Une chose m'intrigue dans les logs de mon Firewall: quand le FW bloque
des paquets entrants, je vois que mon ordinateur répond quand même à
ces requètes par des envois de paquets UDP (bloqués par le FW) à l'IP
d'origine. Comment peut-il répondre à ces paquets alors qu'ils ont été
(en principe) bloqués? (je n'y connais pas grand chose)
Par exemple:
1,[29/Oct/2003 10:34:30] Rule '445': Blocked: In TCP,
218.21.xx.yyy:10566->localhost:445, Owner: SYSTEM
1,[29/Oct/2003 10:34:30] Rule 'UDP sortant': Blocked: Out UDP,
localhost:137->218.21.xx.yyy:137, Owner: SYSTEM
1,[29/Oct/2003 10:34:32] Rule 'UDP sortant': Blocked: Out UDP,
localhost:137->218.21.xx.yyy:137, Owner: SYSTEM
1,[29/Oct/2003 10:34:33] Rule '445': Blocked: In TCP,
218.21.xx.yyy:10566->localhost:445, Owner: SYSTEM
1,[29/Oct/2003 10:34:33] Rule 'UDP sortant': Blocked: Out UDP,
localhost:137->218.21.xx.yyy:137, Owner: SYSTEM
autre exemple:
1,[29/Oct/2003 09:01:20] Rule 'UDP/TCP entrant': Blocked: In TCP,
211.36.xxx.zz:1497->localhost:139, Owner: SYSTEM
2,[29/Oct/2003 09:01:21] Rule 'UDP sortant': Blocked: Out UDP,
localhost:137->211.36.xxx.zz:137, Owner: SYSTEM
2,[29/Oct/2003 09:01:23] Rule 'UDP sortant': Blocked: Out UDP,
localhost:137->211.36.xxx.zz:137, Owner: SYSTEM
C'est l'un des petits plaisirs de Windows ça. Lorsque le système n'arrive pas à résoudre un nom que l'on appèlera DNS pour simplifier, il essait de résoudre son nom NetBIOS. Dans l'esprit des gentils fumeu^Wprogrammeurs de Redmond, cela devait sans doute permettre de continuer à bénéficier de tous les petits plaisirs d'Internet si d'aventure l'ensemble des DNS tombait en panne. Etant entendu que seul le partage de fichier est un plaisir, évidement...
J'entends bien, mais aller demander son nom à la machine qui arrive, ça frise la débilité... Ça me fait penser à des trucs comme l'authentification des protocoles "en r" (rexec, rsh, rlogin, etc.) ou les mécanismes de "sécurité" s'appuyant sur le protocole ident.
Par contre, je ne comprend pas pourquoi KPF suivrait soudain la même logique.
C'est très logique au contraire. Dans un firewall personnel, tu as grosso modo deux parties :
. la partie filtrage . la partie GUI
Si la partie GUI a besoin de résoudre une IP, elle va demander au système de le faire (get_host_by_name). Le système va donc envoyer une requête qui va être traitée par la partie filtrage. Et pif paf.
C'est comme un système GNU/Linux avec le iptables -L qui rame parce que la DNS est bloquée. Tu vois où je veux en venir ?
--
J'ai lu quelque part qu'il y avait une maniere d'avoir des ACL avec Ext2fs. Ca se passe comment ? Ca se passe bien.
-+- Rémy in Guide du linuxien pervers - "Le serpent de mer repointe son nez"
Dans sa prose, Stephane Catteau nous ecrivait :
C'est l'un des petits plaisirs de Windows ça. Lorsque le système
n'arrive pas à résoudre un nom que l'on appèlera DNS pour simplifier,
il essait de résoudre son nom NetBIOS. Dans l'esprit des gentils
fumeu^Wprogrammeurs de Redmond, cela devait sans doute permettre de
continuer à bénéficier de tous les petits plaisirs d'Internet si
d'aventure l'ensemble des DNS tombait en panne. Etant entendu que seul le
partage de fichier est un plaisir, évidement...
