Ouvrir les ports TCP 1100 et UDP 1101

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar Erkedo » 27 Oct 2003 19:03

Salut à tous ! <BR> <BR>J'ai un problème, j'aimerai ouvrir les ports TCP 1100 et UDP 1101. j'ai un système linux Mandrake 9.1 et je ne sais pas comment procéder pour y arriver. <BR>Je ne sais pas s'il ya quelqu'un qui puisse me venir en aide. <BR> <BR>Merci d'avance. <BR> <BR> Erkedo
Avatar de l’utilisateur
Erkedo
Matelot
Matelot
 
Messages: 4
Inscrit le: 24 Oct 2003 00:00

Messagepar fachrist » 27 Oct 2003 19:20

Désolé mais je quitte mon boulot donc je te répond vite fait, tu es sous linux donc renseigne toi sur nmap sinon, netcat peut simuler une application serveur !Mais bon, la plupart du temps, c'est une application internet qui va utiliser tes ports et non toi qui les ouvrent, aprés, tu l'autorises ou non à l'aide de ton firewall si tu en as un ! <BR> <BR>bonne soirée !
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy

Messagepar tomtom » 27 Oct 2003 19:53

Bien sur, "ouvrir" des ports ne veut rien dire.... <BR> <BR>il y a 2 options pour traduire ta phrase : <BR> <BR>Tu voudrais que des personnes se connectent chez toi en utilisant le port 1000 tcp par exemple. <BR>-> tu dois avoir un programme qui "ecoute" sur ce port et qui sait repondre à la demande de connexion. Cele suffit sur linux pour que le port soit ouvert (on dit qu'il est en etat "listening", tu peux le controler avec netstat -anp) <BR> <BR>-> tu as deja un programme qui "ecoute" sur ce port. Mais les paquets envoyés par les clients n'arrivenet pas -> Il doit y avoir un firewall qui bloque ces paquets et les empeche d'arriver jusqu'à ton demon. Ce firewall peut être soit directement sur la machine "serveur", soit sur une autre machine située entre le client et le serveur. <BR>Si tu poses la question, je supposerai alors qu'il s'agit du firewall integré à Linux, donc netfilter, sur la machine en question. <BR>Pour connaitre les règles fixées par netfilter, on utilise la commande iptables. <BR>Elle sert à manipuler les règles du firewall. <BR>Dans le cas qui nous interresse, il s'agit d'une règle qui bloquerait les acces au firewall lui-même. Ces règles sont spécifiées dans une chaine appelée INPUT. <BR>Pour visualiser las règles, tu vas utiliser la commande suivante : <BR> <BR>iptables -L -v <BR>Dans le resultat qui va s'afficher, tu auras une partie correspondant à INPUT : <BR>tekila:~# iptables -L -v <BR>Chain INPUT (policy DROP 1390 packets, 81280 bytes) <BR> pkts bytes target prot opt in out source destination <BR> 2444 149K InOut all -- eth1 any anywhere anywhere <BR> 94 8412 ICMPTable icmp -- any any anywhere anywhere <BR> 0 0 ACCEPT all -- lo any anywhere anywhere <BR> 1 48 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh flags:SYN,RST,ACK/SYN <BR> 2498 224K SuiviConnexions all -- any any anywhere anywhere <BR> <BR>Voila un exemple de resultat... <BR>Dans ces lignes, tu dois detecter ce qui se passe (il faut lire dans l'ordre). <BR>Je traduis pour mon exemple : <BR> <BR>2444 149K InOut all -- eth1 any anywhere anywhere <BR> <BR>tous les paquets qui traversent cette table, quelles que soient leur destination et leur source (anywhere anywhere), pour toutes les interfaces (any), pour tous les protocoles (all), doivent aller voir la table InOut pour savoir si ca apsse ou non (InOut est une chaine perso ou j'ai mis d'autres règles). <BR> <BR>... <BR> <BR>En lisant toutes les lignes comme ceci, on peut savoir ce qui arrive à un paquet particulier. <BR>Ton exemple : un paquet destiné au port tcp 1000 : <BR>Il va donc aller dans la table InOut.. Si il en ressort, il n'ira pas dans la table Icmp (car le protocole n'est pas icmp mais tcp). <BR>Il n'ira pas non plus dans la table accept en dessous, puisqu'il ne vient pas de l'interface lo <BR>Il n'ira pas dans le accept suivant, car il n'est pas à destination du port ssh (22) mais du 1000 <BR>Il ira ensuite dans la chaine SuiviCOnnexion (ou il sera rejeté car il n'appartient pas à une session existante). <BR>DOnc chez moi, ton paquet sera bloqué par le firewall. <BR> <BR>En fonction des règles chez toi, il sera ou non bloqué par le filtre. S'il est bloqué, il n'arrivera pas au serveur. S'il passe il sera remis au processus serveur qui ecoutait sur le port 1000. <BR> <BR>J'espère que ce micro cours de netfilter t'aura permis de comprendre la abse du firewalling. <BR> <BR>Pour que l'on t'aide plus, maintenant : <BR> <BR>- tu dois nous dire s'il y a un demon qui ecoute sur les ports dont tu parle <BR>- tu dois nous dire ou se trouve le firewall (sur la machine elle-même ? Sur une autre machine ? Sur un modem-routeur ? <BR>- Tu dois nous donner les règles de firewall de l'endroit ou il est : Si c'est sur linux, le resultat de la commande 'iptables -L -v' sera suffisant. <BR> <BR> <BR>T. <BR>
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar ninuxien » 27 Oct 2003 19:59

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-10-27 18:53, tomtom a écrit: <BR>tekila:~# iptables -L -v <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Tekila ???
Serveur Toshiba SG20 (Fanless)
PIII 733Mhz - 1024Mo -- 40Go
ClarkConnect 3.0

<Internet>---<9box>---<CC3.0>----<Routeur WIFI>---<LAN>
Avatar de l’utilisateur
ninuxien
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 252
Inscrit le: 07 Oct 2003 00:00
Localisation: à quelque chose près, je suis ici

Messagepar tomtom » 27 Oct 2003 20:03

heu, non, jusqu'au # c'est l'invite de commande... <BR>La commande commence après <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Heu, tu t'es deja connecté sur une console ?? <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar ninuxien » 27 Oct 2003 20:05

j avais compris <BR>Je remarqué juste le nom d utilisateur c tout <IMG SRC="images/smiles/icon_lol.gif">
Serveur Toshiba SG20 (Fanless)
PIII 733Mhz - 1024Mo -- 40Go
ClarkConnect 3.0

<Internet>---<9box>---<CC3.0>----<Routeur WIFI>---<LAN>
Avatar de l’utilisateur
ninuxien
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 252
Inscrit le: 07 Oct 2003 00:00
Localisation: à quelque chose près, je suis ici

Messagepar tomtom » 27 Oct 2003 20:07

nop, c'est le nom de la machine <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Erkedo » 28 Oct 2003 13:55

Merci pour votre aide. <BR> <BR>A présent je voit mieux de quoi il est question et avec un peu de litterature je comprends déjà qu'il me faut définir des règles de sécurité. Surtout je peux déjà bien poser mon problème puisque je le comprend mieux. <BR> J'ai une application de téléphonie qui utilise le port h323 (tcp 1100 et udp 1101). je n'arrive pas à l'utiliser parceque sur le serveur linux il ya un firewall (Mandrake security) qui ne me le permet pas. <BR>Voici les règles de sécurité que je compte y définir pour un premier temps : <BR>Puisque la téléphonie c'est en aller-retour je vais placer le filtre en entrée et en sortie. <BR>en entrée : <BR>iptables -A INPUT -p tcp -i eth1 --sport 1100 --dport 1100 -j ACCEPT <BR>iptables -A INPUT -p udp -i eth1 --sport 1101 --dport 1101 -j ACCEPT <BR>en sortie : <BR>iptables -A OUTPUT -p tcp -o eth1 --sport 1100 --dport 1100 -j ACCEPT <BR>iptables -A OUTPUT -p udp -o eth1 --sport 1101 --dport 1101 -j ACCEPT <BR> <BR>Je doute de cette syntaxe, surtout sur le fait d'utiliser le même port en entrée qu'en sortie et aussi sur l'interface de connexion car mon téléphone est sur eth0 et le réseau extérieur sur eth1. <BR>que faire ? <BR> <BR>Erkedo <BR>
Avatar de l’utilisateur
Erkedo
Matelot
Matelot
 
Messages: 4
Inscrit le: 24 Oct 2003 00:00

Messagepar PengouinPdt » 28 Oct 2003 14:11

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-10-28 12:55, Erkedo a écrit: <BR>Merci pour votre aide. <BR> <BR>A présent je voit mieux de quoi il est question et avec un peu de litterature je comprends déjà qu'il me faut définir des règles de sécurité. Surtout je peux déjà bien poser mon problème puisque je le comprend mieux. <BR> J'ai une application de téléphonie qui utilise le port h323 (tcp 1100 et udp 1101). je n'arrive pas à l'utiliser parceque sur le serveur linux il ya un firewall (Mandrake security) qui ne me le permet pas. <BR>Voici les règles de sécurité que je compte y définir pour un premier temps : <BR>Puisque la téléphonie c'est en aller-retour je vais placer le filtre en entrée et en sortie. <BR>en entrée : <BR>iptables -A INPUT -p tcp -i eth1 --sport 1100 --dport 1100 -j ACCEPT <BR>iptables -A INPUT -p udp -i eth1 --sport 1101 --dport 1101 -j ACCEPT <BR>en sortie : <BR>iptables -A OUTPUT -p tcp -o eth1 --sport 1100 --dport 1100 -j ACCEPT <BR>iptables -A OUTPUT -p udp -o eth1 --sport 1101 --dport 1101 -j ACCEPT <BR> <BR>Je doute de cette syntaxe, surtout sur le fait d'utiliser le même port en entrée qu'en sortie et aussi sur l'interface de connexion car mon téléphone est sur eth0 et le réseau extérieur sur eth1. <BR>que faire ? <BR> <BR>Erkedo <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>en entrée : <BR>iptables -A INPUT -p tcp -i eth1 --sport 1100 -j ACCEPT <BR>iptables -A INPUT -p udp -i eth1 --sport 1101 -j ACCEPT <BR>en sortie : <BR>iptables -A OUTPUT -p tcp -o eth1 --dport 1100 -j ACCEPT <BR>iptables -A OUTPUT -p udp -o eth1 --dport 1101 -j ACCEPT <BR> <BR>si je ne me trompe pas ! <BR>
IPCop 2.0 @home
Avatar de l’utilisateur
PengouinPdt
Aspirant
Aspirant
 
Messages: 132
Inscrit le: 07 Oct 2003 00:00

Messagepar tomtom » 28 Oct 2003 14:18

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-10-28 13:11, PengouinPdt a écrit: <BR>en entrée : <BR>iptables -A INPUT -p tcp -i eth1 --sport 1100 -j ACCEPT <BR>iptables -A INPUT -p udp -i eth1 --sport 1101 -j ACCEPT <BR>en sortie : <BR>iptables -A OUTPUT -p tcp -o eth1 --dport 1100 -j ACCEPT <BR>iptables -A OUTPUT -p udp -o eth1 --dport 1101 -j ACCEPT <BR> <BR>si je ne me trompe pas ! <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Oui, sauf que je suppose que pour ce qui est de la sortie, la conf est deja correcte et autorise la machine à sortir comme elle veut... <BR>Donc les deux lignes input suffisent je pense ! <BR> <BR>Que te donne un iptables -L -v ? <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Erkedo » 28 Oct 2003 15:17

Pour le moment je n'ai pas accès au serveur (local fermé) mais dès que j'ouvre je vais regarder le résultat de iptables -L -v et te l'envoyer.
Avatar de l’utilisateur
Erkedo
Matelot
Matelot
 
Messages: 4
Inscrit le: 24 Oct 2003 00:00


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron