Petite kestion sur le blocage du PING

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar Sebastien65 » 29 Déc 2003 21:18

Bonsoir, <BR> <BR>Donc voila je décide de m'installer une machine avec IPCOP v1.3.0 ! <BR> <BR>Donc voila ce que j'ai dans mon fichier /etc/rc.d/rc.firewall actuellement : <BR> <BR> # localhost and ethernet. <BR> /sbin/iptables -A INPUT -i lo -j ACCEPT <BR> /sbin/iptables -A INPUT -p icmp -j ACCEPT <BR> /sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT <BR> /sbin/iptables -A FORWARD -i $GREEN_DEV -j ACCEPT <BR> <BR> <BR>Donc je C que je dois rajouter ces 3 lignes pour bloquer le Ping : <BR> <BR>/sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP <BR>/sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP <BR>/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP <BR> <BR> <BR>Alors je voudrais avoir confirmation que C bien la bonne config que je réalise : <BR> <BR> #Modif <BR> # localhost and ethernet. <BR> /sbin/iptables -A INPUT -i lo -j ACCEPT <BR> /sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP <BR> /sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP <BR> /sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP <BR> /sbin/iptables -A INPUT -p icmp -j ACCEPT <BR> /sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT <BR> /sbin/iptables -A FORWARD -i $GREEN_DEV -j ACCEPT <BR> <BR>Donc C bien comme sa que je dois faire non ??? <BR> <BR>Merci
Avatar de l’utilisateur
Sebastien65
Vice-Amiral
Vice-Amiral
 
Messages: 799
Inscrit le: 26 Avr 2003 00:00

Messagepar belugha » 29 Déc 2003 21:29

Bonsoir sebastien65, <BR> <BR>Ce n'est pas tou à fait cela, il faut les rajouter à la fin tes regles du fichier rc.firewall: <BR>iptables -I INPUT -p icmp --icmp-type 0 -j DROP <BR>iptables -I INPUT -p icmp --icmp-type 5 -j DROP <BR>iptables -I INPUT -p icmp --icmp-type 8 -j DROP <BR> <BR> <BR>Voilà <IMG SRC="images/smiles/icon_wink.gif">
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar Sebastien65 » 29 Déc 2003 21:34

Bonsoir et merci de ta réponse <IMG SRC="images/smiles/icon_up.gif"> <BR> <BR>Oki donc je rajoute ces 3 règles en fin de mon fichier rc.firewall !! <BR> <BR>Puis une petit restart pour appliquer les modifs et j'espère que cela marchera !! <BR> <BR><IMG SRC="images/smiles/icon_wink.gif">
Avatar de l’utilisateur
Sebastien65
Vice-Amiral
Vice-Amiral
 
Messages: 799
Inscrit le: 26 Avr 2003 00:00

Messagepar antolien » 29 Déc 2003 21:37

<IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Les deux marchent, le -A bien placé, comme sur mon site. <BR> <BR>où le -I à la fin du fichier comme ce que dit belugha. <BR> <BR>je croyais pourtant que c'était clair <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>il y a aussi d'autres solutions, comme utiliser certaines fonctions du noyau (issu du 2.2).
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar belugha » 29 Déc 2003 21:41

Antolien, c'est très clair, c'est moi qui me suis emmelé les pédales <IMG SRC="images/smiles/icon_redface.gif"> donc troublé Sebastien65. <BR> <BR>Méa Culpa à tous deux <IMG SRC="images/smiles/icon_bise.gif">
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar Sebastien65 » 29 Déc 2003 21:42

Tu me mais un doute Anto <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Donc ma première config pourrais marcher aussi alors ??? <BR> <BR>Oui C bien sur ton site que je suis aller tirer les infos... D'ailleur je suis en train de lire les liens suivants : <BR> <BR>1 - Comment bloquer les "Pings" ? <BR> 7 - Tout bloquer d'abord, puis autoriser ensuite ? <BR> 8 - Ajouter l'anti-spoofing <BR> 9 - Bad traffic loopback traffic (enlevez l'alerte Snort) <BR> 10 -ICMP PING CyberKit (enlevez l'alerte Snort) <BR> <BR>----------------------------------------------- <BR> <BR>Donc la quelle est la meilleure solution ??? <BR> <BR>j'avoue que je nage un peux avec iptables... J'essaye de comprendre mais bon... <BR>Donc j'ai 2 versions différentes... <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif">
Avatar de l’utilisateur
Sebastien65
Vice-Amiral
Vice-Amiral
 
Messages: 799
Inscrit le: 26 Avr 2003 00:00

Messagepar PaTou31 » 05 Jan 2004 12:37

Hello <BR> <BR>Je suis aussi en train d'essayer de mettre ca en place, mais je suis pas trop sur de savoir ou le placer exactement, j'ai donc tenter de placer comme ca, est ce que c'est ok? <BR> <BR>En voyant ce qui est au dessus dans Allow ICMP echo-request j'ai des doutes. <BR> <BR>Mon ipcop est 1.4.0.a.2 <BR> <BR> # Allow ICMP echo-request (ping), all other essential ICMP will be either <BR> # ESTABLISHED or RELATED, and the rest caught by the default DENY policy <BR> /sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT <BR> <BR> # Accept everything connected <BR> /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT <BR> /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT <BR> <BR> # localhost and ethernet. <BR> /sbin/iptables -A INPUT -i lo -j ACCEPT <BR> /sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP <BR> /sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP <BR> /sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP <BR> /sbin/iptables -A INPUT -s 127.0.0.0/8 -j DROP # Loopback not on lo <BR> /sbin/iptables -A INPUT -d 127.0.0.0/8 -j DROP <BR> /sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT <BR> /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT
-=] PaTou [=-
Avatar de l’utilisateur
PaTou31
Premier-Maître
Premier-Maître
 
Messages: 49
Inscrit le: 20 Sep 2003 00:00
Localisation: Toulouse

Messagepar nemesis » 05 Jan 2004 13:01

hum normalement ça ne marchera pas car tu accepte le ping avt de le rejeter. <BR> <BR>Les regles iptables sont lues de haut en bas et c'est la PREMIERE regle trouvé correspondant au paquet traité qui est appliquée (accept ds ton cas) dc il faut que tu remplace le -A de ta regle pour le ping par un -I si tu veux monter ton fichier de la fçon ou tu l'as fait. <BR> <BR>@pluche <BR>Nem.
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar PaTou31 » 05 Jan 2004 13:13

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-01-05 11:37, PaTou31 a écrit: <BR>Hello <BR> <BR>Je suis aussi en train d'essayer de mettre ca en place, mais je suis pas trop sur de savoir ou le placer exactement, j'ai donc tenter de placer comme ca, est ce que c'est ok? <BR> <BR>En voyant ce qui est au dessus dans Allow ICMP echo-request j'ai des doutes. <BR> <BR>Mon ipcop est 1.4.0.a.2 <BR> <BR> # Allow ICMP echo-request (ping), all other essential ICMP will be either <BR> # ESTABLISHED or RELATED, and the rest caught by the default DENY policy <BR> /sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT <BR> <BR> # Accept everything connected <BR> /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT <BR> /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT <BR> <BR> # localhost and ethernet. <BR> /sbin/iptables -A INPUT -i lo -j ACCEPT <BR> /sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP <BR> /sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP <BR> /sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP <BR> /sbin/iptables -A INPUT -s 127.0.0.0/8 -j DROP # Loopback not on lo <BR> /sbin/iptables -A INPUT -d 127.0.0.0/8 -j DROP <BR> /sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT <BR> /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Faut que je change ici? <BR> <BR> # Allow ICMP echo-request (ping), all other essential ICMP will be either <BR> # ESTABLISHED or RELATED, and the rest caught by the default DENY policy <BR> /sbin/iptables -I INPUT -p icmp --icmp-type 8 -j ACCEPT <BR> <BR>Ou ici ? <BR> <BR> # localhost and ethernet. <BR> /sbin/iptables -I INPUT -i lo -j ACCEPT <BR> /sbin/iptables -I INPUT -p icmp --icmp-type 0 -j DROP <BR> /sbin/iptables -I INPUT -p icmp --icmp-type 5 -j DROP <BR> /sbin/iptables -I INPUT -p icmp --icmp-type 8 -j DROP <BR> /sbin/iptables -A INPUT -s 127.0.0.0/8 -j DROP # Loopback not on lo <BR> /sbin/iptables -A INPUT -d 127.0.0.0/8 -j DROP <BR> /sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT <BR> /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT <BR> <BR>Desole, mais je suis pas vraiment bon <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>_________________ <BR>-=] PaTou [=-<BR><BR><font size=-2></font>
-=] PaTou [=-
Avatar de l’utilisateur
PaTou31
Premier-Maître
Premier-Maître
 
Messages: 49
Inscrit le: 20 Sep 2003 00:00
Localisation: Toulouse

Messagepar nemesis » 05 Jan 2004 13:56

deuxieme solution. <BR> <BR>@pluche <BR> <BR>Nem.
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar PaTou31 » 05 Jan 2004 14:14

Merci, je vais tester tout ca tout de suite. <BR> <BR>@++
-=] PaTou [=-
Avatar de l’utilisateur
PaTou31
Premier-Maître
Premier-Maître
 
Messages: 49
Inscrit le: 20 Sep 2003 00:00
Localisation: Toulouse

Messagepar PaTou31 » 11 Jan 2004 22:33

Re hello <BR> <BR>Encore une petite question sur les pings, est ce qu'il est possible de bloquer les pings sur les ports 4661, 4662 (emule je supose qui scane a la recherche de serveur, je n'ai pas emule installe) <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Ca permettrais de voir mieux les logs firewall. <BR> <BR>Ou alors c'est en editant les regles que j'ai mal fait (voir plus haut) et mon bloquage de ping ne marche pas <IMG SRC="images/smiles/icon_frown.gif"> <BR>Je crois que je vais rester debutant tout le temps <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Merci, @++ <BR> <BR>
-=] PaTou [=-
Avatar de l’utilisateur
PaTou31
Premier-Maître
Premier-Maître
 
Messages: 49
Inscrit le: 20 Sep 2003 00:00
Localisation: Toulouse

Messagepar micjack » 11 Jan 2004 22:40

A moins qu'il y est des outils specifiques, mais un ping ce fait sur une adresse pas sur un port <IMG SRC="images/smiles/icon_smile.gif">
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar PaTou31 » 11 Jan 2004 23:09

Heu, oui je pense <IMG SRC="images/smiles/icon_smile.gif"> , enfin, voila j'aimerai savoir si on peut ne plus les voir sur les logs, car le 4662, il y en as beaucoup. <BR> <BR> <BR> Journal du pare-feu: <BR> Nombre total d'accès au firewall pour Janvier 11: 5874 <BR>Plus ancien Plus récent <BR>Heure Chaîne Interface Proto Source Port Source Adresse MAC Destination Port de Destination <BR> <BR>21:30:56 INPUT ppp0 TCP 81.166.247.26 4564 ::::: 81.xxx.xxx.xx 135 <BR>21:31:26 INPUT ppp0 TCP 217.136.156.99 3609 ::::: 81.xxx.xxx.xx 4662 <BR>21:33:20 INPUT ppp0 TCP 212.195.196.72 4419 ::::: 81.xxx.xxx.xx 1214 <BR>21:33:43 INPUT ppp0 UDP 81.250.224.96 1024 ::::: 81.xxx.xxx.xx 137(NETBIOS-NS) <BR>21:35:36 INPUT ppp0 TCP 81.13.233.76 2051 ::::: 81.xxx.xxx.xx 445(MICROSOFT-DS) <BR>.... <BR>21:43:00 INPUT ppp0 TCP 81.249.100.16 4821 ::::: 81.xxx.xxx.xx 4662 <BR>..... <BR>21:37:57 NEW not SYN? ppp0 TCP 217.167.211.114 53659 ::::: 81.xxx.xxx.xx 4662 <BR>... <BR>21:45:18 INPUT ppp0 TCP 82.66.3.128 3575 ::::: 81.xxx.xxx.xx 4662 <BR>ect, 80% sur le 4662 <BR> <BR>bien sur les scan sont toujours la <IMG SRC="images/smiles/icon_frown.gif">(( <BR>21:36:30 NEW not SYN? ppp0 TCP 195.140.140.28 80(HTTP) ::::: 81.xxx.xxx.xx 2648 <BR>21:36:30 NEW not SYN? ppp0 TCP 195.140.140.28 80(HTTP) ::::: 81.xxx.xxx.xx 2650 <BR>21:36:30 NEW not SYN? ppp0 TCP 195.140.140.28 80(HTTP) ::::: 81.xxx.xxx.xx 2628 <BR>21:36:30 NEW not SYN? ppp0 TCP 195.140.140.28 80(HTTP) ::::: 81.xxx.xxx.xx 2636 <BR>21:36:30 NEW not SYN? ppp0 TCP 195.140.140.28 80(HTTP) ::::: 81.xxx.xxx.xx 2644 <BR>ect............
-=] PaTou [=-
Avatar de l’utilisateur
PaTou31
Premier-Maître
Premier-Maître
 
Messages: 49
Inscrit le: 20 Sep 2003 00:00
Localisation: Toulouse

Messagepar micjack » 11 Jan 2004 23:25

21:30:56 INPUT ppp0 TCP 81.166.247.26 4564 ::::: 81.xxx.xxx.xx 135 <BR># Ferme le et vite, y'a une connexion etalie sur le 135 <BR> <BR>21:31:26 INPUT ppp0 TCP 217.136.156.99 3609 ::::: 81.xxx.xxx.xx 4662 <BR># surrement un port ouvert lors de ta longue navigation ? ou du P2P <BR> <BR>21:33:20 INPUT ppp0 TCP 212.195.196.72 4419 ::::: 81.xxx.xxx.xx 1214 <BR># Le 1214 est le port par defaut de Kazaa <BR> <BR>21:33:43 INPUT ppp0 UDP 81.250.224.96 1024 ::::: 81.xxx.xxx.xx 137(NETBIOS-NS) <BR># A fermer aussi, tu a un partage reseau d'activé <BR> <BR>21:35:36 INPUT ppp0 TCP 81.13.233.76 2051 ::::: 81.xxx.xxx.xx 445(MICROSOFT-DS) <BR># aussi, comme le port 137, 135 <BR> <BR> <BR>Edit: Le 135 c'est une ouverture pour MSblast, comprend pas pourquoi la conect est etablie <IMG SRC="images/smiles/icon_confused.gif"> <BR><BR><BR><font size=-2></font>
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité