Petite kestion sur le blocage du PING

par **Sebastien65** » 29 Déc 2003 21:18

Bonsoir, Donc voila je décide de m'installer une machine avec IPCOP v1.3.0 ! Donc voila ce que j'ai dans mon fichier /etc/rc.d/rc.firewall actuellement : # localhost and ethernet. /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -p icmp -j ACCEPT /sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT /sbin/iptables -A FORWARD -i $GREEN_DEV -j ACCEPT Donc je C que je dois rajouter ces 3 lignes pour bloquer le Ping : /sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP /sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP /sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP Alors je voudrais avoir confirmation que C bien la bonne config que je réalise : #Modif # localhost and ethernet. /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP /sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP /sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP /sbin/iptables -A INPUT -p icmp -j ACCEPT /sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT /sbin/iptables -A FORWARD -i $GREEN_DEV -j ACCEPT Donc C bien comme sa que je dois faire non ??? Merci

par **belugha** » 29 Déc 2003 21:29

Bonsoir sebastien65, Ce n'est pas tou à fait cela, il faut les rajouter à la fin tes regles du fichier rc.firewall: iptables -I INPUT -p icmp --icmp-type 0 -j DROP iptables -I INPUT -p icmp --icmp-type 5 -j DROP iptables -I INPUT -p icmp --icmp-type 8 -j DROP Voilà <IMG SRC="images/smiles/icon_wink.gif">

par **Sebastien65** » 29 Déc 2003 21:34

Bonsoir et merci de ta réponse <IMG SRC="images/smiles/icon_up.gif"> Oki donc je rajoute ces 3 règles en fin de mon fichier rc.firewall !! Puis une petit restart pour appliquer les modifs et j'espère que cela marchera !! <IMG SRC="images/smiles/icon_wink.gif">

par **antolien** » 29 Déc 2003 21:37

<IMG SRC="images/smiles/icon_confused.gif"> Les deux marchent, le -A bien placé, comme sur mon site. où le -I à la fin du fichier comme ce que dit belugha. je croyais pourtant que c'était clair <IMG SRC="images/smiles/icon_confused.gif"> il y a aussi d'autres solutions, comme utiliser certaines fonctions du noyau (issu du 2.2).

par **belugha** » 29 Déc 2003 21:41

Antolien, c'est très clair, c'est moi qui me suis emmelé les pédales <IMG SRC="images/smiles/icon_redface.gif"> donc troublé Sebastien65. Méa Culpa à tous deux <IMG SRC="images/smiles/icon_bise.gif">

par **Sebastien65** » 29 Déc 2003 21:42

Tu me mais un doute Anto <IMG SRC="images/smiles/icon_confused.gif"> Donc ma première config pourrais marcher aussi alors ??? Oui C bien sur ton site que je suis aller tirer les infos... D'ailleur je suis en train de lire les liens suivants : 1 - Comment bloquer les "Pings" ? 7 - Tout bloquer d'abord, puis autoriser ensuite ? 8 - Ajouter l'anti-spoofing 9 - Bad traffic loopback traffic (enlevez l'alerte Snort) 10 -ICMP PING CyberKit (enlevez l'alerte Snort) ----------------------------------------------- Donc la quelle est la meilleure solution ??? j'avoue que je nage un peux avec iptables... J'essaye de comprendre mais bon... Donc j'ai 2 versions différentes... <IMG SRC="images/smiles/icon_confused.gif">

par **PaTou31** » 05 Jan 2004 12:37

Hello Je suis aussi en train d'essayer de mettre ca en place, mais je suis pas trop sur de savoir ou le placer exactement, j'ai donc tenter de placer comme ca, est ce que c'est ok? En voyant ce qui est au dessus dans Allow ICMP echo-request j'ai des doutes. Mon ipcop est 1.4.0.a.2 # Allow ICMP echo-request (ping), all other essential ICMP will be either # ESTABLISHED or RELATED, and the rest caught by the default DENY policy /sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT # Accept everything connected /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # localhost and ethernet. /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP /sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP /sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP /sbin/iptables -A INPUT -s 127.0.0.0/8 -j DROP # Loopback not on lo /sbin/iptables -A INPUT -d 127.0.0.0/8 -j DROP /sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT

par **nemesis** » 05 Jan 2004 13:01

hum normalement ça ne marchera pas car tu accepte le ping avt de le rejeter. Les regles iptables sont lues de haut en bas et c'est la PREMIERE regle trouvé correspondant au paquet traité qui est appliquée (accept ds ton cas) dc il faut que tu remplace le -A de ta regle pour le ping par un -I si tu veux monter ton fichier de la fçon ou tu l'as fait. @pluche Nem.

par **PaTou31** » 05 Jan 2004 13:13

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-01-05 11:37, PaTou31 a écrit: Hello Je suis aussi en train d'essayer de mettre ca en place, mais je suis pas trop sur de savoir ou le placer exactement, j'ai donc tenter de placer comme ca, est ce que c'est ok? En voyant ce qui est au dessus dans Allow ICMP echo-request j'ai des doutes. Mon ipcop est 1.4.0.a.2 # Allow ICMP echo-request (ping), all other essential ICMP will be either # ESTABLISHED or RELATED, and the rest caught by the default DENY policy /sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT # Accept everything connected /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # localhost and ethernet. /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP /sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP /sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP /sbin/iptables -A INPUT -s 127.0.0.0/8 -j DROP # Loopback not on lo /sbin/iptables -A INPUT -d 127.0.0.0/8 -j DROP /sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Faut que je change ici? # Allow ICMP echo-request (ping), all other essential ICMP will be either # ESTABLISHED or RELATED, and the rest caught by the default DENY policy /sbin/iptables -I INPUT -p icmp --icmp-type 8 -j ACCEPT Ou ici ? # localhost and ethernet. /sbin/iptables -I INPUT -i lo -j ACCEPT /sbin/iptables -I INPUT -p icmp --icmp-type 0 -j DROP /sbin/iptables -I INPUT -p icmp --icmp-type 5 -j DROP /sbin/iptables -I INPUT -p icmp --icmp-type 8 -j DROP /sbin/iptables -A INPUT -s 127.0.0.0/8 -j DROP # Loopback not on lo /sbin/iptables -A INPUT -d 127.0.0.0/8 -j DROP /sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT Desole, mais je suis pas vraiment bon <IMG SRC="images/smiles/icon_frown.gif"> _________________ -=] PaTou [=-

