[rc.firewall] que veut dire PSCAN

par **belugha** » 15 Mai 2003 16:54

Dans /etc/rc.d/rc.firewall que veut dire PSCAN ? # This chain will log, then DROPs "Xmas" and Null packets which might # indicate a port-scan attempt /sbin/iptables -N PSCAN /sbin/iptables -A PSCAN -p tcp -m limit --limit 10/minute -j LOG --log-prefix "TCP Scan? " Merci

par **tomtom** » 15 Mai 2003 17:01

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-15 16:54, belugha a écrit: Dans /etc/rc.d/rc.firewall que veut dire PSCAN ? # This chain will log, then DROPs "Xmas" and Null packets which might # indicate a port-scan attempt /sbin/iptables -N PSCAN /sbin/iptables -A PSCAN -p tcp -m limit --limit 10/minute -j LOG --log-prefix "TCP Scan? " Merci </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> -N ca sert à creer une chaine utilisateur..... donc PSCAN c'est le nom d'une chaine crée par IPCOP (por Packet Scan je suppose...) Elle sert visiblement à tester les paquets xmas et null (respectgivement tous les flags tcp mis et tous enlevés). Plus loin, tu dois avoir des -j PSCAN, ce qui signifie que le paquet est envoyé à cette chaine. Elle s'utilise comme une chaine classique (FORMWARD par exemple), c'est à dire qu'on y met des règles avec la même syntaxe. La seule différence c'est qu'il n'y a pas de Policie (action par defaut), et que si aucune regle n'est matchée, on retombe dans la chaine appelante... (heu, je ne suis pas sur d'avoir été clair <IMG SRC="images/smiles/icon_biggrin.gif">) Tom

par **belugha** » 16 Mai 2003 08:38

pas trop clair mais je te remercie pour cette explication. <IMG SRC="images/smiles/icon_confused.gif">

par **tomtom** » 16 Mai 2003 09:30

Bon, structure IPTables : Pour son filtrage, IPTables utilise 3 tables : filter nat mangle La tables filter, on la connait bien : c'est la table par defaut, celle qui nous sert pour la plupart des règles. Elle comporte 3 chaines : INPUT = paquets entrant pour des process locaux OUPUT = paquets sortants des process locaux FORWARD = paquets routés Chaque chaine est une suite de règles. Une règle, c'est un ensemble de patterns que le paquet doit "matcher" our etre envoyé vers la cible (definie par -j ex: DROP, ACCEPT, LOG, MASQUERADE...) la table nat comporte aussi 3 regles : PREROUTING, POSTROUTING et OUTPUT cette table sert à modifier les sources et les destinations des paquets à la volee, avnat de router (PREROUTING), ou apres (POSTROUTING), ou en sortie de processs locaux (OUTPUT) la tables mangle n'en a que 2 : PREROUTING et OUTPUT Cette table sert à bricoler les paquets au passage (modification des ttl, des flags, etc...) On place ses règles dans la chaine qui nous interresse (ex : pour l'acces au web au travers d'IPCop, c'est surtout la chaine FORWARD de la table filter qui nous interresse). Mais il arrive que pour plusieurs paquets ou types de paquets, on veuille réaliser une serie de test particuliere. Ex chez moi : pour tous les paquets, je fais des tests de ports NETBIOS. Alors, on peut creer une chaine dite "utilisateur" ex : ICMP. Dedans on peut placer des règles exactement comme dans une chaine classique. La seule différence avec une table standard si situe dans le cas ou aucune regle n'est matchée : Si c'est une chaine standard, on applique la politique par defaut (definie par -p ). Si c'est une chaine utilisateur, on sort et on revient à l'endroit ou on est parti dans cette chaine... Pour envoyer un paquet dans une chaine utilisateur, il suffit de l'utiliser comme cible (chez moi : -j ICMP) J'espère que ca t'eclaire un peu et je te renvoie sur le site de christian Caleca : <a href="http://christian.caleca.free.fr/netfilter" target="_blank">http://christian.caleca.free.fr/netfilter</a> ou tu trouveras une excellente présentation de netfilter... Thomas

par **belugha** » 16 Mai 2003 09:52

je ne dirais que ca <IMG SRC="images/smiles/icon_bise.gif">

[rc.firewall] que veut dire PSCAN

Qui est en ligne ?