nouvelle sur le forum

par **camille.titoune** » 08 Oct 2005 13:59

bonjour tout le monde, je me presente: je suis camille.

J'ai decouvert ipcop depuis 1 mois et mon installation a la maison fonctionne bien
( grace a ma lecture du forum, encore un grand bravo pour tout les post ! )

Voila j'ai un petit probleme, hiers soir j'ai teste un petit programme du nom de ip-toots, il me permet de suivre les connections sur ma machine ... et ce matin j'ai decouvert cela ...
TCP ( mon ip ) :2157 82.xx;xx;xx;x :110 ESTABLISHED ???:3952
TCP ( mon ip) :2753 82.xx;xx;xx;x :110 ESTABLISHED ???:3952

Qu'est ce que cela signifit ? en cherchant sur internet, j'ai trouve un site qui parle du port 3952 ..
comme etant un trojan manager ?
J'ai pinger les 2 ip mais une seule me repond...
Avez vous une idée :oops:

Sinon je regarde mes logs sur mon ipcop mais pour le moment rien...

amicalement
Camille

par **jdh** » 08 Oct 2005 14:19

Il me semble qu'il faut plutôt lire ces infos comme :

il y a des liaisons établies dans le sens :

(ton ip, tcp/port 2157) -> (82.xx.xx.xx, tcp/port 110)

Ce qui signifie que ta machine est en train de regarder la boite mail en utilisant le port pop=tcp/port 110. D'ailleurs pour vérifier cela il te suffit de faire "ping pop.fai.fr" (remplace fai par ton fai réel) et de comparer l'adresse ip avec 82.xx.xx.xx. Il faut aussi noter que le port (source) 2157 n'a aucun intéret : ce pourrait être n'importe quelle valeur (entre 1025 et 65535).

Peut-être as tu 2 boites mail d'où 2 liens avec des ip différentes ?

Tu peux aussi fermer Outlook (ou autre) et tu pourras constater qu'il n'y a plus de lien établi.

par **camille.titoune** » 08 Oct 2005 14:42

J'ai fait un test sur mon FAI mais cela ne correspond pas .. d'ailleurs, aucun programme de mail fonctionnait a ce moment la :roll:

merci pour le feedback :wink:

par **erreipnaej** » 08 Oct 2005 22:11

Bonsoir,

As tu regardé la page Etat/Connections sur IpCop à ce moment?
Est ce que cela ne pourrais pas être la durée de vie de cette connections?
Je ne connais pas IP-Toots, Google non plus d'ailleurs!
Edit
Je suis nul! C'est IP-Tools, bien sur! et il n'est pas si tard.....je vais peut être aller me coucher!
@+[/code]

par **jdh** » 08 Oct 2005 22:27

J'avais trouvé Ip-Tools bien sur. Mais il s'agit d'un shareware.

Je peux supposer que, dans cette fonction Ip-Tools, fournit les résultats de la commande "netstat".

J'ai pensé que le 110 signifie pop3. Il faudrait voir réellement ce qui est réalisé : le port 110 ou le port 3952.

Il est clair que la seule justification du port 110 est Outlook (ou équivalent Thunderbird). Si ce pgm ne tourne pas, et qu'il n'y a pas 2 comptes pop, on est en droit de regarder.

Au cas où, il est toujours possible de faire un "tcpdump" sur l'IPCOP. Par exemple, un "tcpdump -ln -i eth? 'not port 22' | tee zz" permet de suivre et stocker le traffic dans zz.

C'est basic, mais c'est sur comme démarche.

par **wann** » 10 Oct 2005 09:39

Pour le suivi des connexions, il y a bien évidemment l'interface graphique qui a certains attraits, et notamment la colorisation en fonction des réseaux de provenance et de destination. En revanche, il n'est pas dynamique et il faut recharger la page pour actualiser l'état des connexions en cours.

Depuis peu (IPCop 1.4.6 je crois), iptstate a été ajouté sur IPCop. C'est en ligne de commandes certes, sans colorisation évidemment, mais c'est très pratique...

Pour info :

Code: Tout sélectionner: # iptstate -h IPTables State Version 1.4 Usage: iptstate [-dfhlLRst] [-b [d|p|s|t]] [-D <address>] [-S <address>] [-r <seconds>] b: Sort by d: Destination IP (or Name) p: Protocol s: State t: TTL (to sort by Source IP (or Name), don't use -b) d: Do not dynamically choose sizing, use default D: Only show states with a destination of the IP address given f: Filter loopback h: This help message l: Show hostnames instead of IP addresses L: Hide DNS lookups r: Refresh rate, followed by rate in seconds (for statetop, not applicable for -s) R: reverse sort order s: Single run (no curses) S: Only show states with a source of the IP address given t: Print totals See man iptstate(1) for more information.

par **camille.titoune** » 10 Oct 2005 19:04

merci encore pour vos reponses $\:D/$ :biz:

C'est exact c'est bizarre..
le log le dit exactement d'ailleur ..
TCP mon ip :2157 82.xx.xx.xx :110 ESTABLISHED ???:3952
TCP mon ip :2753 82.xx.xx.xx :110 ESTABLISHED ???:3952

ip-tools n'indique pas le nom du programme ( qui apparait en ???: sur le port 3952 )
alors qu'il le devrait ....
De plus pour info les adresses ip corresponde a des adresses chez free .. visiblement.
je vais regarder plus precisement comme indique par erreipnaej.
Sinon ma config est de base .. comment faire pour l'ameliorer ?
anti virus ??
filtre ??
port ?

D'ailleur une chose que je ne comprend pas tres bien...
le fichier rc.firewall.local... prime sur rc.firewall ??? exact ?
si je doir bloquer un port ( comme le 21 par exemple qui ne me sert a rien

)
j'ajoute la ligne dans rc.firewall.local... :-k

par **tomtom** » 10 Oct 2005 21:53

Bonsoir,

Vous devriez commencer par lire la documentation.

IPCop bloque les ports entrants par defaut.

Visiblement, c'est une communication sortante, je suis pret à parier que c'est un logiciel de messagerie sur votre lan.

Si vous nous doniez l'adresse de destination, on pourrait essayer de savoir ce que c'est...

t.

nouvelle sur le forum

nouvelle sur le forum

Qui est en ligne ?