J'entends bien, mais aller demander son nom à la machine qui arrive, ça
frise la débilité... Ça me fait penser à des trucs comme
l'authentification des protocoles "en r" (rexec, rsh, rlogin, etc.) ou les
mécanismes de "sécurité" s'appuyant sur le protocole ident.
Par contre, je ne comprend pas pourquoi KPF suivrait soudain la même
logique.
C'est très logique au contraire. Dans un firewall personnel, tu as grosso
modo deux parties :
. la partie filtrage
. la partie GUI
Si la partie GUI a besoin de résoudre une IP, elle va demander au
système de le faire (get_host_by_name). Le système va donc envoyer une
requête qui va être traitée par la partie filtrage. Et pif paf.
C'est comme un système GNU/Linux avec le iptables -L qui rame parce que
la DNS est bloquée. Tu vois où je veux en venir ?
--
J'ai lu quelque part qu'il y avait une maniere d'avoir des ACL avec
Ext2fs. Ca se passe comment ?
Ca se passe bien.
-+- Rémy in Guide du linuxien pervers - "Le serpent de mer repointe son nez"
C'est l'un des petits plaisirs de Windows ça. Lorsque le système n'arrive pas à résoudre un nom que l'on appèlera DNS pour simplifier, il essait de résoudre son nom NetBIOS. Dans l'esprit des gentils fumeu^Wprogrammeurs de Redmond, cela devait sans doute permettre de continuer à bénéficier de tous les petits plaisirs d'Internet si d'aventure l'ensemble des DNS tombait en panne. Etant entendu que seul le partage de fichier est un plaisir, évidement...
J'entends bien, mais aller demander son nom à la machine qui arrive, ça frise la débilité... Ça me fait penser à des trucs comme l'authentification des protocoles "en r" (rexec, rsh, rlogin, etc.) ou les mécanismes de "sécurité" s'appuyant sur le protocole ident.
Par contre, je ne comprend pas pourquoi KPF suivrait soudain la même logique.
C'est très logique au contraire. Dans un firewall personnel, tu as grosso modo deux parties :
. la partie filtrage . la partie GUI
Si la partie GUI a besoin de résoudre une IP, elle va demander au système de le faire (get_host_by_name). Le système va donc envoyer une requête qui va être traitée par la partie filtrage. Et pif paf.
C'est comme un système GNU/Linux avec le iptables -L qui rame parce que la DNS est bloquée. Tu vois où je veux en venir ?
--
J'ai lu quelque part qu'il y avait une maniere d'avoir des ACL avec Ext2fs. Ca se passe comment ? Ca se passe bien.
-+- Rémy in Guide du linuxien pervers - "Le serpent de mer repointe son nez"
tchelaviek
J'entends bien, mais aller demander son nom à la machine qui arrive, ça frise la débilité...
Et ça ne date pas d'aujourd'hui... c'est, comme on dit, historique. J'arrête l'ironie. Je pense que le problème de fond vient du fait que OuinOuin ne fait pas la distinction entre les connexions aux réseaux publics sur lesquels il n'a pas réussi à imposer ses normes et les connexions aux LANs sur lesquels les standards de fait passent plus facilement. Si ça peut suggérer quelque chose pour les futures versions...
[snip]
Si la partie GUI a besoin de résoudre une IP, elle va demander au système de le faire (get_host_by_name).
gethostbyaddr ! Toc toc! Bonjour, Monsieur 218.21.xx.yyy, c'est vous qui venez de tenter de vous connecter ? Passque moi je suis un OuinOuin et que si vous êtes un OuinOuin aussi et qu'entre nous, on s'appelle par notre petit nom NetBIOS, pourriez-vous me le donner, c'est pour mes logs. :->
-- tchel
J'entends bien, mais aller demander son nom à la machine qui arrive, ça
frise la débilité...
Et ça ne date pas d'aujourd'hui... c'est, comme on dit, historique.
J'arrête l'ironie. Je pense que le problème de fond vient du fait que
OuinOuin ne fait pas la distinction entre les connexions aux réseaux
publics sur lesquels il n'a pas réussi à imposer ses normes et les
connexions aux LANs sur lesquels les standards de fait passent plus
facilement.
Si ça peut suggérer quelque chose pour les futures versions...
