Interprétation log de iptable

Le
Dominique Asselineau
Bonjour,

Sur un VPS faisant tourner Apache, Postfix et MySQL (uniquement en
local pour ce dernier) J'ai installé des règles iptable manuellement
en prenant l'exemple du manuel de sécurisation de Debian
<http://www.debian.org/doc/manuals/securing-debian-howto/>

Ça fonctionne visiblement très bien mais en consultant les logs, j'ai
un doute sur ce qui a bien pu se passer ou tenter de se passer car ça
a justement été bloqué par iptable.

La ligne de log est la suivante

May 2 21:27:47 <NomDuVPS> kernel: [2773675.465534] IN= OUT=venet0 SRC=<IPduVPS> DST=<IPmachineDistante> LEN@ TOS=0x00 PREC=0x00 TTLd ID=0 DF PROTO=TCP SPT€ DPTF418 WINDOW=0 RES=0x00 RST URGP=0

note : j'ai mis entre <> des infos pas forcément bonnes à publier.

Apparemment il s'agit de paquets émis depuis le VPS via le port 80
habituellement utilisé par le serveur web, en l'occurrence Apache,
pour récupérer les requêtes HTTP. J'ai d'ailleurs consulter les logs
d'Apache et je n'y trouve rien à ce moment-là.

Quel service a bien pu tenter d'émettre ces paquets. Dans les logs il
y a une dizaine de lignes de ce genre en l'espace d'une minute et rien
depuis. Où dois-je fouiller pour en savoir plus ?

Merci de votre sagacité.

dom
--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120505180843.GA18257@telecom-paristech.fr
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Michel OLTRA
Le #24456881
Bonjour,


Le samedi 05 mai 2012, Dominique Asselineau a écrit...


May 2 21:27:47
y a une dizaine de lignes de ce genre en l'espace d'une minute et rien
depuis. Où dois-je fouiller pour en savoir plus ?



C'est un paquet RST. Si tu drop et loges les paquets invalides, possible
que ça vienne de là. Un RST qui aurait été envoyé après qu'une connexion
soit supprimée, par exemple.

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Dominique Asselineau
Le #24459581
Jean-Michel OLTRA wrote on Sun, May 06, 2012 at 07:41:07AM +0200

Bonjour,


Le samedi 05 mai 2012, Dominique Asselineau a écrit...


> May 2 21:27:47
> y a une dizaine de lignes de ce genre en l'espace d'une minute et rien
> depuis. Où dois-je fouiller pour en savoir plus ?

C'est un paquet RST. Si tu drop et loges les paquets invalides, possible
que ça vienne de là. Un RST qui aurait été envoyé après qu'une connexion
soit supprimée, par exemple.



Merci. Ça coïncide avec mes problèmes réseau que vient de m'indiquer
l'hébergeur du VPS.

Je vais regarder un peu plus ces problèmes de iptable. Ça n'est
décidément pas facile de protéger son système et de laisser les
services fonctionner correctement, surtout dans des situations
particulières.

dom
--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #24459771
On Mon, 7 May 2012 12:01:28 +0200
Dominique Asselineau

Je vais regarder un peu plus ces problèmes de iptable. Ça n'est
décidément pas facile de protéger son système et de l aisser les
services fonctionner correctement, surtout dans des situations
particulières.



En fonction desdits services, uPnP s'il est utilisable
est susceptible de te faciliter la vie.

--
After they got rid of capital punishment, they had to hang twice
as many people as before.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Vincent Danjean
Le #24524931
Le 07/05/2012 12:01, Dominique Asselineau a écrit :
Je vais regarder un peu plus ces problèmes de iptable. Ça n'est
décidément pas facile de protéger son système et de laisser les
services fonctionner correctement, surtout dans des situations
particulières.



Il y a plein d'outils pour configurer plus facilement iptable, sauf
à avoir des besoins très particuliers.
Pour ma part, j'utilise shorewall (qui a l'avantage de proposer aussi
shorewall6 pour l'IPv6 / ip6table)

Vincent

--
Vincent Danjean GPG key ID 0x9D025E87
GPG key fingerprint: FC95 08A6 854D DB48 4B9A 8A94 0BF7 7867 9D02 5E87
Unofficial pkgs: http://moais.imag.fr/membres/vincent.danjean/deb.html
APT repo: deb http://people.debian.org/~vdanjean/debian unstable main

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme