ICMP redirect host?

[dbomber]

Bonjour à tous, <BR> <BR>aprés avoir longuement épluché les posts d'IPCOP et autre distri (coup de $%#&! d'Antolien oblige <IMG SRC="images/smiles/icon_wink.gif"> ), j'ai une petite question. Voila hier en moins de 2 minutes SNORT m'a détecté plus de 400 ICMP redirect host (je trouve que ça fait beaucoup!) . D'aprés ce que j'ai compris cela pourrait provenir d'un routeur qui a "trouvé" une autre route que celle par défaut (vous m'arretez si je me trompe). Le probléme c'est qu'il y a 2 adresses différentes (tous les deux de pologne!). Depuis plus rien... <BR> <BR>Date: 04/24 17:48:57 Nom: ICMP redirect host <BR>Priorité: 2 Type: Potentially Bad Traffic <BR>Informations sur l'adresse IP: 213.76.191.2:n/a -> 80.13.13.71:n/a <BR>Références: aucune entrée trouvée SID: 472 <BR> <BR>Date: 04/24 17:48:57 Nom: ICMP redirect host <BR>Priorité: 2 Type: Potentially Bad Traffic <BR>Informations sur l'adresse IP: 80.50.215.170:n/a -> 80.13.13.71:n/a <BR>Références: aucune entrée trouvée SID: 472 <BR> <BR>J'aimerais avoir votre avis... <IMG SRC="images/smiles/icon_confused.gif">

[tomtom]

Comme je l'ai déjà dit dans un post, il faut REFUSER les ICMP redirect sur une passerelle ! <BR> <BR>La route par defaut de la passerelle est fournie par le FAI, à la connexion DHCP ou eventuellement il doit vous donner les mises à jour ! <BR> <BR>Tout paquet ICMP redirect me parait être une tentative de detournement de traffic, surtout si elle arrive sur internet et ne vous renvoie pas sur votre segment IP (autrement dit il y a de toute façon d'autre routeurs entre vous et la -soi-disant- route ar defaut). <BR> <BR>Dangereux ! <BR> <BR>Thomas <BR> <BR> <BR>_________________ <BR>"Ce n'est pas parce qu'un problème n'a pas été résolu qu'il est impossible à résoudre" A. Christie<BR><BR><font size=-2></font>

[dbomber]

bon ok on refuse les ICMP redirect (c'est bien ce que j'avais cru comprendre). Mais comment on fait ça sous IPCOP 1.3? <IMG SRC="images/smiles/icon_confused.gif">

[tomtom]

Bon, une bonne fois pour toutes je vous montre mes règles ICMP.. A vous de les adapter... <BR> <BR>J'utilise une table utilisateur "ICMPTable" vers laquelle tous les paquets (INPUT, OUTPUT, FORWARD) sont dirigés pour y etre testes <BR>j'autorise les pingsn le source-quench (genre de gestion de congestion), le spaquets destinations unreachable, les ttl expired (pour le traceroute par exemple, mais pas uniquement), et les detections de problèmes. <BR> <BR> <BR>icmp_rules () { <BR> echo -n " Application des regles sur le ICMP: " <BR> $IPTABLES -A ICMPTable -p icmp --icmp-type echo-reply -j ACCEPT <BR> $IPTABLES -A ICMPTable -p icmp --icmp-type echo-request -j ACCEPT <BR> $IPTABLES -A ICMPTable -p icmp --icmp-type source-quench -j ACCEPT <BR> $IPTABLES -A ICMPTable -p icmp --icmp-type destination-unreachable -j ACCEPT <BR> $IPTABLES -A ICMPTable -p icmp --icmp-type time-exceeded -j ACCEPT <BR> $IPTABLES -A ICMPTable -p icmp --icmp-type parameter-problem -j ACCEPT <BR> <BR> # Pour le IPv6 <BR> #$IPTABLES -A ICMPTable -p icmp --icmp-type 33 -j ACCEPT <BR> #$IPTABLES -A ICMPTable -p icmp --icmp-type 34 -j ACCEPT <BR> <BR> # on vire le reste <BR> $IPTABLES -A ICMPTable -j DROP <BR> $IPTABLES -A INPUT -p icmp -j ICMPTable <BR> $IPTABLES -A OUTPUT -p icmp -j ICMPTable <BR> $IPTABLES -A FORWARD -p icmp -j ICMPTable <BR> echo "." <BR> return 0 <BR>} <BR> <BR> <BR>Voila, ça vaut ce que ca vaut, à vous d'adapter en ajoutant des types à accepter ou en enlevant des types que vous ne voulez pas ! <BR> <BR>NB : je ne suis pas sur que l'on puisse faire ça par l'interface graphique ! <BR>NB2 : Vous pouvez aventuellement ajouter directement les règles dans la table INPUT par exemple.... <BR> <BR>Thomas