par **nemesis** » 05 Jan 2004 13:56

deuxieme solution. @pluche Nem.

par **PaTou31** » 05 Jan 2004 14:14

Merci, je vais tester tout ca tout de suite. @++

par **PaTou31** » 11 Jan 2004 22:33

Re hello Encore une petite question sur les pings, est ce qu'il est possible de bloquer les pings sur les ports 4661, 4662 (emule je supose qui scane a la recherche de serveur, je n'ai pas emule installe) <IMG SRC="images/smiles/icon_confused.gif"> Ca permettrais de voir mieux les logs firewall. Ou alors c'est en editant les regles que j'ai mal fait (voir plus haut) et mon bloquage de ping ne marche pas <IMG SRC="images/smiles/icon_frown.gif"> Je crois que je vais rester debutant tout le temps <IMG SRC="images/smiles/icon_frown.gif"> Merci, @++

par **micjack** » 11 Jan 2004 22:40

A moins qu'il y est des outils specifiques, mais un ping ce fait sur une adresse pas sur un port <IMG SRC="images/smiles/icon_smile.gif">

par **PaTou31** » 11 Jan 2004 23:09

Heu, oui je pense <IMG SRC="images/smiles/icon_smile.gif"> , enfin, voila j'aimerai savoir si on peut ne plus les voir sur les logs, car le 4662, il y en as beaucoup. Journal du pare-feu: Nombre total d'accès au firewall pour Janvier 11: 5874 Plus ancien Plus récent Heure Chaîne Interface Proto Source Port Source Adresse MAC Destination Port de Destination 21:30:56 INPUT ppp0 TCP 81.166.247.26 4564 ::::: 81.xxx.xxx.xx 135 21:31:26 INPUT ppp0 TCP 217.136.156.99 3609 ::::: 81.xxx.xxx.xx 4662 21:33:20 INPUT ppp0 TCP 212.195.196.72 4419 ::::: 81.xxx.xxx.xx 1214 21:33:43 INPUT ppp0 UDP 81.250.224.96 1024 ::::: 81.xxx.xxx.xx 137(NETBIOS-NS) 21:35:36 INPUT ppp0 TCP 81.13.233.76 2051 ::::: 81.xxx.xxx.xx 445(MICROSOFT-DS) .... 21:43:00 INPUT ppp0 TCP 81.249.100.16 4821 ::::: 81.xxx.xxx.xx 4662 ..... 21:37:57 NEW not SYN? ppp0 TCP 217.167.211.114 53659 ::::: 81.xxx.xxx.xx 4662 ... 21:45:18 INPUT ppp0 TCP 82.66.3.128 3575 ::::: 81.xxx.xxx.xx 4662 ect, 80% sur le 4662 bien sur les scan sont toujours la <IMG SRC="images/smiles/icon_frown.gif">(( 21:36:30 NEW not SYN? ppp0 TCP 195.140.140.28 80(HTTP) ::::: 81.xxx.xxx.xx 2648 21:36:30 NEW not SYN? ppp0 TCP 195.140.140.28 80(HTTP) ::::: 81.xxx.xxx.xx 2650 21:36:30 NEW not SYN? ppp0 TCP 195.140.140.28 80(HTTP) ::::: 81.xxx.xxx.xx 2628 21:36:30 NEW not SYN? ppp0 TCP 195.140.140.28 80(HTTP) ::::: 81.xxx.xxx.xx 2636 21:36:30 NEW not SYN? ppp0 TCP 195.140.140.28 80(HTTP) ::::: 81.xxx.xxx.xx 2644 ect............

par **micjack** » 11 Jan 2004 23:25

21:30:56 INPUT ppp0 TCP 81.166.247.26 4564 ::::: 81.xxx.xxx.xx 135 # Ferme le et vite, y'a une connexion etalie sur le 135 21:31:26 INPUT ppp0 TCP 217.136.156.99 3609 ::::: 81.xxx.xxx.xx 4662 # surrement un port ouvert lors de ta longue navigation ? ou du P2P 21:33:20 INPUT ppp0 TCP 212.195.196.72 4419 ::::: 81.xxx.xxx.xx 1214 # Le 1214 est le port par defaut de Kazaa 21:33:43 INPUT ppp0 UDP 81.250.224.96 1024 ::::: 81.xxx.xxx.xx 137(NETBIOS-NS) # A fermer aussi, tu a un partage reseau d'activé 21:35:36 INPUT ppp0 TCP 81.13.233.76 2051 ::::: 81.xxx.xxx.xx 445(MICROSOFT-DS) # aussi, comme le port 137, 135 Edit: Le 135 c'est une ouverture pour MSblast, comprend pas pourquoi la conect est etablie <IMG SRC="images/smiles/icon_confused.gif">

Petite kestion sur le blocage du PING

Qui est en ligne ?