# Services visible depuis l'exterieur
services = "{ssh}"
# IP non routable
table <nonroutable> const { 0/8, 1/24, 10/8, 127/8, 169.254/16,
172.16/12, 192.0.2/24, 192.168/16, 204.152.64/23, 224/3,
255.255.255.255/32 }
# Options
set block-policy return
set loginterface $ext_if
scrub in on $ext_if all fragment reassemble
scrub out on $ext_if all fragment reassemble random-id
nat on $ext_if from $int_if:network to any -> ($ext_if)
# Filter rules
block log all
# Autorise le trafic sur l'adresse loopback
pass quick on lo0 all
# Autorise le trafic en interne
pass quick on $int_if all
# Active l'anti spoofing sur l'interface interne
antispoof quick for $int_if inet
# Bloque tous les packets indesirables venant de l'exterieur
block in log quick on $ext_if inet proto icmp all icmp-type redir
# Bloque tous les packets non routables
block drop in quick on $ext_if from <nonroutable> to any
block drop out quick on $ext_if from any to <nonroutable>
# Autorise que le ping et traceroute
pass in quick on $ext_if inet proto icmp all icmp-type {echorep,
echoreq, timex, unreach }
block in log quick on $ext_if inet proto icmp all
# Autorise les services en entree
pass in quick on $ext_if inet proto tcp from any to $ext_if port
$services flags S/SA keep state
# Autorise en entree les packets entrants comme reponse
pass out quick on $ext_if proto tcp all flags S/SA keep state
pass out quick on $ext_if proto {udp, icmp} all keep state
Lorsque je scanne ma machine depuis l'extérieur, nmap donne le
résultat suivant
Port State Service
22/tcp open ssh
135/tcp filtered loc-srv
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
12345/tcp filtered NetBus
Pourquoi nmap trouve autant de ports filtrés, alors que juste ssh est
ouvert ?
Lorsque je scanne ma machine depuis l'extérieur, nmap donne le résultat suivant
Port State Service 22/tcp open ssh 135/tcp filtered loc-srv 136/tcp filtered profile 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 593/tcp filtered http-rpc-epmap 12345/tcp filtered NetBus
bloques-tu les autres port ?
parce que par exemple, s'il voit que ssh est ouvert et qu'il répond bien, qu'il scanne les autres ports qui répondent qu'ils sont fermés et qu'au final, lorsqu'il scanne les ports que tu as cité en "filtered", il ne voit pas de réponse, nmap étant pas trop con, il va te dire qu'il sont protégés par un firewall. Il ne sont donc _pas_ ouverts.
Lorsque je scanne ma machine depuis l'extérieur, nmap donne le
résultat suivant
Port State Service
22/tcp open ssh
135/tcp filtered loc-srv
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
12345/tcp filtered NetBus
bloques-tu les autres port ?
parce que par exemple, s'il voit que ssh est ouvert et qu'il répond bien,
qu'il scanne les autres ports qui répondent qu'ils sont fermés et qu'au
final, lorsqu'il scanne les ports que tu as cité en "filtered", il ne voit
pas de réponse, nmap étant pas trop con, il va te dire qu'il sont protégés
par un firewall. Il ne sont donc _pas_ ouverts.
Lorsque je scanne ma machine depuis l'extérieur, nmap donne le résultat suivant
Port State Service 22/tcp open ssh 135/tcp filtered loc-srv 136/tcp filtered profile 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 593/tcp filtered http-rpc-epmap 12345/tcp filtered NetBus
bloques-tu les autres port ?
parce que par exemple, s'il voit que ssh est ouvert et qu'il répond bien, qu'il scanne les autres ports qui répondent qu'ils sont fermés et qu'au final, lorsqu'il scanne les ports que tu as cité en "filtered", il ne voit pas de réponse, nmap étant pas trop con, il va te dire qu'il sont protégés par un firewall. Il ne sont donc _pas_ ouverts.
Bah alors c'est bien ce que tu demandes non ? Au pire renvoie un paquet RST avec un return-rst si tu veux essayer de leurrer.
set block-policy return
Cette option précise au firewall de renvoyer un RST sur tous les ports fermés !!!
Hugo Villeneuve
In article , zobe wrote:
Lorsque je scanne ma machine depuis l'extérieur, nmap donne le résultat suivant
Port State Service 22/tcp open ssh 135/tcp filtered loc-srv 136/tcp filtered profile 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 593/tcp filtered http-rpc-epmap 12345/tcp filtered NetBus
Pourquoi nmap trouve autant de ports filtrés, alors que juste ssh est ouvert ?
Beaucoup d'ISP filtre tout ces ports Windows sur leur border router afin de limiter les dégats à gérer.
Ce pourrait être ton cas. Surtout qu'ils sont montré "filtered" par nmap parce qu'ils n'avaient pas le même type de réponses que les autres ports non-ouvert de ta machine.
Merci,
-- Hugo Villeneuve http://EINTR.net/
In article <2607a44f.0311181421.5b6b4348@posting.google.com>, zobe wrote:
Lorsque je scanne ma machine depuis l'extérieur, nmap donne le
résultat suivant
Port State Service
22/tcp open ssh
135/tcp filtered loc-srv
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
12345/tcp filtered NetBus
Pourquoi nmap trouve autant de ports filtrés, alors que juste ssh est
ouvert ?
Beaucoup d'ISP filtre tout ces ports Windows sur leur border router
afin de limiter les dégats à gérer.
Ce pourrait être ton cas. Surtout qu'ils sont montré "filtered" par
nmap parce qu'ils n'avaient pas le même type de réponses que les
autres ports non-ouvert de ta machine.
Merci,
--
Hugo Villeneuve <hugo@EINTR.net>
http://EINTR.net/
Lorsque je scanne ma machine depuis l'extérieur, nmap donne le résultat suivant
Port State Service 22/tcp open ssh 135/tcp filtered loc-srv 136/tcp filtered profile 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 593/tcp filtered http-rpc-epmap 12345/tcp filtered NetBus
Pourquoi nmap trouve autant de ports filtrés, alors que juste ssh est ouvert ?
Beaucoup d'ISP filtre tout ces ports Windows sur leur border router afin de limiter les dégats à gérer.
Ce pourrait être ton cas. Surtout qu'ils sont montré "filtered" par nmap parce qu'ils n'avaient pas le même type de réponses que les autres ports non-ouvert de ta machine.
Merci,
-- Hugo Villeneuve http://EINTR.net/
mips
On 18 Nov 2003 22:25:08 -0800 (zobe) wrote:
mips wrote in message news:...
On 18 Nov 2003 14:21:41 -0800 (zobe) wrote:
Bah alors c'est bien ce que tu demandes non ? Au pire renvoie un paquet RST avec un return-rst si tu veux essayer de leurrer.
set block-policy return
Cette option précise au firewall de renvoyer un RST sur tous les ports fermés !!!
Ah oui tiens je l'avais pas capte dans ton fichier de conf. Tu as essaye de tcpdump depuis l'exterieur sur ces ports pour voir si le RST est bien renvoye ? Si ca se trouve nmap detecte ce filtrage par des moyens detournes.
mips
On 18 Nov 2003 22:25:08 -0800
zobe@ifrance.com (zobe) wrote:
mips <anti@spam.gov> wrote in message
news:<20031119001536.6fceab8a.anti@spam.gov>...
On 18 Nov 2003 14:21:41 -0800
zobe@ifrance.com (zobe) wrote:
Bah alors c'est bien ce que tu demandes non ?
Au pire renvoie un paquet RST avec un return-rst si tu veux
essayer de leurrer.
set block-policy return
Cette option précise au firewall de renvoyer un RST sur tous les
ports fermés !!!
Ah oui tiens je l'avais pas capte dans ton fichier de conf.
Tu as essaye de tcpdump depuis l'exterieur sur ces ports pour voir si
le RST est bien renvoye ?
Si ca se trouve nmap detecte ce filtrage par des moyens detournes.
Bah alors c'est bien ce que tu demandes non ? Au pire renvoie un paquet RST avec un return-rst si tu veux essayer de leurrer.
set block-policy return
Cette option précise au firewall de renvoyer un RST sur tous les ports fermés !!!
Ah oui tiens je l'avais pas capte dans ton fichier de conf. Tu as essaye de tcpdump depuis l'exterieur sur ces ports pour voir si le RST est bien renvoye ? Si ca se trouve nmap detecte ce filtrage par des moyens detournes.
mips
DINH Viêt Hoà
On 18 Nov 2003 22:25:08 -0800 (zobe) wrote:
mips wrote in message news:...
On 18 Nov 2003 14:21:41 -0800 (zobe) wrote:
Bah alors c'est bien ce que tu demandes non ? Au pire renvoie un paquet RST avec un return-rst si tu veux essayer de leurrer.
set block-policy return
Cette option précise au firewall de renvoyer un RST sur tous les ports fermés !!!
Ah oui tiens je l'avais pas capte dans ton fichier de conf. Tu as essaye de tcpdump depuis l'exterieur sur ces ports pour voir si le RST est bien renvoye ? Si ca se trouve nmap detecte ce filtrage par des moyens detournes.
voici la réponse :
-sA ACK scan: This advanced method is usually used to map out fire- wall rulesets. In particular, it can help determine whether a firewall is stateful or just a simple packet filter that blocks incoming SYN packets.
This scan type sends an ACK packet (with random looking acknowl- edgement/sequence numbers) to the ports specified. If a RST comes back, the ports is classified as "unfiltered". If nothing comes back (or if an ICMP unreachable is returned), the port is classified as "filtered". Note that nmap usually doesn't print "unfiltered" ports, so getting no ports shown in the output is usually a sign that all the probes got through (and returned RSTs). This scan will obviously never show ports in the "open" state.
-- DINH V. Hoa,
"du sucre dans le pain brioché ???" -- groz
On 18 Nov 2003 22:25:08 -0800
zobe@ifrance.com (zobe) wrote:
mips <anti@spam.gov> wrote in message
news:<20031119001536.6fceab8a.anti@spam.gov>...
On 18 Nov 2003 14:21:41 -0800
zobe@ifrance.com (zobe) wrote:
Bah alors c'est bien ce que tu demandes non ?
Au pire renvoie un paquet RST avec un return-rst si tu veux
essayer de leurrer.
set block-policy return
Cette option précise au firewall de renvoyer un RST sur tous les
ports fermés !!!
Ah oui tiens je l'avais pas capte dans ton fichier de conf.
Tu as essaye de tcpdump depuis l'exterieur sur ces ports pour voir si
le RST est bien renvoye ?
Si ca se trouve nmap detecte ce filtrage par des moyens detournes.
voici la réponse :
-sA ACK scan: This advanced method is usually used to map out fire-
wall rulesets. In particular, it can help determine whether a
firewall is stateful or just a simple packet filter that blocks
incoming SYN packets.
This scan type sends an ACK packet (with random looking acknowl-
edgement/sequence numbers) to the ports specified. If a RST
comes back, the ports is classified as "unfiltered". If nothing
comes back (or if an ICMP unreachable is returned), the port is
classified as "filtered". Note that nmap usually doesn't print
"unfiltered" ports, so getting no ports shown in the output is
usually a sign that all the probes got through (and returned
RSTs). This scan will obviously never show ports in the "open"
state.
Bah alors c'est bien ce que tu demandes non ? Au pire renvoie un paquet RST avec un return-rst si tu veux essayer de leurrer.
set block-policy return
Cette option précise au firewall de renvoyer un RST sur tous les ports fermés !!!
Ah oui tiens je l'avais pas capte dans ton fichier de conf. Tu as essaye de tcpdump depuis l'exterieur sur ces ports pour voir si le RST est bien renvoye ? Si ca se trouve nmap detecte ce filtrage par des moyens detournes.
voici la réponse :
-sA ACK scan: This advanced method is usually used to map out fire- wall rulesets. In particular, it can help determine whether a firewall is stateful or just a simple packet filter that blocks incoming SYN packets.
This scan type sends an ACK packet (with random looking acknowl- edgement/sequence numbers) to the ports specified. If a RST comes back, the ports is classified as "unfiltered". If nothing comes back (or if an ICMP unreachable is returned), the port is classified as "filtered". Note that nmap usually doesn't print "unfiltered" ports, so getting no ports shown in the output is usually a sign that all the probes got through (and returned RSTs). This scan will obviously never show ports in the "open" state.
-- DINH V. Hoa,
"du sucre dans le pain brioché ???" -- groz
zobe
Merci, pour toutes ces réponses, je vais regarder ça plus en profondeur.
Merci, pour toutes ces réponses, je vais regarder ça plus en profondeur.