[systeme linux]
Bonjour,
j'utilise dhcpd sur mon reseau. Le serveur a une serie de regle
relativement restrictive, mais je me rends compte qu'il est inutile
d'autoriser explicitement le port udp 67 pour que dhcp fonctionne.
cf les logs:
Oct 14 10:13:48 slackware dhcpd: DHCPDISCOVER from 00:b0:d0:1f:3b:46 via eth0
Oct 14 10:13:49 slackware dhcpd: DHCPOFFER on 192.168.1.60 to 00:b0:d0:1f:3b:46
via eth0
Et mes policy sont en DROP par defaut.
Je n'autorise que l'acces a mes serveurs dument autorises en INPUT:
# Paquets entrants sur mes serveurs
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT
# pour le DNS, il faut tcp aussi, bicoze windows et je filtre sur
#l'interface et la source
iptables -A INPUT -m state --state NEW -i eth0 -s 192.168.1.0/24 -p tcp
--dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -i eth0 -s 192.168.1.0/24 -p udp
--dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -i eth0 -s 172.16.1.0/16 -p tcp
--dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -i eth0 -s 172.16.1.0/16 -p udp
--dport 53 -j ACCEPT
C'est tout. Pourquoi un paquet DHCPDISCOVER est il accepte?
Il devrait etre considere en INPUT comme un paquet NEW de protocole
udp de port 67. Il ne correspond a aucune de mes regles, donc devrait
se prendre la policy par defaut, qui est DROP. Et pourtant, ca
passe. Pourquoi?
D'autre part, je lance le demon dhcpd avec l'option eth0, mais il
ecoute sur mes deux interfaces:
[kevin@slackware:~]$ netstat -n -l --inet | grep 67
udp 0 0 0.0.0.0:67 0.0.0.0:*
on ne peut pas specifier une interface unique, comme pour named?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Bertrand Masius
Bonjour,
Le 14 Oct 2003 17:13:05 GMT, (Kevin DENIS) a écrit :
[systeme linux] Bonjour, j'utilise dhcpd sur mon reseau. Le serveur a une serie de regle relativement restrictive, mais je me rends compte qu'il est inutile d'autoriser explicitement le port udp 67 pour que dhcp fonctionne.
cf les logs: Oct 14 10:13:48 slackware dhcpd: DHCPDISCOVER from 00:b0:d0:1f:3b:46 via eth0 Oct 14 10:13:49 slackware dhcpd: DHCPOFFER on 192.168.1.60 to 00:b0:d0:1f:3b:46 via eth0
As-tu vétifié les règles enregistrées par iptables ? iptables -L te les
montrera. Peut-être que les règles correspondantes sont ajoutées par les scripts de configuration. -- "Ce que l'on conçoit bien s'énonce clairement, Et les mots pour le dire arrivent aisément."
(Nicolas Boileau, l'Art poétique)
Bonjour,
Le 14 Oct 2003 17:13:05 GMT, Kevin@nowhere.invalid (Kevin DENIS) a écrit
:
[systeme linux]
Bonjour,
j'utilise dhcpd sur mon reseau. Le serveur a une serie de regle
relativement restrictive, mais je me rends compte qu'il est inutile
d'autoriser explicitement le port udp 67 pour que dhcp fonctionne.
cf les logs:
Oct 14 10:13:48 slackware dhcpd: DHCPDISCOVER from 00:b0:d0:1f:3b:46 via eth0
Oct 14 10:13:49 slackware dhcpd: DHCPOFFER on 192.168.1.60 to 00:b0:d0:1f:3b:46
via eth0
As-tu vétifié les règles enregistrées par iptables ? iptables -L te les
montrera. Peut-être que les règles correspondantes sont ajoutées par les
scripts de configuration.
--
"Ce que l'on conçoit bien s'énonce clairement,
Et les mots pour le dire arrivent aisément."
Le 14 Oct 2003 17:13:05 GMT, (Kevin DENIS) a écrit :
[systeme linux] Bonjour, j'utilise dhcpd sur mon reseau. Le serveur a une serie de regle relativement restrictive, mais je me rends compte qu'il est inutile d'autoriser explicitement le port udp 67 pour que dhcp fonctionne.
cf les logs: Oct 14 10:13:48 slackware dhcpd: DHCPDISCOVER from 00:b0:d0:1f:3b:46 via eth0 Oct 14 10:13:49 slackware dhcpd: DHCPOFFER on 192.168.1.60 to 00:b0:d0:1f:3b:46 via eth0
As-tu vétifié les règles enregistrées par iptables ? iptables -L te les
montrera. Peut-être que les règles correspondantes sont ajoutées par les scripts de configuration. -- "Ce que l'on conçoit bien s'énonce clairement, Et les mots pour le dire arrivent aisément."
