comment erreter les logs sur 1 ou plusieurs ports

par **Speeder** » 21 Août 2003 19:02

Bonjour je me suis appercus que mon modem eci diva adsl 2430 provoquait une flopée de log au niveau pare feu sous ipcop , Nombre total d'accès au firewall pour Août 21: 12198 Heure Chaîne Interface Protocole Source Port Source Destination Port de Destination 18:32:37 INPUT eth2 UDP 192.168.1.1 1440 255.255.255.255 1440 18:32:43 INPUT eth2 UDP 192.168.1.1 1440 255.255.255.255 1440 18:32:49 INPUT eth2 UDP 192.168.1.1 1440 255.255.255.255 1440 18:32:55 INPUT eth2 UDP 192.168.1.1 1440 255.255.255.255 1440 18:33:01 INPUT eth2 UDP 192.168.1.1 1440 255.255.255.255 1440 18:33:07 INPUT eth2 UDP 192.168.1.1 1440 255.255.255.255 1440 18:33:13 INPUT eth2 UDP 192.168.1.1 1440 255.255.255.255 1440 18:33:19 INPUT eth2 UDP 192.168.1.1 1440 255.255.255.255 1440 comment je peux faire pour que mon ipcop ne ne log plus ces chose là et auusi où le faire , rc.firewall ou rc.local ??? A la limite je preferais que l'on m'explique plutôt que de me donner une règle toute faite ( si ce n'est pas trop demander ). merci <IMG SRC="images/smiles/icon_smile.gif">

par **tomtom** » 21 Août 2003 19:54

bon, ben c'est pas joli joli tout ça... Pourquoi qu'il broadcast comme ça ton modem ??? M'enfin, pour bloquer : L'idée, c'est que par defaut IPCop envoie ce qu'il bloque vers la syslog pour que ton interfcae puisse le recuperer apres. Ceci est fait pas le -j LOG_DROP que l'on peut trouver parfois dans le rc.firewall, et qui est en fait une table qui ne fait que logger les paquets (-j LOG) avant de les dropper (-j DROP). Pour shunter tout le monde, tu pourrais ajouter une règle en tête de la table input qui bloquerai simplement (sans LOG) les paquets en provenance de ton modem sur le port 1440. Soit : iptables -A INPUT -p udp --dport 1440 -s 192.168.1.1 -j DROP Ensuite vient l'endroit ou positionner cette règle. Si on utilise le -A, il serait sympa d'être sur que c'est la première règle concernant INPUT d'utilisée. Pour ce qui concerne le rc.local et le rc.firewall, je crois qu'il y a deja un post qui en parle, mais il est lancé après rc.firewall est lancé avant rc.local. Un astuce simple (et avec l'avantage de ne pas avoir à le refaire en cas de mise à jour qui risque d'ecraser le rc.firewall), c'est de mettre notre ligne à la fin du rc.local, mais avec -I à la place de -A pour l'inserer en tete de table. En clair moi je ferais ceci : ajouter à la fin de rc.local : iptables -I INPUT -p udp --dport 1440 -s 192.168.1.1 -j DROP Voilu... <IMG SRC="images/smiles/icon_bise.gif"> T.

par **Speeder** » 21 Août 2003 21:11

ok donc si g bien compris ,en fait on veux placer cette règle en premier pour filtrer tous les paquets entrant par mon interface red (eth2) afin de ne pas logguer ceux correspondant a: l'adresse ip du modem et dont le port source et de destination est 1440. ceux qui correspondrait en terme de programmation a : if argument1 AND argument2 Then ....... . Par contre j'aimerai savoir où ce trouve cette table input . J'ai essayé de comprendre le contenu de rc.firwall mais ca ne me parle pas bcp (et oui je suis encore un newbie), de même je vois souvent dans les post concernant les regles de routage ou protection ( ipspoofing ,MS blaster etc ...)que l'on parle des tables Custum et autres mais sans savoir où je peux les trouver, pas seulement pour savoir où elles sont mais aussi pour essayer de les comprendre un minimum. en tout cas je te remercie pour tes explications . <IMG SRC="images/smiles/icon_bise.gif">

