Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
ronald
On Tue, 12 Aug 2003 16:10:27 +0000, Bottle Nick wrote:
Bonjour,
Quelles règles faut-il ajouter à iptables pour protéger le serveur x en entrée ? Portable, slackware 9.0
Merci Si tu n'as pas l'utilité d'avoir X en écoute rajoutes simplement un
-nolisten tcp dans /etc/X11/xdm/Xservers ou fichier de config de gdm, kdm. Sinon pour iptables une règle simple pourrait etre -A INPUT -p tcp --dport 6000 -j DROP. Voir après avec les règles déjà définies et l'utilisation que tu fais du serveur.
On Tue, 12 Aug 2003 16:10:27 +0000, Bottle Nick wrote:
Bonjour,
Quelles règles faut-il ajouter à iptables pour protéger le serveur x
en entrée ? Portable, slackware 9.0
Merci
Si tu n'as pas l'utilité d'avoir X en écoute rajoutes simplement un
-nolisten tcp dans /etc/X11/xdm/Xservers ou fichier de config de gdm, kdm.
Sinon pour iptables une règle simple pourrait etre -A INPUT -p tcp
--dport 6000 -j DROP. Voir après avec les règles déjà définies et
l'utilisation que tu fais du serveur.
On Tue, 12 Aug 2003 16:10:27 +0000, Bottle Nick wrote:
Bonjour,
Quelles règles faut-il ajouter à iptables pour protéger le serveur x en entrée ? Portable, slackware 9.0
Merci Si tu n'as pas l'utilité d'avoir X en écoute rajoutes simplement un
-nolisten tcp dans /etc/X11/xdm/Xservers ou fichier de config de gdm, kdm. Sinon pour iptables une règle simple pourrait etre -A INPUT -p tcp --dport 6000 -j DROP. Voir après avec les règles déjà définies et l'utilisation que tu fais du serveur.
Djoume SALVETTI
-A INPUT -p tcp --dport 6000 -j DROP
Petit détail : les port 6000 à 6010 peuvent être utilisés par X en tcp et en udp (voir par exemple /etc/services) donc je mettrais plutot ces lignes :
iptables -A INPUT -p tcp --dport 6000:6010 -j DROP iptables -A INPUT -p udp --dport 6000:6010 -j DROP
-- ((lambda (foo) (bar foo)) (baz))
-A INPUT -p tcp --dport 6000 -j DROP
Petit détail : les port 6000 à 6010 peuvent être utilisés par X en tcp
et en udp (voir par exemple /etc/services) donc je mettrais plutot ces
lignes :
iptables -A INPUT -p tcp --dport 6000:6010 -j DROP
iptables -A INPUT -p udp --dport 6000:6010 -j DROP
Petit détail : les port 6000 à 6010 peuvent être utilisés par X en tcp et en udp (voir par exemple /etc/services) donc je mettrais plutot ces lignes :
iptables -A INPUT -p tcp --dport 6000:6010 -j DROP iptables -A INPUT -p udp --dport 6000:6010 -j DROP
-- ((lambda (foo) (bar foo)) (baz))
ronald
On Wed, 13 Aug 2003 15:07:41 +0000, Djoume SALVETTI wrote:
-A INPUT -p tcp --dport 6000 -j DROP
Petit détail : les port 6000 à 6010 peuvent être utilisés par X en tcp et en udp (voir par exemple /etc/services) donc je mettrais plutot ces lignes :
iptables -A INPUT -p tcp --dport 6000:6010 -j DROP iptables -A INPUT -p udp --dport 6000:6010 -j DROP Pour udp, je voudrais bien plus d'infos, qu'est ce que te donnes netstat
-ua? Quand à la règle elle se voulait simple, bien sûr, et il n'etait question que du port 6000, le premier DISPLAY. Notes aussi que ces règles ne sont pas necessaire si la politique par défaut est en DROP, d'où mon 'voir le set existant'.
On Wed, 13 Aug 2003 15:07:41 +0000, Djoume SALVETTI wrote:
-A INPUT -p tcp --dport 6000 -j DROP
Petit détail : les port 6000 à 6010 peuvent être utilisés par X en tcp
et en udp (voir par exemple /etc/services) donc je mettrais plutot ces
lignes :
iptables -A INPUT -p tcp --dport 6000:6010 -j DROP
iptables -A INPUT -p udp --dport 6000:6010 -j DROP
Pour udp, je voudrais bien plus d'infos, qu'est ce que te donnes netstat
-ua?
Quand à la règle elle se voulait simple, bien sûr, et il n'etait question
que du port 6000, le premier DISPLAY.
Notes aussi que ces règles ne sont pas necessaire si la politique
par défaut est en DROP, d'où mon 'voir le set existant'.