(Nicolas Boileau, l'Art poétique)
Kevin
Le 14 Oct 2003 20:25:14 GMT, Bertrand Masius a ecrit: | |>[systeme linux] |>Bonjour, |>j'utilise dhcpd sur mon reseau. Le serveur a une serie de regle |>relativement restrictive, mais je me rends compte qu'il est inutile |>d'autoriser explicitement le port udp 67 pour que dhcp fonctionne. |> |>cf les logs: |>Oct 14 10:13:48 slackware dhcpd: DHCPDISCOVER from 00:b0:d0:1f:3b:46 via eth0 |>Oct 14 10:13:49 slackware dhcpd: DHCPOFFER on 192.168.1.60 to |>00:b0:d0:1f:3b:46 via eth0 |> | As-tu vétifié les règles enregistrées par iptables ?
oui.
| iptables -L te les montrera.
sans blague!
| Peut-être que les règles correspondantes sont ajoutées par les | scripts de configuration.
Les regles sont bonnes, elles correspondent, et non, je n'ai pas de scripts de configuration qui me rajoute du bouzin. Je tourne sous slack justement pour eviter de me faire emm*rder par ce genre de trucs.
-- Kevin VIIIIITE!! Tout le monde, sauvegardez! -+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Le 14 Oct 2003 20:25:14 GMT, Bertrand Masius a ecrit:
|
|>[systeme linux]
|>Bonjour,
|>j'utilise dhcpd sur mon reseau. Le serveur a une serie de regle
|>relativement restrictive, mais je me rends compte qu'il est inutile
|>d'autoriser explicitement le port udp 67 pour que dhcp fonctionne.
|>
|>cf les logs:
|>Oct 14 10:13:48 slackware dhcpd: DHCPDISCOVER from 00:b0:d0:1f:3b:46 via eth0
|>Oct 14 10:13:49 slackware dhcpd: DHCPOFFER on 192.168.1.60 to
|>00:b0:d0:1f:3b:46 via eth0
|>
| As-tu vétifié les règles enregistrées par iptables ?
oui.
| iptables -L te les montrera.
sans blague!
| Peut-être que les règles correspondantes sont ajoutées par les
| scripts de configuration.
Les regles sont bonnes, elles correspondent, et non, je n'ai pas de scripts
de configuration qui me rajoute du bouzin. Je tourne sous slack justement
pour eviter de me faire emm*rder par ce genre de trucs.
--
Kevin
VIIIIITE!! Tout le monde, sauvegardez!
-+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Le 14 Oct 2003 20:25:14 GMT, Bertrand Masius a ecrit: | |>[systeme linux] |>Bonjour, |>j'utilise dhcpd sur mon reseau. Le serveur a une serie de regle |>relativement restrictive, mais je me rends compte qu'il est inutile |>d'autoriser explicitement le port udp 67 pour que dhcp fonctionne. |> |>cf les logs: |>Oct 14 10:13:48 slackware dhcpd: DHCPDISCOVER from 00:b0:d0:1f:3b:46 via eth0 |>Oct 14 10:13:49 slackware dhcpd: DHCPOFFER on 192.168.1.60 to |>00:b0:d0:1f:3b:46 via eth0 |> | As-tu vétifié les règles enregistrées par iptables ?
oui.
| iptables -L te les montrera.
sans blague!
| Peut-être que les règles correspondantes sont ajoutées par les | scripts de configuration.
Les regles sont bonnes, elles correspondent, et non, je n'ai pas de scripts de configuration qui me rajoute du bouzin. Je tourne sous slack justement pour eviter de me faire emm*rder par ce genre de trucs.
-- Kevin VIIIIITE!! Tout le monde, sauvegardez! -+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Alain Thivillon
Kevin DENIS wrote:
[systeme linux] Bonjour, j'utilise dhcpd sur mon reseau. Le serveur a une serie de regle relativement restrictive, mais je me rends compte qu'il est inutile d'autoriser explicitement le port udp 67 pour que dhcp fonctionne.
Oui.
C'est tout. Pourquoi un paquet DHCPDISCOVER est il accepte?
Parce qu'il est pris par libpcap et pas traité par la pile IP du système (parce que la machine doit lire les broadcast Ethernet adressés à 0.0.0.0 et ce n'est pas possible sur tous les systèmes sans sniffer le réseau).
D'autre part, je lance le demon dhcpd avec l'option eth0, mais il ecoute sur mes deux interfaces: [:~]$ netstat -n -l --inet | grep 67 udp 0 0 0.0.0.0:67 0.0.0.0:*
Je pense que c'est un socket udp ouvert seulement pour envoyer la réponse.
[ NB : il y a des serveurs de mail de moderators.isc.org qui ne connaissent pas fr.comp.securite et c'est assez pénible ]
Kevin DENIS <Kevin@nowhere.invalid> wrote:
[systeme linux]
Bonjour,
j'utilise dhcpd sur mon reseau. Le serveur a une serie de regle
relativement restrictive, mais je me rends compte qu'il est inutile
d'autoriser explicitement le port udp 67 pour que dhcp fonctionne.
Oui.
C'est tout. Pourquoi un paquet DHCPDISCOVER est il accepte?
Parce qu'il est pris par libpcap et pas traité par la pile IP du
système (parce que la machine doit lire les broadcast Ethernet adressés
à 0.0.0.0 et ce n'est pas possible sur tous les systèmes sans sniffer
le réseau).
D'autre part, je lance le demon dhcpd avec l'option eth0, mais il
ecoute sur mes deux interfaces:
[kevin@slackware:~]$ netstat -n -l --inet | grep 67
udp 0 0 0.0.0.0:67 0.0.0.0:*
Je pense que c'est un socket udp ouvert seulement pour envoyer la
réponse.
[ NB : il y a des serveurs de mail de moderators.isc.org qui ne
connaissent pas fr.comp.securite et c'est assez pénible ]
[systeme linux] Bonjour, j'utilise dhcpd sur mon reseau. Le serveur a une serie de regle relativement restrictive, mais je me rends compte qu'il est inutile d'autoriser explicitement le port udp 67 pour que dhcp fonctionne.
Oui.
C'est tout. Pourquoi un paquet DHCPDISCOVER est il accepte?
Parce qu'il est pris par libpcap et pas traité par la pile IP du système (parce que la machine doit lire les broadcast Ethernet adressés à 0.0.0.0 et ce n'est pas possible sur tous les systèmes sans sniffer le réseau).
D'autre part, je lance le demon dhcpd avec l'option eth0, mais il ecoute sur mes deux interfaces: [:~]$ netstat -n -l --inet | grep 67 udp 0 0 0.0.0.0:67 0.0.0.0:*
Je pense que c'est un socket udp ouvert seulement pour envoyer la réponse.
[ NB : il y a des serveurs de mail de moderators.isc.org qui ne connaissent pas fr.comp.securite et c'est assez pénible ]
Alain Thivillon
Alain Thivillon wrote:
Parce qu'il est pris par libpcap et pas traité par la pile IP du
En fait apres examen sur Linux dhcpd utilise des linux packet filters pense que le problème est le même : la lecture des données est faite avant le filtrage IP.
Alain Thivillon <at@rominet.net> wrote:
Parce qu'il est pris par libpcap et pas traité par la pile IP du
En fait apres examen sur Linux dhcpd utilise des linux packet filters
pense que le problème est le même : la lecture des données est faite
avant le filtrage IP.
Parce qu'il est pris par libpcap et pas traité par la pile IP du
En fait apres examen sur Linux dhcpd utilise des linux packet filters pense que le problème est le même : la lecture des données est faite avant le filtrage IP.
William
On Tue, 14 Oct 2003 19:13:05 +0200, Kevin DENIS wrote:
C'est tout. Pourquoi un paquet DHCPDISCOVER est il accepte? Il devrait etre considere en INPUT comme un paquet NEW de protocole udp de port 67.
c'est pas un simple broadcast le DHCPDISCOVER ?
Il ne correspond a aucune de mes regles, donc devrait se prendre la policy par defaut, qui est DROP. Et pourtant, ca passe. Pourquoi?
D'autre part, je lance le demon dhcpd avec l'option eth0, mais il ecoute sur mes deux interfaces: [:~]$ netstat -n -l --inet | grep 67 udp 0 0 0.0.0.0:67 0.0.0.0:*
on ne peut pas specifier une interface unique, comme pour named?
Merci
-- William.
On Tue, 14 Oct 2003 19:13:05 +0200, Kevin DENIS wrote:
C'est tout. Pourquoi un paquet DHCPDISCOVER est il accepte? Il devrait
etre considere en INPUT comme un paquet NEW de protocole udp de port
67.
c'est pas un simple broadcast le DHCPDISCOVER ?
Il ne correspond a aucune de mes regles, donc devrait se prendre la
policy par defaut, qui est DROP. Et pourtant, ca passe. Pourquoi?
D'autre part, je lance le demon dhcpd avec l'option eth0, mais il ecoute
sur mes deux interfaces:
[kevin@slackware:~]$ netstat -n -l --inet | grep 67 udp 0 0
0.0.0.0:67 0.0.0.0:*
on ne peut pas specifier une interface unique, comme pour named?
On Tue, 14 Oct 2003 19:13:05 +0200, Kevin DENIS wrote:
C'est tout. Pourquoi un paquet DHCPDISCOVER est il accepte? Il devrait etre considere en INPUT comme un paquet NEW de protocole udp de port 67.
c'est pas un simple broadcast le DHCPDISCOVER ?
Il ne correspond a aucune de mes regles, donc devrait se prendre la policy par defaut, qui est DROP. Et pourtant, ca passe. Pourquoi?
D'autre part, je lance le demon dhcpd avec l'option eth0, mais il ecoute sur mes deux interfaces: [:~]$ netstat -n -l --inet | grep 67 udp 0 0 0.0.0.0:67 0.0.0.0:*
on ne peut pas specifier une interface unique, comme pour named?
