Re: ipchains et firewalling

Page principale

Répondre à ce message
Auteur: Olivier Allard-Jacquin
Date:  
À: Maliar, Gilles
CC: 'guilde@imag.fr'
Sujet: Re: ipchains et firewalling
    Hello,

> - quelqu'un peut-il m'expliquer comment mon provider, qui m'envoit une IP
> par DHCP, peut-il aussi affecter mes règles de routage (sachant que moi
> j'utilise "ipchains" et "route" pour les modifier)


    J'ai ecris un petit script netfilter / iptables qui permet ce genre de 
chose. Mais comme tu utilises ipchain, j'en deduis que tu as un kernel 
2.2, donc ce n'est pas utilisable comme tel par ta configuration.


    Cependant, si tu es connecté par ADSL à ton FAI, tu peux utiliser ceci:


WanIP=`/sbin/ifconfig | grep "P-t-P" | \
        sed "s/^[: a-z]*\([.0-9]*\).*/\1/g"`


puis: echo $WanIP , qui t'affiche ton adresse IP externe

    L'idée est très simple:
  /sbin/ifconfig t'affiche la liste de tes interface reseau:
  grep "P-t-P" recupère la ligne "P-t-P", donc de la connexion ADSL 
point-to-point
  sed "s/^[: a-z]*\([.0-9]*\).*/\1/g" recupère l'adresse IP



> - si quelqu'un peut m'expliquer aussi quels sont les "bonnes règles" à
> ajouter (ME permettant de surfer, mais ne permettant pas les intrusions...)
> ?


    Avec netfilter / iptables (kernel 2.4.x ou >), j'utilise le 
ip_conntrack (le module de suivit de connexions) afin de n'autoriser que 
les connexions initialisées par machine. Et comme par défaut, tout les 
autres connexions sont interdite, et que cette machine n'a pas de 
fonctions de serveur Internet, c'est plutôt efficace.


    Dans ton cas, comme tu ne peux pas utilisé le suivit de connexion, il 
ne faut autorisé que les connexions vers certaines catégories d'adresse 
IP (80 pour le http, 21 pour le FTP, etc ...), mais c'est une solution 
assez imparfaite, et notamment depuis assez peu de temps. En effet, 
certains [censuré] font maintenant du port scanning ou de 
l'interrogation de spyware en faisant croire qu'ils sont des serveurs 
web, et qu'ils répondent à des requetes HTTP ou FTP. Mon 
/var/log/message est rempli de ces logs:


kernel: IN=ppp0 SRC=x.x.x.x DST=x.x.x.x LEN=102 TOS=0x00 PREC=0x00
TTL=42 ID=63420 DF PROTO=TCP SPT=21 DPT=35461 WINDOW=5792 RES=0x00 ACK
PSH FIN URGP=0
kernel: IN=ppp0 SRC=x.x.x.x DST=x.x.x.x LEN=102 TOS=0x00 PREC=0x00
TTL=42 ID=63421 DF PROTO=TCP SPT=21 DPT=35461 WINDOW=5792 RES=0x00 ACK
PSH FIN URGP=0
kernel: IN=ppp0 SRC=x.x.x.x DST=x.x.x.x LEN=102 TOS=0x00 PREC=0x00
TTL=42 ID=63422 DF PROTO=TCP SPT=21 DPT=35461 WINDOW=5792 RES=0x00 ACK
PSH FIN URGP=0
kernel: IN=ppp0 SRC=x.x.x.x DST=x.x.x.x LEN=102 TOS=0x00 PREC=0x00
TTL=42 ID=63423 DF PROTO=TCP SPT=21 DPT=35461 WINDOW=5792 RES=0x00 ACK
PSH FIN URGP=0

kernel: IN=ppp0 SRC=x.x.x.x DST=x.x.x.x LEN=102 TOS=0x00 PREC=0x00
TTL=42 ID=44696 DF PROTO=TCP SPT=21 DPT=35473 WINDOW=5792 RES=0x00 ACK
PSH FIN URGP=0
kernel: IN=ppp0 SRC=x.x.x.x DST=x.x.x.x LEN=102 TOS=0x00 PREC=0x00
TTL=42 ID=44697 DF PROTO=TCP SPT=21 DPT=35473 WINDOW=5792 RES=0x00 ACK
PSH FIN URGP=0
kernel: IN=ppp0 SRC=x.x.x.x DST=x.x.x.x LEN=102 TOS=0x00 PREC=0x00
TTL=42 ID=44698 DF PROTO=TCP SPT=21 DPT=35473 WINDOW=5792 RES=0x00 ACK
PSH FIN URGP=0
kernel: IN=ppp0 SRC=x.x.x.x DST=x.x.x.x LEN=102 TOS=0x00 PREC=0x00
TTL=42 ID=44699 DF PROTO=TCP SPT=21 DPT=35473 WINDOW=5792 RES=0x00 ACK
PSH FIN URGP=0
kernel: IN=ppp0 SRC=x.x.x.x DST=x.x.x.x LEN=102 TOS=0x00 PREC=0x00
TTL=42 ID=44700 DF PROTO=TCP SPT=21 DPT=35473 WINDOW=5792 RES=0x00 ACK
PSH FIN URGP=0


    Ici, l'intrus cherche a se connecter à un spyware supposé écouter sur 
les ports 35461 et 5792. Et franchement, sans suivit de connexion, je ne 
vois pas comment interdir efficacement ce type d'intrusion ...


    Le salut est dans le passage en kernel 2.4 .. :=)


                    Olivier


-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
        /   / \  / \   \   Web:  olivieraj.free.fr
       /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!