[snip]
Si la partie GUI a besoin de résoudre une IP, elle va demander au
système de le faire (get_host_by_name).
gethostbyaddr !
Toc toc! Bonjour, Monsieur 218.21.xx.yyy, c'est vous qui venez de tenter
de vous connecter ? Passque moi je suis un OuinOuin et que si vous êtes
un OuinOuin aussi et qu'entre nous, on s'appelle par notre petit nom
NetBIOS, pourriez-vous me le donner, c'est pour mes logs. :->
J'entends bien, mais aller demander son nom à la machine qui arrive, ça frise la débilité...
Et ça ne date pas d'aujourd'hui... c'est, comme on dit, historique. J'arrête l'ironie. Je pense que le problème de fond vient du fait que OuinOuin ne fait pas la distinction entre les connexions aux réseaux publics sur lesquels il n'a pas réussi à imposer ses normes et les connexions aux LANs sur lesquels les standards de fait passent plus facilement. Si ça peut suggérer quelque chose pour les futures versions...
[snip]
Si la partie GUI a besoin de résoudre une IP, elle va demander au système de le faire (get_host_by_name).
gethostbyaddr ! Toc toc! Bonjour, Monsieur 218.21.xx.yyy, c'est vous qui venez de tenter de vous connecter ? Passque moi je suis un OuinOuin et que si vous êtes un OuinOuin aussi et qu'entre nous, on s'appelle par notre petit nom NetBIOS, pourriez-vous me le donner, c'est pour mes logs. :->
-- tchel
Cedric Blancher
Dans sa prose, tchelaviek nous ecrivait :
Si la partie GUI a besoin de résoudre une IP, elle va demander au système de le faire (get_host_by_name). gethostbyaddr !
C'est clair, faut que je change de café...
-- je m'étonne que des gens puissent perdre du temps à dire non. Le webest un bon espace de création, et il y a toujours des trouduculs pour vouloir freiner un nouvel essor. -+- Zéro in: Guide du Neuneu d'Usenet - Bien voter dans le trou -+-
Dans sa prose, tchelaviek nous ecrivait :
Si la partie GUI a besoin de résoudre une IP, elle va demander au
système de le faire (get_host_by_name).
gethostbyaddr !
C'est clair, faut que je change de café...
--
je m'étonne que des gens puissent perdre du temps à dire non. Le webest
un bon espace de création, et il y a toujours des trouduculs pour
vouloir freiner un nouvel essor.
-+- Zéro in: Guide du Neuneu d'Usenet - Bien voter dans le trou -+-
Si la partie GUI a besoin de résoudre une IP, elle va demander au système de le faire (get_host_by_name). gethostbyaddr !
C'est clair, faut que je change de café...
-- je m'étonne que des gens puissent perdre du temps à dire non. Le webest un bon espace de création, et il y a toujours des trouduculs pour vouloir freiner un nouvel essor. -+- Zéro in: Guide du Neuneu d'Usenet - Bien voter dans le trou -+-
Thierry
Bonjour,
Stephane Catteau a écrit :
Euh... :-( :-/ Tu as essayé en modifiant ta règle en 130, 131, 132, 133, etc, bref sans utiliser "130-139", dès fois que ce soit juste un problème de Kerio à ce niveau là ?
Murphy etant passé par là*, j'ai remis une image Ghost du systeme et je n'en vois plus avec ces même regles... bizarre.
(*Par zèle j'ai osé essayer d'installer le SP4).
-- "MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
Bonjour,
Stephane Catteau a écrit :
Euh... :-( :-/ Tu as essayé en modifiant ta règle en 130, 131, 132,
133, etc, bref sans utiliser "130-139", dès fois que ce soit juste un
problème de Kerio à ce niveau là ?
Murphy etant passé par là*, j'ai remis une image Ghost du systeme et je
n'en vois plus avec ces même regles... bizarre.
(*Par zèle j'ai osé essayer d'installer le SP4).
--
"MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
Euh... :-( :-/ Tu as essayé en modifiant ta règle en 130, 131, 132, 133, etc, bref sans utiliser "130-139", dès fois que ce soit juste un problème de Kerio à ce niveau là ?
Murphy etant passé par là*, j'ai remis une image Ghost du systeme et je n'en vois plus avec ces même regles... bizarre.
(*Par zèle j'ai osé essayer d'installer le SP4).
-- "MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
Christophe GIAUME
On 03 Nov 2003 09:19:17 GMT, Cedric Blancher wrote:
J'entends bien, mais aller demander son nom à la machine qui arrive, ça frise la débilité... Ça me fait penser à des trucs comme l'authentification des protocoles "en r" (rexec, rsh, rlogin, etc.) ou les mécanismes de "sécurité" s'appuyant sur le protocole ident.
Hu? rsh n'utilise pas ident ! Il utilise le mécanisme d'interdiction des ports <1024 aux utilisateurs non root. La connection sort de la machine cliente par un port <1024 et le serveur considère alors que le nom d'utilisateur communiqué par le client est digne de confiance puisque communiqué par un process contrôlé par (Sur un réseau de confiance ça va bien, mais quand on n'a pas confiance en ou en le réseau, rsh n'est plus adapté¹).
¹ ceci serait également vrai si rsh utilisait ident, puisque celui-ci utilise un port <1024, mais ce n'est pas le cas.
C'est d'ailleurs pour cette raison que rsh est suid root.
:~% ls -l =rsh -rwsr-xr-x 1 root root 7560 Jan 29 2000 /usr/bin/rsh* :~%
Extrait d'un strace de rsh -l toto myhost (en tant que root à cause du suid):
"root" et "toto" correspondent respectivement à l'utilisateur local et à l'utilisateur distant.
CG
-- "pffff, auscour, n'imp!" -- Edhel
On 03 Nov 2003 09:19:17 GMT, Cedric Blancher wrote:
J'entends bien, mais aller demander son nom à la machine qui arrive, ça
frise la débilité... Ça me fait penser à des trucs comme
l'authentification des protocoles "en r" (rexec, rsh, rlogin, etc.) ou les
mécanismes de "sécurité" s'appuyant sur le protocole ident.
Hu? rsh n'utilise pas ident ! Il utilise le mécanisme d'interdiction
des ports <1024 aux utilisateurs non root. La connection sort de la
machine cliente par un port <1024 et le serveur considère alors que le
nom d'utilisateur communiqué par le client est digne de confiance
puisque communiqué par un process contrôlé par root@client. (Sur un
réseau de confiance ça va bien, mais quand on n'a pas confiance en
root@client ou en le réseau, rsh n'est plus adapté¹).
¹ ceci serait également vrai si rsh utilisait ident, puisque celui-ci
utilise un port <1024, mais ce n'est pas le cas.
C'est d'ailleurs pour cette raison que rsh est suid root.
cg@galois:~% ls -l =rsh
-rwsr-xr-x 1 root root 7560 Jan 29 2000 /usr/bin/rsh*
cg@galois:~%
Extrait d'un strace de rsh -l toto myhost
(en tant que root à cause du suid):
On 03 Nov 2003 09:19:17 GMT, Cedric Blancher wrote:
J'entends bien, mais aller demander son nom à la machine qui arrive, ça frise la débilité... Ça me fait penser à des trucs comme l'authentification des protocoles "en r" (rexec, rsh, rlogin, etc.) ou les mécanismes de "sécurité" s'appuyant sur le protocole ident.
Hu? rsh n'utilise pas ident ! Il utilise le mécanisme d'interdiction des ports <1024 aux utilisateurs non root. La connection sort de la machine cliente par un port <1024 et le serveur considère alors que le nom d'utilisateur communiqué par le client est digne de confiance puisque communiqué par un process contrôlé par (Sur un réseau de confiance ça va bien, mais quand on n'a pas confiance en ou en le réseau, rsh n'est plus adapté¹).
¹ ceci serait également vrai si rsh utilisait ident, puisque celui-ci utilise un port <1024, mais ce n'est pas le cas.
C'est d'ailleurs pour cette raison que rsh est suid root.
:~% ls -l =rsh -rwsr-xr-x 1 root root 7560 Jan 29 2000 /usr/bin/rsh* :~%
Extrait d'un strace de rsh -l toto myhost (en tant que root à cause du suid):
"root" et "toto" correspondent respectivement à l'utilisateur local et à l'utilisateur distant.
