Forums Linux Linux Debian

Iptables, scans et logs

Le dimanche 27 Novembre 2011 à 23:10

Vinc Teteve

Bonjour à tous,

Je suis en train d'essayer de configurer le firewall d'un serveur sous
Debian. J'essaye de faire un LOG + DROP pour les scans TCP.
Voici un extrait (le début "problématique") de "iptables -L -n -v" :

Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast
1 40 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
2551 172K check-flags all -- * * 0.0.0.0/0 0.0.0.0/0
2551 172K TCP_FLAGS all -- * * 0.0.0.0/0 0.0.0.0/0
2551 172K last-check all -- * * 0.0.0.0/0 0.0.0.0/0
1496 129K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp option=!2
flags:0x02/0x02

Chain BADFLAGS (5 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
prefix `IPT-BADFLAGS:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain LOG_DROP (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 6/hour burst
1 LOG flags 2 level 4 prefix `Drop-Ban-IP:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain TCP_FLAGS (2 references)
pkts bytes target prot opt in out source destination
0 0 BADFLAGS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x11/0x01
0 0 BADFLAGS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x18/0x08
0 0 BADFLAGS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x30/0x20
0 0 BADFLAGS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x05/0x05
0 0 BADFLAGS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x2B

Chain check-flags (2 references)
pkts bytes target prot opt in out source destination
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x29
limit: avg 3/min burst 5 LOG flags 0 level 4 prefix `NMAP-XMAS:'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x29
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F
limit: avg 3/min burst 5 LOG flags 0 level 4 prefix `XMAS:'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x37
limit: avg 3/min burst 5 LOG flags 0 level 4 prefix `XMAS-PSH:'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x37
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
limit: avg 3/min burst 5 LOG flags 0 level 4 prefix `NULL-SCAN:'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06
limit: avg 3/min burst 5 LOG flags 0 level 4 prefix `SYN/RST:'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03
limit: avg 3/min burst 5 LOG flags 0 level 4 prefix `SYN/FIN:'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03

Chain last-check (2 references)
pkts bytes target prot opt in out source destination
21 1052 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp
flags:0x17/0x02 limit: avg 5/sec burst 5
9 360 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04
limit: avg 1/sec burst 5
9 252 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit:
avg 1/sec burst 5

(Je sais, il est un peu "excessif" sur certains points, mais c'est pour
apprendre/comprendre)
Je lance un/des scans avec nmap (nmap -sN mon.serveur.tld && nmap -sF
mon.serveur.tld && nmap -sXmon.serveur.tld) depuis mon desktop, et
aucune inscription n'apparaît dans les fichiers de log (ni iptables.log,
ni kern.log). Et pour cause, aucun paquet n'est matché par les règles
"anti-scan".

Je ne comprends pas pourquoi, et je ne sais pas où chercher (pas
d'erreur apparaissant dans les logs). Auriez-vous une piste ?

Cdt

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4ED2B39C.7080004@gmail.com

Questions / Réponses high-tech

iptables et cible -limit (et consideration sur les scans de ports)

Poser une question

Vidéos High-Tech et Jeu Vidéo

Final Fantasy Versus XIII devient Final Fantasy XV
Il ne s'agit encore que d'une rumeur, Square Enix n'ayant pas officialisé cette...
Google : World Wonders Project
Google inaugure le World Wonders Project pour explorer des sites historiques.

Plus de vidéos

Téléchargements

Bureautique

CVitae : éditer des CV
Besoin d'écrire un CV pour postuler à un emploi ? Le logiciel CVitae permet de rédiger...
Utilitaires

Folder Icons : de nouveaux icônes esthétiques pour vos fichiers
Si vous êtes à la recherche d'un pack d'icônes magnifiques pour changer celles de...

Plus de téléchargements

Suivez GNT

Vos réponses Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !

Trier par : date / pertinence

Jean-Yves F. Barbier

Le 27/11/2011 à 23:30 #24009161

On Sun, 27 Nov 2011 23:03:08 +0100
Vinc Teteve

a pÃ´ marchÃ© mon iptables

http://www.ossramblings.com/using_i...nt_portsca ns

--
When a person goes on a diet, the first thing he loses is his temper.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

-1 Répondre en citant

vincent.etevenaux

Le 28/11/2011 à 00:00 #24009281

J'ai déjà lu ce site, mais mon pitoyable anglais n'a pas dû m'aider à
comprendre correctement...
Mon but étant de comprendre le fonctionnement, pour pouvoir ensuite
l'adapter et l'affiner.
Je ne comprends pas pourquoi un scan NULL-SYN (par exemple) n'est pas
matché par la règle :
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
limit: avg 3/min burst 5 LOG flags 0 level 4 prefix `NULL-SCAN:'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
Après, l'efficacité de cette règle en soi est secondaire. Je cherche
donc quelle est la partie que j'ai ratée, ou mal comprise...
Mais c'est clair que "ça marche sûrement, mais ça mârche pô comme je
veux..." :/

Le 27/11/2011 23:26, Jean-Yves F. Barbier a écrit :

On Sun, 27 Nov 2011 23:03:08 +0100
Vinc Teteve

a pô marché mon iptables

http://www.ossramblings.com/using_i..._portscans

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

-1 Répondre en citant

Vinc Teteve

Le 28/11/2011 à 00:10 #24009301

Désolé, je me suis planté d'adresse pour répondre. Mais je suis toujours
preneur d'une piste ou d'une explication... :)

Le 27/11/2011 23:54, vincent.etevenaux a écrit :

J'ai déjà lu ce site, mais mon pitoyable anglais n'a pas dû m'aider à
comprendre correctement...
Mon but étant de comprendre le fonctionnement, pour pouvoir ensuite
l'adapter et l'affiner.
Je ne comprends pas pourquoi un scan NULL-SYN (par exemple) n'est pas
matché par la règle :
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
limit: avg 3/min burst 5 LOG flags 0 level 4 prefix `NULL-SCAN:'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
Après, l'efficacité de cette règle en soi est secondaire. Je cherche
donc quelle est la partie que j'ai ratée, ou mal comprise...
Mais c'est clair que "ça marche sûrement, mais ça mârche pô comme je
veux..." :/

Le 27/11/2011 23:26, Jean-Yves F. Barbier a écrit :

On Sun, 27 Nov 2011 23:03:08 +0100
Vinc Teteve

a pô marché mon iptables

http://www.ossramblings.com/using_i..._portscans

-1 Répondre en citant

Jean-Yves F. Barbier

Le 28/11/2011 à 00:30 #24009341

On Sun, 27 Nov 2011 23:54:48 +0100
"vincent.etevenaux"

J'ai dÃ©jÃ lu ce site, mais mon pitoyable anglais n'a pas dÃ » m'aider Ã
comprendre correctement...

et translate.google.com c'est pour les chiens?

Mon but Ã©tant de comprendre le fonctionnement, pour pouvoir ensuite
l'adapter et l'affiner.
Je ne comprends pas pourquoi un scan NULL-SYN (par exemple) n'est pas
matchÃ© par la rÃ¨gle :

Null-syn ne veut non seulement rien dire, mais est en plus impossible.

--
Obviously the only rational solution to your problem is suicide.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

-1 Répondre en citant

Jean-Michel OLTRA

Le 28/11/2011 à 08:20 #24009681

Bonjour,

Le dimanche 27 novembre 2011, vincent.etevenaux a écrit...

Je ne comprends pas pourquoi un scan NULL-SYN (par exemple) n'est pas
matché par la règle :
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
limit: avg 3/min burst 5 LOG flags 0 level 4 prefix `NULL-SCAN:'
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
Après, l'efficacité de cette règle en soi est secondaire. Je cherche
donc quelle est la partie que j'ai ratée, ou mal comprise...
Mais c'est clair que "ça marche sûrement, mais ça mârche pô comme je
veux..." :/

Je ne me rappelle plus de ton test (nmap ? hping ?), mais si tu envoies
un syn, alors tu n'es plus dans le masque 0x00, qui représente « aucun
drapeau mis », puisque tu en as un (ALL/NONE en fait).

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

-1 Répondre en citant

Publicité

‹ 12 › »

Suivre les réponses

Poster une réponse