par **tomtom** » 22 Août 2003 00:55

t'expliquer tout netfilter ce soir dans un post est au dessus de mes forces... En Gros, la seule commande utilisée pour acceder aux tables de règles est iptables. Il existe 3 tables : filter nat mangle filter sert pour le filtrage nat pour la translation d'adresses mangle pour manipuler les paquets au passage dans chaque table, il y a des chaines definies. dans filter : - INPUT - OUTPUT - FORWARD dans nat : - PREROUTING - POSTROUTING - OUTPUT dans mangle : - PREROUTING - OUTPUT On peut eventuellement definir des tables utilisateurs (c'est le cas de la CUSTOM dont tu parles par exemple). Chaque chaine est une suite de règles. Une règle, ca comprend -des "patterns" (des trucs qui doivent etre verifies pour que la règle soit appliqué, l'equivalent des "if" dont tu parles... -une cible à appliquer en cas de verification des patterns -eventuellement des options à appliquer avec les cible (en particulier pour les logs...) Les cibles courantes sont : DROP, ACCEPT, DNAT, SNAT, MASQUERADE, LOG Le truc c'est que l'on n'ecrit pas les règles directement, on utilise une commande magique : iptables. On l'utilise comme ça : iptables -t table -[A|I|D] chaine {suites de patterns} -j [ACCEPT|DROP|DNAT...] par exemple la chaine que je t'ai donnée : iptables -A INPUT -p udp -s 192.168.1.1 --dport 1440 -j DROP (j'ai oublié de specifier que la table par defaut est filter, donc dans ma règle c'est cette table là qui est utilisée). -A (append=ajouter à la fin d'une chaine, I=insert pour la mettre au debut, on peut eventuellement specifier des numeros) INPUT : j'ajoute à la table INPUT qui est celle utilisée pour les paquet arrivant par une interface et destinés uniquement à la machine qui fait firewall -p udp : -p permet de specifier un protocole à verifier. Icic j'ai mis udp car tous les paquets que tu as montrés sont sur ce protocole -s 192.168.1.1 : -s permet de specifier une adresse source de paquet. Ici, donc, l'adresse du modem --dport : specifie le port source : 1440 -j DROP : explicite ! En clair cette regle, ajoutée en tete de chaine input, va jeter tous les paquets qui correspondent aux paramètres cités. Le truc c'est que IPCop par defaut envoie tout en LOG, et qu'il bloque les paqutes destinés au broadcast. DOnc tes paquets sont loggés... Voila, il y a pas mal de finesses, mais avec un peu d'habitude cela est assez aisé. Pour une bien plus complète et pédagogique presentation de iptables, voir <A HREF="http://christian.caleca.free.fr/netfilter" TARGET="_blank">ici</A> Thomas

par **Speeder** » 22 Août 2003 07:27

He ben pour quelqu'un qui ne se sentais pas le force de m'expliquer netfilter en un post .... chapeau . <IMG SRC="images/smiles/icon_wink.gif"> <IMG SRC="images/smiles/icon_bise.gif"> C'est deja plus clair dans ma tête , pour moi les tables etaient des fichers , que je cherchais a trouver pour les lire . mais en fait non ce n'est pas ca du tout . bon je vais me plonger dans ce que tu m'as donner et essayez de refechir un peu pour la prochaine fois. Encore merci pour ta patience et tes expliquations . et hop post en favoris <IMG SRC="images/smiles/icon_wink.gif"> et au boulot @+. <IMG SRC="images/smiles/icon_biggrin.gif">

par **Gesp** » 25 Août 2003 08:49

Il me semble que sur le DIVA disable sysman cf <a href="http://www.hifocus.net/phpBB/viewtopic.php?p=63328&highlight=broadcast#63328" target="_blank">http://www.hifocus.net/phpBB/viewtopic.php?p=63328&highlight=broadcast#63328</a> arrêterait d'envoyer les messages du Diva assistant

par **Speeder** » 25 Août 2003 16:00

ben vu gesp il ne me reste plus qu'a trouver ou et comment faire cela <IMG SRC="images/smiles/icon_biggrin.gif">

par **Gesp** » 25 Août 2003 22:33

a priori, il faut commenter la ligne suivante de rc.firewall # /sbin/iptables -t nat -A RED -o $IFACE --destination 192.168.0.0/16 -j DROP # Private addresses pour pouvoir continuer à accéder à 192.168.1.1 sur le RED puis telnet 192.168.1.1 et disable sysman par contre le routage de l'adresse est pour moi un mystère puisque le RED reçoit l'adresse IP publique mais cela arrive et cela revient correctement. Depuis un poste windows, un tracert me donne l'adresse Ip du green puis celle du modem routeur sans même l'intermédiaire de l'IP du RED (qui n'est forcément pas dans le même sous-réseau)? L'adresse de la passerelle par défaut du RED doit suffire <IMG SRC="images/smiles/icon_confused.gif">

par **tomtom** » 26 Août 2003 07:30

N'ai rien compris à ton message Gesp ? Tu peux être un peu plus clair ? Je ne vois pas de problème de routage moi ? Tom

par **Gesp** » 26 Août 2003 08:08

Je croyais avoir compris les questions de routage entre sous-réseaux mais là, cela remet un peu ce que j'ai appris en cause. Ce qui me parait bizarre, c'est que avant que la connection soit établie, on a DIVA=192.168.1.1------RED=192.168.1.2 par DHCP et quand la connection est établie DIVA=192.168.1.1------RED=adresse publique en 81.x.x.x ou 80.x.x.x et malgré que l'adresse RED ne soit pas dans le même sous-réseau que 192.168.1.1, le ping et la communication répondent parfaitement de n'importe quel poste du Green ou de IPCop. Je n'ai même pas d'adresse 192.168.1.1 dans la table arp quand je regarde juste après un ping de l'adresse? J'ai regardé, il n'y a pas de route définie vers le sous-réseau en 192.168.x.x donc je pense que cela arrive uniquement parce que la route par défaut passe par le RED.

par **tomtom** » 26 Août 2003 08:59

Attends, il faut que tu clarifies quelquechose pour moi : Tu parles toujours du post d'origine ? Parceque moi je n'ai vu nulle part d'interface red avec ip publique dans la description de base.... Bon, sinon, tu parles de ta propre exeperience, et dans ce cas là je veux bien un peu plus d'infos avec les resultats par exemple de : ip link show ip address show ip route show Merci <IMG SRC="images/smiles/icon_smile.gif"> T.

par **Gesp** » 26 Août 2003 10:56

Eh bien le Diva accessible en 192.168.1.1 peut retransmettre l'adresse IP publique sur l'interface RED par DHCP. Cela dépend du firmware mis dedans ( j'ai essayé avec une version modifiée 2 jenesais plus combien, les DIVAistes comprendront) J'essayais d'expliquer la manip pour accèder à l'interface pour changer la configuration et ne plus recevoir de broadcast venant du modem. Je regarderais tes manip au niveau de l'IP quand je serais revenu auprès du modem mais ce qui m'a étonné, c'est de ne pas voir l'adresse 192.168.1.1 dans la table ARP juste après avoir fait un ping sur le modem <IMG SRC="images/smiles/icon_confused.gif"> J'ai essayé un script rc.red modifié pour résoudre le problème évoqué là <a href="http://forums.ixus.net/viewtopic.php?t=5590&3" target="_blank">http://forums.ixus.net/viewtopic.php?t=5590&3</a> et quand je provoque une mise à jour de l'adresse RED en déconnectant la ligne téléphonique assez longtemps puis en la reconnectant, l'adresse 192.168.1.1 est bien dans la table ARP mais pas en faisant un simple ping <IMG SRC="images/smiles/icon_confused.gif"> L'adresse RED est bien une nouvelle adresse IP publique acquise par DHCP auprès du modem qui gère la connection.

par **Speeder** » 26 Août 2003 15:26

RE à tous les deux . Pour donner des precisions sur ma conf Acces tiscali ADSL 512K Modem Diva ADSL USB/ETH 2430 Firm ( Dernier en date pour tiscali 1.2.7.lsf si je ne me trompe pas ). modem conecter en eth sur red ipcop => pas d usb et donc pas de PPP ou PPoE tout est en eth, plus simple à gerer et en plus g pas de port usb sur mon ipcop. Le modem a une ip dyn côté Internet et fixe côté Lan ( 192.168.1.1 ) il intègre un dchp pour une seule adresse du lan (192.168.1.2 MASK 255.255.255.0 ) qui est donc l'ip red de mon IPCOP et celle ci ne change JAMAIS, que se soit connection étalie ou non. Là où Tomtom a mis le doigt et je m'en étonne aussi maintenant c'est de savoir pourquoi il brodcast autant vers IPCOP ??? A mon sens il devrai le faire vers le net puisqu'il sait qu'il a 1 seule IP derrière ( 192.168.1.2) grace à son DHCP intégré??? par contre Gesp quelle pass as tu utilisé pour te connecter sur ton modem DIVA J'ai lu quelque post dessus sur les link qu m'avais proposé tomtom mais rien ne correspond normalement le firm qui est en place aurai du suprimer le pass et le mettre à blanc ??? _________________ ipcop 1.3 fixes3 P100 64Mo ram 3Go DD red-orange-green.

par **tomtom** » 26 Août 2003 15:36

Oui c'est bien ce qu'il me semblait, ton modem ne fait pas de dhcp spoofing (en tt cas il n'est pas configuré pour), et donc c'est lui qui est la passerelel par defaut pour IPCop.. Pour moi ta conf est claire... Note que le modem broadcaste probablement sur toutes ses interfaces, amsi je ne vois vraiment pas à quoi ça sert.. Néanmoins, tu devrais essayer de le configirer pour qu'il arrête... Pour Gesp, j'avoue que la config dont tu parles me laisse perplexe, j'aimerais bien avoir un peu plus d'infos..... Je pense que les bizareries dont tu parles peuvent s'expliquer car le dhcp spoofing est vraiment une conf reseau barbare et ou rien ne se passe naturellement ! En particulier : Si IPCop n'a pas d'ip 192.168.0.x, lorsqu'il doit envoyer un paquet vers 192.168.0.10 par exemple, il ne va pas faire de requete ARP. En effet, le reseau a evolué et depuis on a inventé la passerelle par defaut, ce qui evite les requetes arp inutiles et le fonctionnement "proxy arp". Si l'ip n'est pas locale, le paquet est transféré à la passerelle. On ne cherche pas à savoir ou est l'@ physique qui correspond à cette ip car on s'en fout ! Or, il se trouve que cette ip est local, mais IPCop n'a aucun moyen de le savoir, il n'est pas configuré pour. Il ne stockera donc pas son adresse dans son cache arp. C'est très logique : lorsque tu pinges ixus.net, est-ce que tu caches l'@mac de ton routeur par defaut pour cette adresse ??? Voilou, en espérant que ça reponde à vos interrogations... TomTom

par **Gesp** » 26 Août 2003 17:20

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE>par contre Gesp quelle pass as tu utilisé pour te connecter sur ton modem DIVA J'ai lu quelque post dessus sur les link qu m'avais proposé tomtom mais rien ne correspond normalement le firm qui est en place aurai du suprimer le pass et le mettre à blanc ??? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Je n'avais de password sur la configuration du Diva que j'ai. La version normale du firmware quand je l'ai acheté était V1.3 quelquechose et je l'ai passé en V2 modifiée (pas la V2 officielle que l'on ne peut plus downgrader) juste pour voir. Dans un des sujets de synthèse de hi-focus, il doit y avoir le pass suivant les différentes versions ou bien un moyen de le remettre à 0. <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Note que le modem broadcaste probablement sur toutes ses interfaces, amsi je ne vois vraiment pas à quoi ça sert.. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Je ne pense pas, je pense que c'est juste sur son Green pour informer un assistant (une interface windows sur le client quoi) mais comme j'ai trop de modems, je n'ai pas joué à cela. <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Néanmoins, tu devrais essayer de le configirer pour qu'il arrête... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Disons que j'ai fait 2 choses et maintenant il ne cause plus mais je ne sais pas encore laquelle a agit disable sysman en telnet dans l'interface du modem un petit filtre DROP sur les 3 ports concernés par le broadcast(516, 1440, 1716 de mémoire) dans un CUSTOMINPUT sur le $IFACE dans rc.local mais il semble que cela n'est agit qu'au redémarrage d'IPCop. Il y a aussi quelques bugs dans l'interface d'IPCop parce que la configuration des modems ethernet est entièrement dans le setup et celle des autres modems est dans l'interface web et passer de l'un à l'autre comme j'ai fait n'est pas totalement supporté par l'interface. <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE>Pour Gesp, j'avoue que la config dont tu parles me laisse perplexe, j'aimerais bien avoir un peu plus d'infos..... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Je vais regarder. Tes explications semblent très justes.

comment erreter les logs sur 1 ou plusieurs ports

Qui est en ligne ?