CG
-- "pffff, auscour, n'imp!" -- Edhel
Cedric Blancher
Dans sa prose, Christophe GIAUME nous ecrivait :
On 03 Nov 2003 09:19:17 GMT, Cedric Blancher wrote:
J'entends bien, mais aller demander son nom à la machine qui arrive, ça frise la débilité... Ça me fait penser à des trucs comme l'authentification des protocoles "en r" (rexec, rsh, rlogin, etc.) ou les mécanismes de "sécurité" s'appuyant sur le protocole ident. Hu? rsh n'utilise pas ident !
C'est pour ça que j'écris "des trucs comme l'authentification des protocoles "en r" [...] OU les mécanismes de "sécurité" s'appuyant sur le protocole ident". Ce qui en français veut dire :
des trucs comme l'authentification des protocoles en r ou des trucs comme les mécanismes de "sécurité" s'appuyant sur le protocole ident
Si c'est super de savoir comment marche rsh, savoir lire, c'est encore mieux.
-- BOFH excuse #322:
Your Pentium has a heating problem - try cooling it with ice cold water.(Do not turn of your computer, you do not want to cool down the Pentium Chip while he isn't working, do you?)
Dans sa prose, Christophe GIAUME nous ecrivait :
On 03 Nov 2003 09:19:17 GMT, Cedric Blancher wrote:
J'entends bien, mais aller demander son nom à la machine qui arrive,
ça frise la débilité... Ça me fait penser à des trucs comme
l'authentification des protocoles "en r" (rexec, rsh, rlogin, etc.) ou
les mécanismes de "sécurité" s'appuyant sur le protocole ident.
Hu? rsh n'utilise pas ident !
C'est pour ça que j'écris "des trucs comme l'authentification des
protocoles "en r" [...] OU les mécanismes de "sécurité" s'appuyant sur
le protocole ident". Ce qui en français veut dire :
des trucs comme l'authentification des protocoles en r ou
des trucs comme les mécanismes de "sécurité" s'appuyant sur
le protocole ident
Si c'est super de savoir comment marche rsh, savoir lire, c'est encore
mieux.
--
BOFH excuse #322:
Your Pentium has a heating problem - try cooling it with ice cold water.(Do
not turn of your computer, you do not want to cool down the Pentium Chip
while he isn't working, do you?)
On 03 Nov 2003 09:19:17 GMT, Cedric Blancher wrote:
J'entends bien, mais aller demander son nom à la machine qui arrive, ça frise la débilité... Ça me fait penser à des trucs comme l'authentification des protocoles "en r" (rexec, rsh, rlogin, etc.) ou les mécanismes de "sécurité" s'appuyant sur le protocole ident. Hu? rsh n'utilise pas ident !
C'est pour ça que j'écris "des trucs comme l'authentification des protocoles "en r" [...] OU les mécanismes de "sécurité" s'appuyant sur le protocole ident". Ce qui en français veut dire :
des trucs comme l'authentification des protocoles en r ou des trucs comme les mécanismes de "sécurité" s'appuyant sur le protocole ident
Si c'est super de savoir comment marche rsh, savoir lire, c'est encore mieux.
-- BOFH excuse #322:
Your Pentium has a heating problem - try cooling it with ice cold water.(Do not turn of your computer, you do not want to cool down the Pentium Chip while he isn't working, do you?)
Christophe GIAUME
On 05 Nov 2003 10:55:16 GMT, Cedric Blancher wrote:
Si c'est super de savoir comment marche rsh, savoir lire, c'est encore mieux.
Oops, au temps pour moi !
CG
-- "Quand je fais cuire du riz, j'écoute toujours du rock'n roll." -- Oncle Bens
On 05 Nov 2003 10:55:16 GMT, Cedric Blancher wrote:
Si c'est super de savoir comment marche rsh, savoir lire, c'est encore
mieux.
Oops, au temps pour moi !
CG
--
"Quand je fais cuire du riz, j'écoute toujours du rock'n roll." -- Oncle Bens
