Bonsoir,
je suis sous FreeBSD 4.8, j'ai déjà posté et j'ai apporté des modifications
à mon pare-feu ; mais je suis toujours bloqué avec l'internet sur le LAN,
pas moyen de faire fonctionner le natd. Si quelqu'un pouvait regarder mes
fichiers :
*** ipfw show :
00050 263748 84213833 divert 8668 ip from any to any out xmit rl0
00100 50786 2764684 allow ip from any to any via lo0
00150 171 17713 allow ip from any to any in recv rl1
00160 13 668 allow ip from any to any out xmit rl1
00200 16 896 deny log logamount 10 ip from any to 127.0.0.0/8
00300 0 0 deny log logamount 10 ip from 127.0.0.0/8 to any
00301 0 0 check-state
00302 21343 1375176 deny log logamount 10 tcp from any to any in
established
00303 294455 125963751 skipto 350 tcp from any to any keep-state out setup
00350 181933 53131774 divert 8668 ip from any to any in recv rl0
00360 35911 1996052 allow tcp from any to any out setup
00370 284211 125282617 allow tcp from any to any established
00400 6028 1015988 allow udp from 80.10.246.130 53 to any in recv rl0
00401 69442 4316807 allow udp from any to any out
00501 0 0 allow udp from 81.249.237.84 67 to any 68 in recv rl0
00502 0 0 allow udp from any 68 to 255.255.255.255 67 out xmit
rl0
00503 680 215560 allow udp from any 67 to 255.255.255.255 68 in recv
rl0
00600 16246 983000 allow icmp from any to any icmptype 3
00601 0 0 allow icmp from any to any icmptype 4
00602 0 0 allow icmp from any to any out icmptype 8
00603 0 0 allow icmp from any to any in icmptype 0
00604 218 14701 allow icmp from any to any in icmptype 11
65534 12554 624688 deny log logamount 10 tcp from any to any
65535 60963 8757071 deny ip from any to any
*** /var/log/security :
ipfw: 65534 Deny TCP 80.224.208.58:1361 81.249.237.229:4662 in via
rl0
ipfw: 65534 Deny TCP 212.194.164.244:3361 81.249.237.229:4662 in
via rl0
ipfw: 65534 Deny TCP 80.224.208.58:1361 81.249.237.229:4662 in via
rl0
ipfw: 65534 Deny TCP 81.49.252.17:4308 81.249.237.229:4662 in via
rl0
ipfw: 65534 Deny TCP 81.57.55.151:4108 81.249.237.229:4662 in via
rl0
ipfw: 65534 Deny TCP 24.232.22.117:4098 81.249.237.229:4662 in via
rl0
ipfw: 65534 Deny TCP 82.224.30.22:4371 81.249.237.229:4662 in via
rl0
ipfw: 65534 Deny TCP 212.194.164.244:3361 81.249.237.229:4662 in
via rl0
ipfw: 65534 Deny TCP 212.11.13.73:2002 81.249.237.229:4662 in via
rl0
ipfw: 65534 Deny TCP 24.232.22.117:3897 81.249.237.229:4662 in via
rl0
ipfw: limit 10 reached on entry 65534
ipfw: 302 Deny TCP 205.156.51.200:80 81.249.237.229:2595 in via rl0
ipfw: 302 Deny TCP 205.156.51.200:80 81.249.237.229:2595 in via rl0
ipfw: 302 Deny TCP 81.53.192.23:2391 81.249.237.229:1080 in via rl0
ipfw: 302 Deny TCP 140.123.108.139:7654 81.249.237.229:2599 in via
rl0
ipfw: 302 Deny TCP 140.123.108.139:7654 81.249.237.229:2599 in via
rl0
ipfw: 302 Deny TCP 129.142.206.251:411 81.249.237.229:2665 in via
rl0
ipfw: 302 Deny TCP 212.195.94.147:4662 81.249.237.229:2675 in via
rl0
ipfw: 302 Deny TCP 82.42.106.15:411 81.249.237.229:2678 in via rl0
ipfw: 302 Deny TCP 82.42.106.15:411 81.249.237.229:2678 in via rl0
ipfw: 302 Deny TCP 212.78.204.20:80 81.249.237.229:2619 in via rl0
ipfw: limit 10 reached on entry 302
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Sylvain Tertois
ferdydurke a écrit:
00301 0 0 check-state 00302 21343 1375176 deny log logamount 10 tcp from any to any in established 00303 294455 125963751 skipto 350 tcp from any to any keep-state out setup
Je ne connais pas bien le fonctionnement de keep-state, mais avec ta règle 303 çe ne serait pas uniquement les paquets en sortie qui seraient notés en keep-state? Dans ce cas le paquet de retour (qui est en in, du coup) ne passe pas la règle check-state et tombe dans la 302...
ipfw: 65534 Deny TCP 80.224.208.58:1361 81.249.237.229:4662 in via rl0
ça tu peux laisser tomber, c'est un soft de peer-to-peer qui tente de se connecter chez toi.
Pour commencer essaie déjà de supprimer les règles 301 et 303, et de passer la 302 en allow. On te dira que ça ouvre une faille de laisser passer tous les paquets established, dans le cas où il y aurait un bug dans la pile IP. Après, tout dépend de ton niveau de paranoïa ;-)
-- Sylvain
ferdydurke a écrit:
00301 0 0 check-state
00302 21343 1375176 deny log logamount 10 tcp from any to any in
established
00303 294455 125963751 skipto 350 tcp from any to any keep-state out setup
Je ne connais pas bien le fonctionnement de keep-state, mais avec ta règle 303
çe ne serait pas uniquement les paquets en sortie qui seraient notés en
keep-state?
Dans ce cas le paquet de retour (qui est en in, du coup) ne passe pas la règle
check-state et tombe dans la 302...
ipfw: 65534 Deny TCP 80.224.208.58:1361 81.249.237.229:4662 in via
rl0
ça tu peux laisser tomber, c'est un soft de peer-to-peer qui tente de se
connecter chez toi.
Pour commencer essaie déjà de supprimer les règles 301 et 303, et de passer
la 302 en allow.
On te dira que ça ouvre une faille de laisser passer tous les paquets
established, dans le cas où il y aurait un bug dans la pile IP. Après, tout
dépend de ton niveau de paranoïa ;-)
00301 0 0 check-state 00302 21343 1375176 deny log logamount 10 tcp from any to any in established 00303 294455 125963751 skipto 350 tcp from any to any keep-state out setup
Je ne connais pas bien le fonctionnement de keep-state, mais avec ta règle 303 çe ne serait pas uniquement les paquets en sortie qui seraient notés en keep-state? Dans ce cas le paquet de retour (qui est en in, du coup) ne passe pas la règle check-state et tombe dans la 302...
ipfw: 65534 Deny TCP 80.224.208.58:1361 81.249.237.229:4662 in via rl0
ça tu peux laisser tomber, c'est un soft de peer-to-peer qui tente de se connecter chez toi.
Pour commencer essaie déjà de supprimer les règles 301 et 303, et de passer la 302 en allow. On te dira que ça ouvre une faille de laisser passer tous les paquets established, dans le cas où il y aurait un bug dans la pile IP. Après, tout dépend de ton niveau de paranoïa ;-)
