connexion bizare etablie

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar Dark_Tux » 23 Juin 2003 13:49

Salut a tous voila j'utillise ipcop 1.3 fix1-2 <BR>en fait dans la section "informations/connexions" j'ai une connexion etrange <BR> <BR>ça donne ça: <BR> <BR>tcp (6) 398043 ESTABLISHED 81.53.50.116:32972 216.239.51.99:80 216.239.51.99:80 81.53.50.116:32972 [ASSURED]1 <BR> <BR>ce qu'il faut savoir que tout se passe sur une interface rouge ,que la premiere adresse ip n'est pas la mienne (ou peut-etre une ancienne) et que la 2nd adresse est vraisemblablement un serveur de google.com <BR> avez vous la meme connexion et savez vous ce que c'est ??? <BR> <BR>merci d'avance @+
Avatar de l’utilisateur
Dark_Tux
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 20 Juin 2003 00:00

Messagepar grosbedos » 23 Juin 2003 13:54

moi sa mets deja arrivé, tout de suite on pense a du spoofing (et oui du red vers le red??) mais en fait regarde tes logs, le 81.... est une adresse que ton fai ta donné avant. <BR> <BR>par contre pourquoi google demande d'etablir des connexions pendant aussi lontemps..je peu pas te dire!!
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar Dark_Tux » 23 Juin 2003 13:57

oui c'est clair que c'est une de mes anciennes adresses mais y'a une connexion permanante et quand je fais un netstat -an y'a rien <BR>je ne comprends pas <BR>
Avatar de l’utilisateur
Dark_Tux
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 20 Juin 2003 00:00

Messagepar tomtom » 23 Juin 2003 14:39

C'est normal car ce n'est pas le resultat d'un netstat que tu vois là. <BR> <BR>Il faut savoir que iptables utilise des "conntracks" pour ouvrir dynamiquement des ports (ce que l'on appelle un firewall statefull". <BR> <BR>EN clair, supposons que tu etablisse une session tcp avec google pour prendre une page. <BR> <BR>Tu auras tout d'abbord un paquet : <BR> <BR>ip source : ton_ip_publique <BR>port source : 2000 (par exemple) <BR> <BR>ip destination : ip_google <BR>port destination : 80 <BR> <BR>flags : syn <BR> <BR> <BR> <BR>quand netfilter va voir passer ce paquet, il va creer ce que l'on appelle un conntrack. En gros, c'est une table qui dit quels paquets sont attendus et doivent donc pouvoir passer le firewall. Les paquets qui coorespondent à une entrée de cette table sont marqués avec le state "ESTABLISHED" ou "RELATED" (si ftp par exemple). Et comme les paquets ESTABLISHED et RELATED sont autorisés à traverser le firewall, la reponse pourra passer. <BR> <BR>Avec l'exemple precedent, on aurrait un conntrack comme ceci : <BR> <BR>ipsource : ip_google <BR>port source : 80 <BR>ip destination : ton_ip_publique <BR>port destination : 2000 <BR>state : ESTABLISHED <BR> <BR>et quand ce fameux paquet va arriver, il pourra traverser le firewall et la communication pourra s'etablir. Ensuite, tous les paquets emis par google sur ce port seront autorisés, soit jusqu'à la fin de la session tcp, soit jusqu'à expiration du timeout. <BR> <BR>Le timeout n'est pas specifié par google maios par toi. Le conntrack suit en effet le timeout tcp de ta session, qui est de 5 jours par defaut ! <BR>En clair, si ton browser plante sans avoir le temps de fermer la session tcp proprement, le conntrack peut rester valide 5 jours ! <BR> <BR>Pour pouvoir modififier le timeout par defaut, il faut avoir le patch tcp-window-tracking (que l'on trouve dans tous les bons patch-o-matics <IMG SRC="images/smiles/icon_lol.gif"> ). <BR>Si c'est le cas sur IPCop, alors il faut modifier la variable /proc/sys/net/ipv4/netfilter/ip_ct_tcp_timeout_established pour modifier tout ça..... <BR> <BR>Voila, ce n'est pas une grosse faille de securité vu qu'il faut pouvoir hijacker le numero de port, le numero de sequence TCP et encore avoir quelquechose à l'ecoute sur le port aléatoire pour pouvoir exmploiter ça... en clair, no souci... <BR> <BR>Pour info, la page des connexions dans IPCop reprnd juste les infos du fichier /proc/net/ip_conntrack qui est le fichier de suivi de connexions Netfilter. <BR> <BR>Thomas
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Dark_Tux » 23 Juin 2003 15:26

Merci tomtom pour ta reponse plus que complette toute fois je tiens a preciser que le fichier dont tu fais reference n'existe pas sur ma machine ?????? <BR> <BR>de plus je reprecise que l'adresse source (la 81.etc) n'est pas la mienne et que certaines fois la connexion s'interomp et elle reprends <BR> <BR>peut-etre que le probleme viens de ce fichier manquant ( qui ne specifierait pas de time-out) <BR>qu'en pense tu ??? <BR> <BR>merci encore
Avatar de l’utilisateur
Dark_Tux
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 20 Juin 2003 00:00

Messagepar Dark_Tux » 23 Juin 2003 15:28

errata ....... en fait c'est le repertoire netfilter qui est inexistant ???? <BR> <BR>@+
Avatar de l’utilisateur
Dark_Tux
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 20 Juin 2003 00:00

Messagepar Dark_Tux » 23 Juin 2003 15:33

re .........et le fichier ip_contract est vide , y'a un truc qui m'echappe là !!!
Avatar de l’utilisateur
Dark_Tux
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 20 Juin 2003 00:00

Messagepar tomtom » 23 Juin 2003 15:34

Les fichiers peuvent être à la racine de ipv4 <BR> <BR>Il se peut aussi que le fichier n'existe pas parceque tu as le module... <BR> <BR> <BR>Dans tous les cas, si cette connexion t'ennuie, vire la ligne coorespondant dans /proc/net/ip_conntrack <BR> <BR>A mon avis la connexion est restée en l'etat car ton browser a du crasher quand tu avais cette ip et elle reste dans le fichier, jusqu'a expiration du timeout (ca peut durer 5 jours ! ) bien que en fait la veritable connexion tcp soit terminée depuis longtemps ! <BR> <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Dark_Tux » 23 Juin 2003 15:47

c'est clair que c'est un bug mais le fait que le repertoire netfilter n'existe pas et que le fichier ip_contract est vide , ça m'inquiete unpeu ( je precise que j'ai installé ipcop depuis 3 jours et que -contrairement a smoothwall 2b4 , je n'ai rien modifié) <BR> <BR>merci encore tomtom !!!
Avatar de l’utilisateur
Dark_Tux
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 20 Juin 2003 00:00

Messagepar tomtom » 23 Juin 2003 15:48

Moi non plus je n'ai pas le rep netfilter, les fichiers sont direct dans ipv4, je ne pesne pas que ce soit un bug, il doit y avoir des variations avec les verions de netfilter... <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Dark_Tux » 23 Juin 2003 15:52

ah tu me rassure , mais allors ou est le fichier ip_ct_tcp_timeout_established ou une de ses variantes , et pourquoi mon fichier ip_contract est vide <BR> <BR>
Avatar de l’utilisateur
Dark_Tux
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 20 Juin 2003 00:00

Messagepar tomtom » 23 Juin 2003 16:05

Si tu n'as pas le fichier /proc/sys/net/ipv4/ip_ct_tcp_timeout_established, c'est probablement que le module n'est pas compilé dans IPCop. <BR>Ce n'est pas très grave... <BR> <BR>Je suis etonné que le fichier /proc/net/ip_conntrack soit vide, surtout si tu surfes en ce moment. C'est ce fichier qu'utilise IPCop pour t'afficher les connexions en cours... <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Dark_Tux » 23 Juin 2003 16:19

mea culpa je ne sais pas ce que j'ai fait tout a l'heure mais le fichier ip_contract n'est pas vide , par contre je ne sais pas si pour des raisons de securite il n'est pas possible de le modifier (car il ne se sauvegarde pas ) / tu connais un truc ???
Avatar de l’utilisateur
Dark_Tux
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 20 Juin 2003 00:00

Messagepar tomtom » 23 Juin 2003 16:25

Oui il est dangereux de le modifier car il change tout le temps.... <BR> <BR>pour le faire en toute securité : <BR> <BR>1- se connecter directement sur la box ipcop. <BR> <BR>2- arreter le reseau (la je ne connais pas, n'ayant pas ipcop). Chez moi ca donne : <BR> <BR>/etc/init.d/networking stop <BR> <BR>3- editer le fameux fichier. Faire :wq! pour forcer le read only. <BR> <BR>4- redemarrer le reseau. <BR> <BR> <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Dark_Tux » 23 Juin 2003 16:39

Re Apres un reeboot c'est bon y'a plus cette connexion ça devait etre un bug <BR> <BR>Merci encore pour ton cours de netfilter <BR> <BR>mais je voudrais changer le time_whait il est apparement de 120sec comment faire ??
Avatar de l’utilisateur
Dark_Tux
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 20 Juin 2003 00:00

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron