antispoofing et wierd character

par **cyrille** » 22 Fév 2004 13:57

Bonjour, J'ai fais la modif décrite par Antolien <a href="http://antolien.nerim.net/ipcop/antispoof.htm" target="_blank">http://antolien.nerim.net/ipcop/antispoof.htm</a> <a href="mailto:root@ipcop:/etc/rc.d">root@ipcop:/etc/rc.d</a> # /etc/rc.d/rc.firewall restart Warning: wierd character in interface `-s' (No aliases, :, ! or *). Bad argument `10.0.0.0/8' Try `iptables -h' or 'iptables --help' for more information. Warning: wierd character in interface `-s' (No aliases, :, ! or *). Bad argument `172.16.0.0/12' Try `iptables -h' or 'iptables --help' for more information. Warning: wierd character in interface `-s' (No aliases, :, ! or *). Bad argument `192.168.0.0/16' Try `iptables -h' or 'iptables --help' for more information. Warning: wierd character in interface `-s' (No aliases, :, ! or *). Bad argument `127.0.0.0/8' Try `iptables -h' or 'iptables --help' for more information. Warning: wierd character in interface `-s' (No aliases, :, ! or *). Bad argument `169.254.0.0/16' Try `iptables -h' or 'iptables --help' for more information. Warning: wierd character in interface `-s' (No aliases, :, ! or *). Bad argument `10.0.0.0/8' Try `iptables -h' or 'iptables --help' for more information. Warning: wierd character in interface `-s' (No aliases, :, ! or *). Bad argument `172.16.0.0/12' Try `iptables -h' or 'iptables --help' for more information. Warning: wierd character in interface `-s' (No aliases, :, ! or *). Bad argument `192.168.0.0/16' Try `iptables -h' or 'iptables --help' for more information. J'ai vu sur le forum que d'autres avaient eu le même pb . Je cite GESP : "je suppose que tu as du faire des erreurs dans tes modifs, il faut respecter la casse et si tu as édité sous windows, il y a des chances que tu aisrécupéré des CR/LF là ou Linux attend des LF. " Moi j'ai fais les modifs avec mindterm ... une idée ? merci

par **Fesch** » 22 Fév 2004 14:19

Je crois que t'as déjà donné la réponse toi-même en citant le solution <IMG SRC="images/smiles/icon_wink.gif"> Essayes d'éditer les fichiers en ligne de commande avec "vi" ou avec l'éditeur fourni avec "WinSCP" par exemple ...

par **cyrille** » 22 Fév 2004 15:57

Merci Fesch mais justement, il est là le pb : j'ai édité ce fichier avec vi ...

par **Fesch** » 22 Fév 2004 15:59

Alors, c'est très étrange ... D'acc, c'est une question très bête, mais est tu sûr d'avoir copier correctement??? (Fait copier dans Windows, puis dans putty, mets toi dans vi dans la bonne ligne en mode édition et clique sur le boutin droit de ta souris pour coller le texte ... - sinon, copier à la main ...) Alors, je ne sais plus <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif">

par **cyrille** » 22 Fév 2004 16:13

Voilà la fin de rc.firewall : esac #Antispoofing /sbin/iptables -t nat -I PREROUTING -i $RED_DEV -s 10.0.0.0/8 -j DROP /sbin/iptables -t nat -I PREROUTING -i $RED_DEV -s 172.16.0.0/12 -j DROP /sbin/iptables -t nat -I PREROUTING -i $RED_DEV -s 192.168.0.0/16 -j DROP /sbin/iptables -t nat -I PREROUTING -i $RED_DEV -s 172.0.0.0/8 -j DROP /sbin/iptables -t nat -I PREROUTING -i $RED_DEV -s 169.254.0.0/16 -j DROP exit 0 _________________ "La vitesse de la lumière étant supérieure à celle du son, il n'est donc pas anormal que beaucoup de gens paraissent brillants jusqu'à ce qu'ils ouvrent leur $%#&! "

par **JaDiuM** » 22 Fév 2004 18:25

Bonjour, Essais de remplacer $RED... par $IFACE. Cdt /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 10.0.0.0/8 -j DROP /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 172.16.0.0/12 -j DROP /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 192.168.0.0/16 -j DROP /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 127.0.0.0/8 -j DROP /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 240.0.0.0/4 -j DROP /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 240.0.0.0/5 -j DROP /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 0.0.0.0/8 -j DROP /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 192.0.2.0/24 -j DROP /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 198.18.0.0/15 -j DROP /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 169.254.0.0/16 -j DROP /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 192.168.1.0/25 -j DROP /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 192.168.1.128/26 -j DROP /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 192.168.1.192/27 -j DROP /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 192.168.1.224/28 -j DROP /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 192.168.1.240/29 -j DROP /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 192.168.1.248/30 -j DROP /sbin/iptables -t nat -I PREROUTING -i $IFACE -s 192.168.1.252/31 -j DROP _________________ ---------------------------------- "Computers are like air conditionners. They stop working properly when you open Windows" ----------------------------------

par **tomtom** » 22 Fév 2004 22:32

clairement, la variable $RED_DEV n'est pas définié <IMG SRC="images/smiles/icon_wink.gif"> t.

par **Franck78** » 22 Fév 2004 22:54

c'est pas a la fin de rc.firewall qu'il faut les mettre les lignes. C'est ridicule. Au pire c'est dans la procédure appelée iptable_red() et a l'interieur du if [ red _active ...] et au mieux dans rc.firewall.local qui est fait pour ca (les rajouts par rapport a la distri) Et bien sur en encadrant les nouvelle ligne par le if [ intercace red is active ] fi

par **Gandalf** » 24 Fév 2004 23:10

Salut tout le monde, je reprends ce post suite à une petite recherche sur mes pbs suite aux rajouts des règles d'antispoofing ! Alors voilà : on est bien d'accord si on les met dans rc.firewall avec la variable £RED_DEV ça marche pas ! Si on les met dans rc.firewall avec la variable $IFACE ça a l'air de fonctionner, mais apparemment il faut les caser dans rc.local ( ce qui me semble plus logique ! ), mais là ca ne marche pas ! juste avant l'écran de login sur la console on peut voir apparaître les mêmes erreurs qu'avant au moment ou il lit le rc.local ( weird character ... bad argument ... ). MA QUESTION : QUEL EST LE FIN MOT DE L'HISTOIRE !!!! <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> Merci ! PS : j'ai tout édité avec WinSCP et vérifié sous vi et tout est nickel, donc pas d'erreurs de ce côté là !

par **antolien** » 24 Fév 2004 23:19

1- quelle est ta version de ipcop ?? 2- "j'ai édité les fichiers avec winscp, et vérifié avec vi" winscp n'est pas un éditeur, et alors ça fait comme si tu éditais ton fichier avec windows, donc c'est pourri. De deux choses l'une donc, le howto qu'il y a sur mon site est prévu testé et vérifié pour la version STABLE en cours et donc la 1.3, et aussi il y a la procédure pour éditer ton fichier sous vi.

par **Gandalf** » 24 Fév 2004 23:31

Oui j'ai une version 1.3, et j'ai bien refait les corrections avec vi, mais c'est toujours pareils ! Ca fonctionne avec la variable $IFACE dans rc.firewall mais c'est tout ! I veut rien savoir avec le rc.local ! V PS : pourquoi WinSCP est pourri ? C'est pour ma culture générale ! Merci Sir Antolien ! <IMG SRC="images/smiles/icon_smile.gif">

par **korosv** » 24 Fév 2004 23:33

en prenant le train en marche : - j'ai eu ce soucis que ce soit la version 1.3.0 ou la 1.4.0a9 - je lance une connexion ssh via putty, puis vi pr l'édition ... Pour résoudre mon soucis j'ai remplacer $RED_DEV par ethx ... je me disais qu'il fallait lire remplacez $RED_DEV par votre interface ... ( en y réfléchissant c'est stupide puique la variable $RED_DEV est bien utilisée ailleur dans rc.firewall)

par **JaDiuM** » 25 Fév 2004 00:18

Bonsoit, A titre indicatif la fonction rp_filter est logiquement la pour eviter le spoofing, pensez s'y, cela vous évitera l'ajout de rêgle (mettre le flag à 1). Cdt

par **Gandalf** » 25 Fév 2004 00:26

Merci Jadium j'étais justement en train de lire tes réponses sur le scan de ports ( plutot d'accord ), mais là je ne comprends rien à ta réponse ! Pourrais-tu développer stp ? Merci

par **antolien** » 25 Fév 2004 00:28

Le problème qui se pose avec rp_filter, c'est lorsque l'on utilise freeswan, ce n'est donc pas une solution viable s'il on fait du vpn.

antispoofing et wierd character

Qui est en ligne ?