complément d'infos sur la chaîne PSCAN d'iptables

[stardust]

Bonjour, <BR> <BR>Je me lance sur IPCOP et je me pose la question suivante sur l'iptables par défaut <BR> <BR>Quelqu'un saurait il me dire pourquoi alors que toutes les références faites à la chaîne PSCAN sont basés sur TCP (lignes 2 et 3 de la chaîne INPUT et lignes 3 et 4 de la chaîne FORWARD), je trouve une ligne udp et une ligne icmp dans la chaîne PSCAN ?? <BR> <BR>Ci dessous une partie de l'iptables : <BR> <BR>Machine_ipcop130#iptables -v -L <BR> <BR>Chain INPUT (policy DROP 1 packets, 231 bytes) <BR>pkts bytes target prot opt in out source destination <BR> 79 4701 ipac~o all -- any any anywhere anywhere <BR> 0 0 PSCAN tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG <BR> 0 0 PSCAN tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE <BR> 1 48 tcp -- any any anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 10/sec burst 5 <BR> <BR> <BR>Chain FORWARD (policy DROP 0 packets, 0 bytes) <BR>pkts bytes target prot opt in out source destination <BR> 16 2862 ipac~fi all -- any any anywhere anywhere <BR> 16 2862 ipac~fo all -- any any anywhere anywhere <BR> 0 0 PSCAN tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG <BR> 0 0 PSCAN tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE <BR> <BR> <BR>Chain PSCAN (4 references) <BR>pkts bytes target prot opt in out source destination <BR> 0 0 LOG tcp -- any any anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `TCP Scan? ' <BR> 0 0 LOG udp -- any any anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `UDP Scan? ' <BR> 0 0 LOG icmp -- any any anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `ICMP Scan? ' <BR> 0 0 LOG all -f any any anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `FRAG Scan? ' <BR> 0 0 DROP all -- any any anywhere anywhere <BR> <BR>Je sais cela n'est pas bloquant mais juste une petite indication ferait avancer le "schmilblick" <IMG SRC="images/smiles/icon_confused.gif">

[guiguid]

Salut, <BR>J'ai pas vérifié, mais effectivement, PSCAN devrait etre appeler par l'interface RED <BR>quelque soit le protocole ! <BR> <BR>Guillaume <BR> <BR>

[Gesp]

C'est comme cela que c'est défini dans rc.firewall mais je ne saisis pas la subtilité entre la chaine définie sur différents protocoles et l'application de la chaine sur d'autres chaines uniquement sur tcp <BR> # This chain will log, then DROPs "Xmas" and Null packets which might <BR> # indicate a port-scan attempt <BR> /sbin/iptables -N PSCAN <BR> /sbin/iptables -A PSCAN -p tcp -m limit --limit 10/minute -j LOG --log-prefix "TCP Scan? " <BR> /sbin/iptables -A PSCAN -p udp -m limit --limit 10/minute -j LOG --log-prefix "UDP Scan? " <BR> /sbin/iptables -A PSCAN -p icmp -m limit --limit 10/minute -j LOG --log-prefix "ICMP Scan? " <BR> /sbin/iptables -A PSCAN -f -m limit --limit 10/minute -j LOG --log-prefix "FRAG Scan? " <BR> /sbin/iptables -A PSCAN -j DROP <BR> <BR> # Disallow packets frequently used by port-scanners, XMas and Null <BR> /sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j PSCAN <BR> /sbin/iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j PSCAN <BR> /sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -j PSCAN <BR> /sbin/iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j PSCAN

[stardust]

<BR>Comme on peut le voir ci dessous la cible (PSCAN) n'est atteinte que selon l'état des flags TCP (tous à 1 ou tous à 0) <BR> <BR> # Disallow packets frequently used by port-scanners, XMas and Null <BR>/sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j PSCAN <BR>/sbin/iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j PSCAN <BR>/sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -j PSCAN <BR>/sbin/iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j PSCAN <BR> <BR> <IMG SRC="images/smiles/icon_smile.gif">