajouté sur IPCop. C'est en ligne de commandes certes, sans colorisation évidemment, mais c'est très pratique...

Pour info :
Code: Tout sélectionner
# iptstate -h
IPTables State Version 1.4
Usage: iptstate [-dfhlLRst] [-b [d|p|s|t]] [-D <address>] [-S <address>] [-r <seconds>]
        b: Sort by
           d: Destination IP (or Name)
           p: Protocol
           s: State
           t: TTL
           (to sort by Source IP (or Name), don't use -b)

        d: Do not dynamically choose sizing, use default
        D: Only show states with a destination of the IP address given
        f: Filter loopback
        h: This help message
        l: Show hostnames instead of IP addresses
        L: Hide DNS lookups
        r: Refresh rate, followed by rate in seconds
           (for statetop, not applicable for -s)
        R: reverse sort order
        s: Single run (no curses)
        S: Only show states with a source of the IP address given
        t: Print totals
See man iptstate(1) for more information.
"Free your mind and your ass wil follow" (George Clinton)
Avatar de l’utilisateur
wann
Amiral
Amiral
 
Messages: 1032
Inscrit le: 07 Jan 2002 01:00
Localisation: Nantais, parfois ;-)

Messagepar camille.titoune » 10 Oct 2005 19:04

:D merci encore pour vos reponses \:D/ :biz:
C'est exact c'est bizarre..
le log le dit exactement d'ailleur ..
TCP mon ip :2157 82.xx.xx.xx :110 ESTABLISHED ???:3952
TCP mon ip :2753 82.xx.xx.xx :110 ESTABLISHED ???:3952

ip-tools n'indique pas le nom du programme ( qui apparait en ???: sur le port 3952 )
alors qu'il le devrait ....
De plus pour info les adresses ip corresponde a des adresses chez free .. visiblement.
je vais regarder plus precisement comme indique par erreipnaej.
Sinon ma config est de base .. comment faire pour l'ameliorer ?
anti virus ??
filtre ??
port ?

D'ailleur une chose que je ne comprend pas tres bien...
le fichier rc.firewall.local... prime sur rc.firewall ??? exact ?
si je doir bloquer un port ( comme le 21 par exemple qui ne me sert a rien :x )
j'ajoute la ligne dans rc.firewall.local... :-k
Avatar de l’utilisateur
camille.titoune
Matelot
Matelot
 
Messages: 3
Inscrit le: 08 Oct 2005 13:49

Messagepar tomtom » 10 Oct 2005 21:53

Bonsoir,

Vous devriez commencer par lire la documentation.

IPCop bloque les ports entrants par defaut.

Visiblement, c'est une communication sortante, je suis pret à parier que c'est un logiciel de messagerie sur votre lan.

Si vous nous doniez l'adresse de destination, on pourrait essayer de savoir ce que c'est...


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron