bloquage ICMP

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar loup » 09 Oct 2002 07:59

salut <BR>sur IPcop est il possible de bloquer les ping? <BR>si oui, comment? <BR>j'ai épluché les post précédents dans les archives, sans réponse!! <BR>@+ <BR> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR>ciao
"Moi, quand on m'en fait trop, j'correctionne plus, j'dynamite, j'disperse, j'ventile!"
Avatar de l’utilisateur
loup
Contre-Amiral
Contre-Amiral
 
Messages: 438
Inscrit le: 18 Avr 2002 00:00
Localisation: languedoc; Mireval, Pays du Muscat!

Messagepar micj » 09 Oct 2002 10:36

Consulte la page des FAQ d'IPCop sur leur site : <!-- BBCode auto-link start --><a href="http://www.ipcop.org." target="_blank">www.ipcop.org.</a><!-- BBCode auto-link end --> <BR> <BR>Voici la méthode: <BR> <BR>Log into the IPCop console as root and edit a file named /etc/rc.d/rc.firewall.up . In that file, add these two lines to permanenly drop IGMP and PIM packets. <BR> <BR>For a modem connection to the ISP... <BR>ipchains -A input -i ppp0 -p igmp -j REJECT <BR>ipchains -A input -i ppp0 -p pim -j REJECT <BR> <BR>For an ethernet connection to the ISP... <BR>ipchains -A input -i $RED_DEV -p igmp -j REJECT <BR>ipchains -A input -i $RED_DEV -p pim -j REJECT <BR> <BR>You can add these lines just before the comment: <BR> <BR># all ICMP on ppp too <BR> <BR>The variable $RED_DEV is already defined as the appropriate ethernet device for the Red network. It could be eth0, eth1 or eth2 depending on the number of NICs installed. <BR> <BR>Of course, directly editing the firewall rules is risky business and is done at your own peril. If this breaks your firewall, you get to keep both parts. <BR> <BR> <BR><!-- BBCode Start --><B>null</B><!-- BBCode End -->
Avatar de l’utilisateur
micj
Amiral
Amiral
 
Messages: 1142
Inscrit le: 20 Fév 2002 01:00
Localisation: Braine-L'Alleud/Belgique

Messagepar carbone » 09 Oct 2002 10:58

euh tu peux aussi tout simplement ajouter une ligne dans les scripts qui sont sur /etc/rc.d/ <BR>tu ra joute: <BR>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
Big Brother is watching you!
G. Orwell, 1984
Avatar de l’utilisateur
carbone
Contre-Amiral
Contre-Amiral
 
Messages: 490
Inscrit le: 11 Sep 2002 00:00
Localisation: Wavre (Be)

Messagepar micj » 09 Oct 2002 15:45

je crois que le résultat n'est pas le même. <BR>Ta méthode permet d'ignorer les messages et l'autre de ne pas répondre aux requêtes mais je n'en suis pas sûr à 100% <BR>
Avatar de l’utilisateur
micj
Amiral
Amiral
 
Messages: 1142
Inscrit le: 20 Fév 2002 01:00
Localisation: Braine-L'Alleud/Belgique

Messagepar loup » 09 Oct 2002 16:22

salut <BR>bon j'ai écrit ce que disait Carbone dans le fichier qui va bien; maintenant il faudrait tester! <BR>quelqu'un peut il "pinger" le 193.251.15.149 <BR>et me dire le résultat <BR>merci <BR>@+ <IMG SRC="images/smiles/icon_biggrin.gif"> <BR>ciao
"Moi, quand on m'en fait trop, j'correctionne plus, j'dynamite, j'disperse, j'ventile!"
Avatar de l’utilisateur
loup
Contre-Amiral
Contre-Amiral
 
Messages: 438
Inscrit le: 18 Avr 2002 00:00
Localisation: languedoc; Mireval, Pays du Muscat!

Messagepar micj » 09 Oct 2002 16:24

Super belle réponse <BR> <BR>K:>ping 193.251.15.149 <BR> <BR>Pinging 193.251.15.149 with 32 bytes of data: <BR> <BR>Reply from 193.251.15.149: bytes=32 time=431ms TTL=233 <BR>Reply from 193.251.15.149: bytes=32 time=331ms TTL=233 <BR>Reply from 193.251.15.149: bytes=32 time=280ms TTL=233 <BR>Reply from 193.251.15.149: bytes=32 time=411ms TTL=233 <BR> <BR>Ping statistics for 193.251.15.149: <BR> Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), <BR>Approximate round trip times in milli-seconds: <BR> Minimum = 280ms, Maximum = 431ms, Average = 363ms
Avatar de l’utilisateur
micj
Amiral
Amiral
 
Messages: 1142
Inscrit le: 20 Fév 2002 01:00
Localisation: Braine-L'Alleud/Belgique

Messagepar loup » 09 Oct 2002 16:36

re <BR>bon! <BR>ça ne marche pas comme prévue!!!! <BR> <BR>remodif du fichier dès demain matin à l'aube et on retente! <BR>merci <BR>ciao <BR> <IMG SRC="images/smiles/icon_confused.gif">
"Moi, quand on m'en fait trop, j'correctionne plus, j'dynamite, j'disperse, j'ventile!"
Avatar de l’utilisateur
loup
Contre-Amiral
Contre-Amiral
 
Messages: 438
Inscrit le: 18 Avr 2002 00:00
Localisation: languedoc; Mireval, Pays du Muscat!

Messagepar carbone » 10 Oct 2002 08:40

ben moi j ai mis la ligne echo 1 > ... <BR>dans le fichier rc.network <BR>ainsi elle se lance a chaque demarrage de mon firewall <IMG SRC="images/smiles/icon_smile.gif">
Big Brother is watching you!
G. Orwell, 1984
Avatar de l’utilisateur
carbone
Contre-Amiral
Contre-Amiral
 
Messages: 490
Inscrit le: 11 Sep 2002 00:00
Localisation: Wavre (Be)

Messagepar loup » 10 Oct 2002 09:53

salut <BR> <BR>euh! <BR>hier quand j 'ai modifié mon fichier, je n 'ai pas rebooté IPcop derrière, donc fichier pas pris en compte! <BR>je sais , c'est ma très grande faute! <BR> <BR>si quelqu'un pouvait à nouveau "pinger" le 80.14.88.143 et me dire le résultat. <BR> <BR>merci <BR> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR>@+ <BR>ciao
"Moi, quand on m'en fait trop, j'correctionne plus, j'dynamite, j'disperse, j'ventile!"
Avatar de l’utilisateur
loup
Contre-Amiral
Contre-Amiral
 
Messages: 438
Inscrit le: 18 Avr 2002 00:00
Localisation: languedoc; Mireval, Pays du Muscat!

Messagepar mac » 10 Oct 2002 10:54

moi j'ai <BR> <BR> <BR>Envoi d'une requête 'ping' sur 80.14.88.143 avec 32 oc <BR> <BR>Délai d'attente de la demande dépassé. <BR>Délai d'attente de la demande dépassé. <BR>Délai d'attente de la demande dépassé. <BR>Délai d'attente de la demande dépassé. <BR> <BR>Statistiques Ping pour 80.14.88.143: <BR> Paquets : envoyés = 4, reçus = 0, perdus = 4 (pert <BR>Durée approximative des boucles en millisecondes : <BR> minimum = 0ms, maximum = 0ms, moyenne = 0ms
Avatar de l’utilisateur
mac
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 172
Inscrit le: 25 Fév 2002 01:00
Localisation: Paris

Messagepar loup » 10 Oct 2002 11:26

salut <BR> <BR>merci Mac pour le test! <BR> <BR>on considère que c'est bon <BR> <IMG SRC="images/smiles/icon_razz.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>@+ <BR>ciao
"Moi, quand on m'en fait trop, j'correctionne plus, j'dynamite, j'disperse, j'ventile!"
Avatar de l’utilisateur
loup
Contre-Amiral
Contre-Amiral
 
Messages: 438
Inscrit le: 18 Avr 2002 00:00
Localisation: languedoc; Mireval, Pays du Muscat!

Messagepar wann » 10 Oct 2002 16:28

Hello, <BR> <BR>Pour faire des tests de ce genre, j'utilise souvent les services offerts par le site : <BR> <BR><!-- BBCode auto-link start --><a href="http://www.network-tools.com/" target="_blank">http://www.network-tools.com/</a><!-- BBCode auto-link end --> <BR> <BR>Utile <IMG SRC="images/smiles/icon_wink.gif">
"Free your mind and your ass wil follow" (George Clinton)
Avatar de l’utilisateur
wann
Amiral
Amiral
 
Messages: 1032
Inscrit le: 07 Jan 2002 01:00
Localisation: Nantais, parfois ;-)

Messagepar remi » 10 Oct 2002 17:26

je ve pas dire, mais y a aussi <BR> <BR><!-- BBCode auto-link start --><a href="http://www.ixus.net/modules.php?name=Ixus_Nettools&d_op=Ping" target="_blank">http://www.ixus.net/modules.php?name=Ixus_Nettools&d_op=Ping</a><!-- BBCode auto-link end --> <BR> <BR> <BR> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif">
Art de vivre : Mourir pour mourir, que cela soit entre le $%#&! des femmes et le $%#&! des bouteilles !
Avatar de l’utilisateur
remi
AdminIxus
AdminIxus
 
Messages: 3218
Inscrit le: 22 Avr 2002 00:00
Localisation: Lyon

Messagepar Groslolo » 10 Oct 2002 20:00

Est-ce que c'est mieux (ou pire) en mettant un DROP au lieu d'un REJECT ? C'est ce que j'ai fait et ça a l'air de marcher aussi !
Avatar de l’utilisateur
Groslolo
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 149
Inscrit le: 02 Août 2002 00:00

Messagepar antolien » 10 Oct 2002 20:48

à mon avis, c'est mieux de mettre des drop: <BR> <BR>-Lorsque l'on scanne des ports avec un drop en face, on ne sait pas s'il y a quelqu'un derrière car pas de réponse. <BR>-Avec un reject, on a une réponse; négative certes mais une réponse quand même, ce qui incite le hackeur à insister sur cette ip pour trouver la faille car il sait qu'il ya des machines derrières.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron