[hs] Des trous dans Shorewall

Le
f1sxo
Bonjour,

Sur le réseau familial, un de mes fils a un serveur de jeux
(fonctionnant sur un PC sous win7) et utilisant le port 444.

Pourtant je n'ai aucune ligne sous shorewall autorisant du trafic sur
le port 444 !


Et cela passe, ses amis se connectent sur son serveur en passant par ma
passerelle sous shorewall ! !!


Une idée ?




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100629140841.GA13928@zulian.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pascal Hambourg
Le #22311101
Salut,

a écrit :

Sur le réseau familial, un de mes fils a un serveur de jeux
(fonctionnant sur un PC sous win7) et utilisant le port 444.

Pourtant je n'ai aucune ligne sous shorewall autorisant du trafic sur
le port 444 !

Et cela passe, ses amis se connectent sur son serveur en passant par ma
passerelle sous shorewall ! !!



TCP ou UDP ?
Y a-t-il un serveur central qui fait la mise en relation des postes
clients et serveurs ou bien les postes clients se connectent-ils
directement au poste serveur en spécifiant son adresse IP publique ?

Dans le premier cas, le jeu pourrait exploiter un mécanisme de "NAT
traversal" de type STUN ou équivalent : le serveur central connaît les
adresses IP publiques des postes clients et les communique au poste
serveur qui peut initier une connexion sortante à travers le pare-feu
(hole punching), ce qui permet aux postes clients de communiquer avec
lui. Ça marche assez bien en UDP, pas forcément aussi bien en TCP.

Dans le second cas, j'ai pas d'idée...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Sylvain Sauvage
Le #22311141
Pascal Hambourg, mardi 29 juin 2010, 17:01:07 CEST

Salut,



’lut,

[…]
Dans le second cas, j'ai pas d'idée...



Mais si, au moins deux : 1. mauvais admin, changer admin
(après tout, on ne sait pas ce que fait son pare-feu), et,
2. fiston plus malin que l’admin ;o)

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Kevin Hinault
Le #22311221
Le 29 juin 2010 16:08,

Une idée ?



UPnP peut être ?

--
Kévin

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Frédéric ZULIAN
Le #22314611
Le Tue, Jun 29, 2010 at 05:10:18PM +0200, Sylvain Sauvage écrivait :
Pascal Hambourg, mardi 29 juin 2010, 17:01:07 CEST
>
> Salut,

???lut,

>[???]
> Dans le second cas, j'ai pas d'idée...

Mais si, au moins deux : 1. mauvais admin, changer admin
(après tout, on ne sait pas ce que fait son pare-feu), et,
2. fiston plus malin que l???admin ;o)




Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est
"Le logiciel n'impressionne pas par son interface, très sommaire, mais
plutôt par sa capacité à traverser sans aucun souci routeur et Firewall
en cascade"

http://www.clubic.com/telecharger-fiche14515-hamachi.html

Comment fait-il donc pour contourner ma config de shorewall ?






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Pascal Hambourg
Le #22314601
Frédéric ZULIAN a écrit :

Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est
"Le logiciel n'impressionne pas par son interface, très sommaire, mais
plutôt par sa capacité à traverser sans aucun souci routeur et Firewall
en cascade"

http://www.clubic.com/telecharger-fiche14515-hamachi.html

Comment fait-il donc pour contourner ma config de shorewall ?



C'est une espèce de VPN avec serveur central, donc pour le pare-feu
c'est juste une connexion sortante (ça rejoint ma première hypothèse).
Tu filtres quoi en sortie vers internet ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Yves Rutschle
Le #22314681
On Wed, Jun 30, 2010 at 01:00:01PM +0200, Frédéric ZULIAN wrote:
Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est
"Le logiciel n'impressionne pas par son interface, très sommaire, mais
plutôt par sa capacité à traverser sans aucun souci routeur et Firewall
en cascade"

http://www.clubic.com/telecharger-fiche14515-hamachi.html

Comment fait-il donc pour contourner ma config de shorewall ?



Sans doute une connection sortante vers un port 443 vers les
"pairs" ou via un serveur exterieur, et sans doute en
utilisant autre chose que du HTTPS.

C'est très, très dur de controller ce genre de chose. Ou
alors il faut bloquer le port 443.

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Christophe
Le #22314861
Le mercredi 30 juin 2010 à 13:21 +0200, Yves Rutschle a écrit :
On Wed, Jun 30, 2010 at 01:00:01PM +0200, Frédéric ZULIAN wrote:
> Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est
> "Le logiciel n'impressionne pas par son interface, très sommaire, mais
> plutôt par sa capacité à traverser sans aucun souci routeur et Firewall
> en cascade"
>
> http://www.clubic.com/telecharger-fiche14515-hamachi.html
>
> Comment fait-il donc pour contourner ma config de shorewall ?

Sans doute une connection sortante vers un port 443 vers les
"pairs" ou via un serveur exterieur, et sans doute en
utilisant autre chose que du HTTPS.

C'est très, très dur de controller ce genre de chose. Ou
alors il faut bloquer le port 443.

Y.




Ce machin tente un peu tout :
https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocIdg0
A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs,
puis, une fois les serveurs contactés,
B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon
UDP 17771 ou TCP 443 vers des serveurs relais.

Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs
autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller
Windows Update entre autres !). Tu peux aussi construire une liste
d'adresses de destination autorisées pour le 443, mais bon courage
alors...

Christophe

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Michel OLTRA
Le #22314891
Bonjour,


Le mercredi 30 juin 2010, Christophe a écrit...


> C'est très, très dur de controller ce genre de chose. Ou
> alors il faut bloquer le port 443.
>
Ce machin tente un peu tout :
https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocIdg0
A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs,
puis, une fois les serveurs contactés,
B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon
UDP 17771 ou TCP 443 vers des serveurs relais.

Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs
autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller
Windows Update entre autres !). Tu peux aussi construire une liste
d'adresses de destination autorisées pour le 443, mais bon courage
alors...



N'y a t-il pas des modules iptables qui permettent d'attaquer/filtrer la
couche applicative ?

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Christophe
Le #22315101
Le mercredi 30 juin 2010 à 14:48 +0200, Jean-Michel OLTRA a écrit :
Bonjour,


Bonjour,



Le mercredi 30 juin 2010, Christophe a écrit...


> > C'est très, très dur de controller ce genre de chose. Ou
> > alors il faut bloquer le port 443.
> >
> Ce machin tente un peu tout :
> https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocIdg0
> A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs,
> puis, une fois les serveurs contactés,
> B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon
> UDP 17771 ou TCP 443 vers des serveurs relais.

> Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs
> autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller
> Windows Update entre autres !). Tu peux aussi construire une liste
> d'adresses de destination autorisées pour le 443, mais bon courage
> alors...

N'y a t-il pas des modules iptables qui permettent d'attaquer/filtrer la
couche applicative ?



Si, il y a bien xtables-addons et son module ipp2p, et layer7. Mais je
ne crois pas qu'ils connaissent hamachi.
On peut toujours écrire ses propres règles de détection pour layer7,
ceci dit ! Mais il faut encore trouver quoi mettre dedans...

Christophe

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Papinux
Le #22322831
Le Wed, 30 Jun 2010 13:00:01 +0200, Frédéric ZULIAN a écrit :


Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est
"Le logiciel n'impressionne pas par son interface, très sommaire, mais
plutôt par sa capacité à traverser sans aucun souci routeur et Fire wall
en cascade"

http://www.clubic.com/telecharger-fiche14515-hamachi.html

Comment fait-il donc pour contourner ma config de shorewall ?





salut,

hamachi permet de créer un vpn. Comme il se connecte sur un serveur
central via un des ports normalement autorisés (ie 443), il suffit de
repérer les adresses IP de cette société.
En l'occurrence, voici celles que j'ai:
64.94.18.0/24, 74.201.74.0/23, 77.242.192.0/23

quelques règles iptables et l'affaire est dans la sac.

Ceci a un avantage, il est impossible de se connecter sur leurs sites
internet (comme https://secure.logmein.com) .

Un peu brutal ,je vous l'accorde, mais depuis impossible de s'y
connecter.

@+

--
Px

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme