hping3 avec iptables

Salut,

Hugo Deprez a écrit :

j'ai installé hping3 sur une lenny. Mon serveur est firewallé avec iptables,
j'autorise tout en sortie.
Par contre quand j'exécute la commande suivante :

$ sudo /usr/sbin/hping3 -V 192.168.0.1 -p 21
using eth0, addr: 192.168.0.2, MTU: 1500
HPING 192.168.0.1 (eth0 192.168.0.2): NO FLAGS are set, 40 headers + 0 data
bytes
[send_ip] sendto: Operation not permitted

Voici le log de l'iptables :

Jul 23 11:35:12 monhost kernel: [2990025.691301] [FW-DROP] IN= OUT=eth0
SRC2.168.0.2 DST2.168.0.1 LEN@ TOS=0x00 PREC=0x00 TTLd
ID…99 PROTO=TCP SPT55 DPT! WINDOWQ2 RES=0x00 URGP=0 UID=0 GID=0

Visiblement cette commande envoie un paquet TCP sans aucu flag
(notamment SYN), donc le suivi de connexion de netfilter le classe
probablement dans l'état INVALID. Il faudrait regarder s'il n'y a pas
une règle iptables dans OUTPUT ou une chaîne utilisateur appelée depuis
là qui bloque les paquets sortants dans l'état INVALID (ce qui serait
assez logique quand on fait du filtrage à état puisqu'une éventuelle
réponse reçue serait forcément classée INVALID elle aussi et bloquée).


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

--0015175df034ea95a8048c101d4f
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

merci pour la réponse, j'ai une règle de type ACCEPT source any destina tion
any.
Elle semble fonctionnelle, et je pensais qu'elle prendrait le dessus sur le s
autres règles déjà présentes. Ce ne serait pas le cas ?


voici ma table OUTPUT :

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG
LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/NONE
LOGDROP tcp -- anywhere anywhere tcp
flags:SYN,RST/SYN,RST
LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN/FIN,SYN
LOGACCEPT all -- anywhere anywhere
LOGACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
LOGACCEPT tcp -- monserver.mondomaine.fr server2.mondomaine.fr tcp
dpt:8140
LOGACCEPT tcp -- monserver.mondomaine.fr server.mondomaine.fr tcp
dpt:ldap
[...]
LOGACCEPT all -- monserver.mondomaine.fr anywhere
LOGDROP all -- anywhere anywhere

Quel commande sur iptables permet de traiter/qualifier les paquets 'INVALID '
?

D'avance merci

Hugo

2010/7/23 Pascal Hambourg

Salut,

Hugo Deprez a écrit :

j'ai installé hping3 sur une lenny. Mon serveur est firewallé avec
iptables,
j'autorise tout en sortie.
Par contre quand j'exécute la commande suivante :

$ sudo /usr/sbin/hping3 -V 192.168.0.1 -p 21
using eth0, addr: 192.168.0.2, MTU: 1500
HPING 192.168.0.1 (eth0 192.168.0.2): NO FLAGS are set, 40 headers + 0
data
bytes
[send_ip] sendto: Operation not permitted

Voici le log de l'iptables :

Jul 23 11:35:12 monhost kernel: [2990025.691301] [FW-DROP] IN= OUT=e th0
SRC2.168.0.2 DST2.168.0.1 LEN@ TOS=0x00 PREC=0x00 TTL d
ID99 PROTO=TCP SPT55 DPT! WINDOWQ2 RES=0x00 URGP =0 UID=0 GID=0

Visiblement cette commande envoie un paquet TCP sans aucu flag (notamment
SYN), donc le suivi de connexion de netfilter le classe probablement dans
l'état INVALID. Il faudrait regarder s'il n'y a pas une règle iptable s dans
OUTPUT ou une chaîne utilisateur appelée depuis là qui bloque les p aquets
sortants dans l'état INVALID (ce qui serait assez logique quand on fait du
filtrage à état puisqu'une éventuelle réponse reçue serait forc ément classée
INVALID elle aussi et bloquée).


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/

--0015175df034ea95a8048c101d4f
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,<br><br>merci pour la réponse, j&#39;ai une règle de type ACCEP T source any destination any.<br>Elle semble fonctionnelle, et je pensais q u&#39;elle prendrait le dessus sur les autres règles déjà présentes . Ce ne serait pas le cas ?<br>
<br><br>voici ma table OUTPUT :<br><br>Chain OUTPUT (policy ACCEPT)<br>targ et     prot opt source               de stination<br>LOGDROP    tcp  --  anywhere              anywhere            tcp flags:FIN,SYN,RS T,PSH,ACK,URG/FIN,PSH,URG<br>
LOGDROP    tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG /FIN,SYN,RST,PSH,ACK,URG<br>LOGDROP    tcp  --  anywhere              anywhere            tcp f lags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG<br>
LOGDROP    tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG /NONE<br>LOGDROP    tcp  --  anywhere              anywhere            tcp flags:SYN,RST/SYN,R ST<br>LOGDROP    tcp  --  anywhere              anywhere            tcp flags:FIN,SYN/FIN,SYN< br>
LOGACCEPT  all  --  anywhere             anyw here<br>LOGACCEPT  all  --  anywhere              anywhere            state RELATED,ESTABLISHED<br> LOGACCEPT  tcp  --  <a href="http://monserver.mondomaine.fr">monser" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://monserver.mondomaine.fr">monser ver.mondomaine.fr</a>  <a href="http://server2.mondomaine.fr">server2.m ondomaine.fr</a> tcp dpt:8140<br>
LOGACCEPT  tcp  --  <a href="http://monserver.mondomaine.fr">monser" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://monserver.mondomaine.fr">monser ver.mondomaine.fr</a>  <a href="http://server.mondomaine.fr">server.mon domaine.fr</a> tcp dpt:ldap<br>[...]<br>LOGACCEPT  all  --  <a href ="http://monserver.mondomaine.fr">monser" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://monserver.mondomaine.fr">monserver.mondomaine.fr</a>  anywhere <br>
LOGDROP    all  --  anywhere             anywhere<br><br>Quel commande sur iptables permet de traiter/qualifier les paquets &#39;INVALID&#39; ?<br><br>D&#39;avance merci<br><br>Hugo<br><br><d iv class="gmail_quote">2010/7/23 Pascal Hambourg <span dir="ltr">&lt;<a href="mailto:"></a >&gt;</span><br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; borde r-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">Salut,<br>
<br>
Hugo Deprez a écrit :<div class="im"><br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; borde r-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<br>
j&#39;ai installé hping3 sur une lenny. Mon serveur est firewallé avec iptables,<br>
j&#39;autorise tout en sortie.<br>
Par contre quand j&#39;exécute la commande suivante :<br>
<br>
$ sudo  /usr/sbin/hping3 -V 192.168.0.1 -p 21<br>
using eth0, addr: 192.168.0.2, MTU: 1500<br>
HPING 192.168.0.1 (eth0 192.168.0.2): NO FLAGS are set, 40 headers + 0 data <br>
bytes<br>
[send_ip] sendto: Operation not permitted<br>
<br>
Voici le log de l&#39;iptables :<br>
<br>
Jul 23 11:35:12 monhost kernel: [2990025.691301] [FW-DROP] IN= OUT=eth0 <br>
SRC2.168.0.2 DST2.168.0.1 LEN@ TOS=0x00 PREC=0x00 TTL=6 4<br>
ID99 PROTO=TCP SPT55 DPT! WINDOWQ2 RES=0x00 URGP=0 UID=0 GID=0<br>
</blockquote>
<br></div>
Visiblement cette commande envoie un paquet TCP sans aucu flag (notamment S YN), donc le suivi de connexion de netfilter le classe probablement dans l& #39;état INVALID. Il faudrait regarder s&#39;il n&#39;y a pas une règle iptables dans OUTPUT ou une chaîne utilisateur appelée depuis là qui bloque les paquets sortants dans l&#39;état INVALID (ce qui serait assez logique quand on fait du filtrage à état puisqu&#39;une éventuelle r éponse reçue serait forcément classée INVALID elle aussi et bloqu ée).<br>
<font color="#888888">
<br>
<br>
-- <br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers <a href="mailto:" target ="_blank"></a><br>
En cas de soucis, contactez EN ANGLAIS <a href="mailto: ebian.org" target="_blank"></a><br>
Archive: <a href="http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/ g" target="_blank">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/ rg</a><br>
<br>
</font></blockquote></div><br>

--0015175df034ea95a8048c101d4f--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/

Hugo Deprez a écrit :

merci pour la réponse, j'ai une règle de type ACCEPT source any destination
any.
Elle semble fonctionnelle, et je pensais qu'elle prendrait le dessus sur les
autres règles déjà présentes. Ce ne serait pas le cas ?

voici ma table OUTPUT :

Note : je trouve que le format de sortie d'iptables -L n'est pas très
lisible, je préfère celui d'iptables-save.

LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG

Note : ces deux règles pourraient être fusionnées en
flags:FIN,SYN,RST,ACK,URG/FIN,SYN,RST,ACK,URG

LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/NONE

C'est cette règle qui attrape le paquet TCP sans flag émis par hping3.
Il n'est donc pas bloqué sur son état de suivi de connexion comme je
l'avais d'abord pensé mais sur la valeur de ses flags TCP.

Accessoirement, quel est le but d'envoyer un paquet TCP sans flag, qui
sera forcément écarté par le destinataire ? Ne faudrait-il pas fournir à
hping3 les options pour émettre un paquet valide ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

--0015175df0346466d4048c107740
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le 23 juillet 2010 18:15, Pascal Hambourg a
écrit :

Hugo Deprez a écrit :

merci pour la réponse, j'ai une règle de type ACCEPT source any
destination
any.
Elle semble fonctionnelle, et je pensais qu'elle prendrait le dessus sur
les
autres règles déjà présentes. Ce ne serait pas le cas ?

voici ma table OUTPUT :

Note : je trouve que le format de sortie d'iptables -L n'est pas très
lisible, je préfère celui d'iptables-save.



LOGDROP tcp -- anywhere anywhere tcp

flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG

Note : ces deux règles pourraient être fusionnées en
flags:FIN,SYN,RST,ACK,URG/FIN,SYN,RST,ACK,URG


LOGDROP tcp -- anywhere anywhere tcp

flags:FIN,SYN,RST,PSH,ACK,URG/NONE

C'est cette règle qui attrape le paquet TCP sans flag émis par hping3 . Il
n'est donc pas bloqué sur son état de suivi de connexion comme je l'a vais
d'abord pensé mais sur la valeur de ses flags TCP.

Effectivement.
Si tu ne veux pas t'émbêter, il peut être judicieux de n'effectuer ce genre
de filtrage qu'en entrée. Mais en cas de scan nmap par exemple, tu auras des
retours dropés.

Accessoirement, quel est le but d'envoyer un paquet TCP sans flag, qui se ra
forcément écarté par le destinataire ? Ne faudrait-il pas fournir à hping3
les options pour émettre un paquet valide ?

Windows répond parfois à ce genre de paquets.

Pour ce qui est des paquets invalides, voici un exemple:
iptables -t filter -A INPUT -m state --state INVALID -j DROP

--0015175df0346466d4048c107740
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<br><br><div class="gmail_quote">Le 23 juillet 2010 18:15, Pascal Hambour g <span dir="ltr">&lt;<a href="mailto:">pasc </a>&gt;</span> a écrit :<br><blockquote class=" gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb (204, 204, 204); padding-left: 1ex;">

Hugo Deprez a écrit :<div class="im"><br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; borde r-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<br>
merci pour la réponse, j&#39;ai une règle de type ACCEPT source any des tination<br>
any.<br>
Elle semble fonctionnelle, et je pensais qu&#39;elle prendrait le dessus su r les<br>
autres règles déjà présentes. Ce ne serait pas le cas ?<br>
<br>
voici ma table OUTPUT :<br>
</blockquote>
<br></div>
Note : je trouve que le format de sortie d&#39;iptables -L n&#39;est pas tr ès lisible, je préfère celui d&#39;iptables-save.</blockquote><blockq uote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

<div class="im"><br>
<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; borde r-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
LOGDROP    tcp  --  anywhere             anywhere            tcp<br>
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG<br>
LOGDROP    tcp  --  anywhere             anywhere            tcp<br>
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG<br>
</blockquote>
<br></div>
Note : ces deux règles pourraient être fusionnées en flags:FIN,SYN,RS T,ACK,URG/FIN,SYN,RST,ACK,URG<div class="im"><br>
<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; borde r-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
LOGDROP    tcp  --  anywhere             anywhere            tcp<br>
flags:FIN,SYN,RST,PSH,ACK,URG/NONE<br>
</blockquote>
<br></div>
C&#39;est cette règle qui attrape le paquet TCP sans flag émis par hpin g3. Il n&#39;est donc pas bloqué sur son état de suivi de connexion com me je l&#39;avais d&#39;abord pensé mais sur la valeur de ses flags TCP.< br></blockquote>

<div><br>Effectivement.<br>Si tu ne veux pas t&#39;émbêter, il peut ê tre judicieux de n&#39;effectuer ce genre de filtrage qu&#39;en entrée. M ais en cas de scan nmap par exemple, tu auras des retours dropés.<br> < /div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">


<br>
Accessoirement, quel est le but d&#39;envoyer un paquet TCP sans flag, qui sera forcément écarté par le destinataire ? Ne faudrait-il pas fourni r à hping3 les options pour émettre un paquet valide ?<div class="im" ><br></div>

</blockquote><div>Windows répond parfois à ce genre de paquets.<br></di v><div><br><br>Pour ce qui est des paquets invalides, voici un exemple:<br> iptables -t filter -A INPUT -m state --state INVALID -j DROP<br><br><br></d iv>

</div>

--0015175df0346466d4048c107740--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

--0015174c33fa63467f048c45b6a9
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

merci pour votre réponse ! je comprends mieux.

Je ne connais pas encore très bien hping, je trouve ça un peu étrange comme
comportement. Je vais étudier le man page.

Par contre ce que je ne saisis pas c'est pourquoi iptables, malgré ma r ègle
:

-A OUTPUT -s 192.16.0.1/32 -j LOGACCEPT

il applique la règle

-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOGDROP

Es-ce que c'est le fait que cette dernière soit avant la règle LOGACCEP T ?

D'avance merci,


2010/7/23 Cornichon

Le 23 juillet 2010 18:15, Pascal Hambourg a
écrit :

Hugo Deprez a écrit :

merci pour la réponse, j'ai une règle de type ACCEPT source any
destination
any.
Elle semble fonctionnelle, et je pensais qu'elle prendrait le dessus su r
les
autres règles déjà présentes. Ce ne serait pas le cas ?

voici ma table OUTPUT :

Note : je trouve que le format de sortie d'iptables -L n'est pas très
lisible, je préfère celui d'iptables-save.

LOGDROP tcp -- anywhere anywhere tcp

flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG

Note : ces deux règles pourraient être fusionnées en
flags:FIN,SYN,RST,ACK,URG/FIN,SYN,RST,ACK,URG


LOGDROP tcp -- anywhere anywhere tcp

flags:FIN,SYN,RST,PSH,ACK,URG/NONE

C'est cette règle qui attrape le paquet TCP sans flag émis par hping 3. Il
n'est donc pas bloqué sur son état de suivi de connexion comme je l' avais
d'abord pensé mais sur la valeur de ses flags TCP.

Effectivement.
Si tu ne veux pas t'émbêter, il peut être judicieux de n'effectuer ce genre
de filtrage qu'en entrée. Mais en cas de scan nmap par exemple, tu aura s des
retours dropés.

Accessoirement, quel est le but d'envoyer un paquet TCP sans flag, qui
sera forcément écarté par le destinataire ? Ne faudrait-il pas fou rnir à
hping3 les options pour émettre un paquet valide ?

Windows répond parfois à ce genre de paquets.

Pour ce qui est des paquets invalides, voici un exemple:
iptables -t filter -A INPUT -m state --state INVALID -j DROP

--0015174c33fa63467f048c45b6a9
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,<br><br>merci pour votre réponse ! je comprends mieux.<br><br>Je ne connais pas encore très bien hping, je trouve ça un peu étrange co mme comportement. Je vais étudier le man page.<br><br>Par contre ce que j e ne saisis pas c&#39;est  pourquoi iptables, malgré ma règle :<br>
<br>-A OUTPUT -s <a href="http://192.16.0.1/32">192.16.0.1/32</a&gt; -j LOGA CCEPT<br><br>il applique la règle <br><br>-A OUTPUT -p tcp -m tcp --tcp-f lags FIN,SYN,RST,PSH,ACK,URG NONE -j LOGDROP<br><br>Es-ce que c&#39;est le fait que cette dernière soit avant la règle LOGACCEPT ?<br>
<br>D&#39;avance merci,<br><br><br><div class="gmail_quote">2010/7/23 Cor nichon <span dir="ltr">&lt;<a href="mailto:">corni </a>&gt;</span><br><blockquote class="gmail_quote" style ="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); p adding-left: 1ex;">
<br><br><div class="gmail_quote">Le 23 juillet 2010 18:15, Pascal Hambour g <span dir="ltr">&lt;<a href="mailto:" targ et="_blank"></a>&gt;</span> a écrit :<div cl ass="im">
<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; b order-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

Hugo Deprez a écrit :<div><br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; borde r-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<br>
merci pour la réponse, j&#39;ai une règle de type ACCEPT source any des tination<br>
any.<br>
Elle semble fonctionnelle, et je pensais qu&#39;elle prendrait le dessus su r les<br>
autres règles déjà présentes. Ce ne serait pas le cas ?<br>
<br>
voici ma table OUTPUT :<br>
</blockquote>
<br></div>
Note : je trouve que le format de sortie d&#39;iptables -L n&#39;est pas tr ès lisible, je préfère celui d&#39;iptables-save.</blockquote><blockq uote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">


<div><br>
<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; borde r-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
LOGDROP    tcp  --  anywhere             anywhere            tcp<br>
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG<br>
LOGDROP    tcp  --  anywhere             anywhere            tcp<br>
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG<br>
</blockquote>
<br></div>
Note : ces deux règles pourraient être fusionnées en flags:FIN,SYN,RS T,ACK,URG/FIN,SYN,RST,ACK,URG<div><br>
<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; borde r-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
LOGDROP    tcp  --  anywhere             anywhere            tcp<br>
flags:FIN,SYN,RST,PSH,ACK,URG/NONE<br>
</blockquote>
<br></div>
C&#39;est cette règle qui attrape le paquet TCP sans flag émis par hpin g3. Il n&#39;est donc pas bloqué sur son état de suivi de connexion com me je l&#39;avais d&#39;abord pensé mais sur la valeur de ses flags TCP.< br></blockquote>


</div><div><br>Effectivement.<br>Si tu ne veux pas t&#39;émbêter, il pe ut être judicieux de n&#39;effectuer ce genre de filtrage qu&#39;en entr ée. Mais en cas de scan nmap par exemple, tu auras des retours dropés.< br> </div>
<div class="im"><blockquote class="gmail_quote" style="margin: 0pt 0p t 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;" >


<br>
Accessoirement, quel est le but d&#39;envoyer un paquet TCP sans flag, qui sera forcément écarté par le destinataire ? Ne faudrait-il pas fourni r à hping3 les options pour émettre un paquet valide ?<div><br></div>

</blockquote></div><div>Windows répond parfois à ce genre de paquets.<b r></div><div><br><br>Pour ce qui est des paquets invalides, voici un exempl e:<br>iptables -t filter -A INPUT -m state --state INVALID -j DROP<br><br>
<br></div>

</div>
</blockquote></div><br>

--0015174c33fa63467f048c45b6a9--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/AANLkTim=

Hugo Deprez a écrit :

Par contre ce que je ne saisis pas c'est pourquoi iptables, malgré ma règle

-A OUTPUT -s 192.16.0.1/32 -j LOGACCEPT

il applique la règle

-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOGDROP

Es-ce que c'est le fait que cette dernière soit avant la règle LOGACCEPT ?

Oui, l'ordre des règles compte.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Hugo Deprez a écrit :

Par contre ce que je ne saisis pas c'est pourquoi iptables, malgré ma règle

-A OUTPUT -s 192.16.0.1/32 -j LOGACCEPT

il applique la règle

-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOGDROP

Es-ce que c'est le fait que cette dernière soit avant la règle LOGACCEPT ?

Tu peux utiliser la commande "iptables -L -v" pour voir les compteurs
associés aux règles. Cela te permettra de connaître les règles qui sont
utilisées.


--
============================================= | FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto: |
==========================Þbian=GNU/Linux==
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

--00032555b6461e5982048c99dc97
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Merci à vous pour toutes ces informations utiles.

Hugo

2010/7/27 Frederic MASSOT

Hugo Deprez a écrit :

Par contre ce que je ne saisis pas c'est pourquoi iptables, malgré m a
règle

-A OUTPUT -s 192.16.0.1/32 -j LOGACCEPT

il applique la règle

-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j
LOGDROP

Es-ce que c'est le fait que cette dernière soit avant la règle LOGA CCEPT
?

Tu peux utiliser la commande "iptables -L -v" pour voir les compteurs
associés aux règles. Cela te permettra de connaître les règles qu i sont
utilisées.


--
======================== ======================
| FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto: |
======================== ==bian=GNU/Linux===


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/

--00032555b6461e5982048c99dc97
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Merci à vous pour toutes  ces informations utiles.<br><br>Hugo<br><br>< div class="gmail_quote">2010/7/27 Frederic MASSOT <span dir="ltr">&lt;< a href="mailto:"> ia.com</a>&gt;</span><br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; borde r-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"><div class="im" >Hugo Deprez a écrit :<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; borde r-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"><blockquote class ="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

<br>
Par contre ce que je ne saisis pas c&#39;est  pourquoi iptables, malgré ma règle<br>
<br>
-A OUTPUT -s <a href="http://192.16.0.1/32&quot; target="_blank">192.16.0.1/ 32</a> -j LOGACCEPT<br>
<br>
il applique la règle<br>
<br>
-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOGDROP <br>
<br>
Es-ce que c&#39;est le fait que cette dernière soit avant la règle LOGA CCEPT ?<br>
</blockquote></blockquote>
<br></div>
Tu peux utiliser la commande &quot;iptables -L -v&quot; pour voir les compt eurs associés aux règles. Cela te permettra de connaître les règles qui sont utilisées.<br>
<br>
<br>
-- <br>
========================= =====================<br>
|              FRÉDÉRIC MASSOT               |<br>
|     <a href="http://www.juliana-multimedia.com" target="_blank">h ttp://www.juliana-multimedia.com</a>      |<br>
|   mailto:<a href="mailto:" target="_ blank"></a>   |<br>
========================= =bian=GNU/Linux===<div class="im"><br>
<br>
-- <br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers <a href="mailto:" target ="_blank"></a><br>
En cas de soucis, contactez EN ANGLAIS <a href="mailto: ebian.org" target="_blank"></a><br></div>
Archive: <a href="http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/ edia.com" target="_blank">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/ a-multimedia.com</a><br>
<br>
</blockquote></div><br>

--00032555b6461e5982048c99dc97--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/AANLkTinE=X9cbZz4yXqYcf__m_f-v2L+