On Wed, 13 Aug 2003 15:07:41 +0000, Djoume SALVETTI wrote:
-A INPUT -p tcp --dport 6000 -j DROP
Petit détail : les port 6000 à 6010 peuvent être utilisés par X en tcp et en udp (voir par exemple /etc/services) donc je mettrais plutot ces lignes :
iptables -A INPUT -p tcp --dport 6000:6010 -j DROP iptables -A INPUT -p udp --dport 6000:6010 -j DROP Pour udp, je voudrais bien plus d'infos, qu'est ce que te donnes netstat
-ua? Quand à la règle elle se voulait simple, bien sûr, et il n'etait question que du port 6000, le premier DISPLAY. Notes aussi que ces règles ne sont pas necessaire si la politique par défaut est en DROP, d'où mon 'voir le set existant'.
Vincent Bernat
OoO Lors de la soirée naissante du mercredi 13 août 2003, vers 17:07, Djoume SALVETTI disait:
-A INPUT -p tcp --dport 6000 -j DROP
Petit détail : les port 6000 à 6010 peuvent être utilisés par X en tcp et en udp (voir par exemple /etc/services) donc je mettrais plutot ces lignes :
Voire plus, a priori, il n'y a pas de limite supérieure. Mais ces ports ne sont pas alloués au hasard : généralement, quand on a 5 ou 6 serveurs X qui tournent sur la machine, on est au courant :) -- printk("ufs_read_super: fucking Sun blows men"); 2.0.38 /usr/src/linux/fs/ufs/ufs_super.c
OoO Lors de la soirée naissante du mercredi 13 août 2003, vers 17:07,
Djoume SALVETTI <salvetti@crans.org> disait:
-A INPUT -p tcp --dport 6000 -j DROP
Petit détail : les port 6000 à 6010 peuvent être utilisés par X en tcp
et en udp (voir par exemple /etc/services) donc je mettrais plutot ces
lignes :
Voire plus, a priori, il n'y a pas de limite supérieure. Mais ces
ports ne sont pas alloués au hasard : généralement, quand on a 5 ou 6
serveurs X qui tournent sur la machine, on est au courant :)
--
printk("ufs_read_super: fucking Sun blows men");
2.0.38 /usr/src/linux/fs/ufs/ufs_super.c
OoO Lors de la soirée naissante du mercredi 13 août 2003, vers 17:07, Djoume SALVETTI disait:
-A INPUT -p tcp --dport 6000 -j DROP
Petit détail : les port 6000 à 6010 peuvent être utilisés par X en tcp et en udp (voir par exemple /etc/services) donc je mettrais plutot ces lignes :
Voire plus, a priori, il n'y a pas de limite supérieure. Mais ces ports ne sont pas alloués au hasard : généralement, quand on a 5 ou 6 serveurs X qui tournent sur la machine, on est au courant :) -- printk("ufs_read_super: fucking Sun blows men"); 2.0.38 /usr/src/linux/fs/ufs/ufs_super.c
Erwan David
Vincent Bernat écrivait :
OoO Lors de la soirée naissante du mercredi 13 août 2003, vers 17:07, Djoume SALVETTI disait:
-A INPUT -p tcp --dport 6000 -j DROP
Petit détail : les port 6000 à 6010 peuvent être utilisés par X en tcp et en udp (voir par exemple /etc/services) donc je mettrais plutot ces lignes :
Voire plus, a priori, il n'y a pas de limite supérieure. Mais ces ports ne sont pas alloués au hasard : généralement, quand on a 5 ou 6 serveurs X qui tournent sur la machine, on est au courant :)
Il suffit de 5 ou 6 personnes connectées en ssh avec X forwarding...
Vincent Bernat <vincent.bernat@raysa.org> écrivait :
OoO Lors de la soirée naissante du mercredi 13 août 2003, vers 17:07,
Djoume SALVETTI <salvetti@crans.org> disait:
-A INPUT -p tcp --dport 6000 -j DROP
Petit détail : les port 6000 à 6010 peuvent être utilisés par X en tcp
et en udp (voir par exemple /etc/services) donc je mettrais plutot ces
lignes :
Voire plus, a priori, il n'y a pas de limite supérieure. Mais ces
ports ne sont pas alloués au hasard : généralement, quand on a 5 ou 6
serveurs X qui tournent sur la machine, on est au courant :)
Il suffit de 5 ou 6 personnes connectées en ssh avec X forwarding...
OoO Lors de la soirée naissante du mercredi 13 août 2003, vers 17:07, Djoume SALVETTI disait:
-A INPUT -p tcp --dport 6000 -j DROP
Petit détail : les port 6000 à 6010 peuvent être utilisés par X en tcp et en udp (voir par exemple /etc/services) donc je mettrais plutot ces lignes :
Voire plus, a priori, il n'y a pas de limite supérieure. Mais ces ports ne sont pas alloués au hasard : généralement, quand on a 5 ou 6 serveurs X qui tournent sur la machine, on est au courant :)
Il suffit de 5 ou 6 personnes connectées en ssh avec X forwarding...
Cedric Blancher
Dans sa prose, Erwan David nous ecrivait :
Voire plus, a priori, il n'y a pas de limite supérieure. Mais ces ports ne sont pas alloués au hasard : généralement, quand on a 5 ou 6 serveurs X qui tournent sur la machine, on est au courant :) Il suffit de 5 ou 6 personnes connectées en ssh avec X forwarding...
Quand tu te logues sur une station en SSH avec X Forwarding, tu ne lances pas de serveur X sur cette station. Tu rediriges les connexions X que tu inities sur _ton_ serveur X local.
-- MR: J'ai beaucoup entendu parler de fcol, mais je n'y suis jamais alle MR: jeter un oeil.... c'est quoi l'adresse ? CL: Tu viens d'y poster :) -+- in Guide de linuxien pervers : "Termes abscons..." -+-
Dans sa prose, Erwan David nous ecrivait :
Voire plus, a priori, il n'y a pas de limite supérieure. Mais ces
ports ne sont pas alloués au hasard : généralement, quand on a 5 ou
6 serveurs X qui tournent sur la machine, on est au courant :)
Il suffit de 5 ou 6 personnes connectées en ssh avec X forwarding...
Quand tu te logues sur une station en SSH avec X Forwarding, tu ne lances
pas de serveur X sur cette station. Tu rediriges les connexions X que tu
inities sur _ton_ serveur X local.
--
MR: J'ai beaucoup entendu parler de fcol, mais je n'y suis jamais alle
MR: jeter un oeil.... c'est quoi l'adresse ?
CL: Tu viens d'y poster :)
-+- in Guide de linuxien pervers : "Termes abscons..." -+-
Voire plus, a priori, il n'y a pas de limite supérieure. Mais ces ports ne sont pas alloués au hasard : généralement, quand on a 5 ou 6 serveurs X qui tournent sur la machine, on est au courant :) Il suffit de 5 ou 6 personnes connectées en ssh avec X forwarding...
Quand tu te logues sur une station en SSH avec X Forwarding, tu ne lances pas de serveur X sur cette station. Tu rediriges les connexions X que tu inities sur _ton_ serveur X local.
-- MR: J'ai beaucoup entendu parler de fcol, mais je n'y suis jamais alle MR: jeter un oeil.... c'est quoi l'adresse ? CL: Tu viens d'y poster :) -+- in Guide de linuxien pervers : "Termes abscons..." -+-
Djoume SALVETTI
Pour udp, je voudrais bien plus d'infos, qu'est ce que te donnes netstat -ua?
Rien puisque j'ai dit à mon X de ne rien écouter sur le réseau (je n'ai pas plus d'infos sur l'utilisation que X peut faire de ses ports udp, j'ai juste vu qu'il y en avait de "réservé" dans /etc/services)
Notes aussi que ces règles ne sont pas necessaire si la politique par défaut est en DROP, d'où mon 'voir le set existant'.
Oui, il vaudrait *beaucoup* mieux faire comme ça d'ailleurs (mettre une policy DROP et n'ouvrir que ce qui est nécessaire plutôt que l'inverse).
-- C is quirky, flawed, and an enormous success -- Dennis M. Ritchie
Pour udp, je voudrais bien plus d'infos, qu'est ce que te donnes netstat
-ua?
Rien puisque j'ai dit à mon X de ne rien écouter sur le réseau (je n'ai
pas plus d'infos sur l'utilisation que X peut faire de ses ports udp,
j'ai juste vu qu'il y en avait de "réservé" dans /etc/services)
Notes aussi que ces règles ne sont pas necessaire si la politique
par défaut est en DROP, d'où mon 'voir le set existant'.
Oui, il vaudrait *beaucoup* mieux faire comme ça d'ailleurs (mettre une
policy DROP et n'ouvrir que ce qui est nécessaire plutôt que l'inverse).
--
C is quirky, flawed, and an enormous success
-- Dennis M. Ritchie
Pour udp, je voudrais bien plus d'infos, qu'est ce que te donnes netstat -ua?
Rien puisque j'ai dit à mon X de ne rien écouter sur le réseau (je n'ai pas plus d'infos sur l'utilisation que X peut faire de ses ports udp, j'ai juste vu qu'il y en avait de "réservé" dans /etc/services)
Notes aussi que ces règles ne sont pas necessaire si la politique par défaut est en DROP, d'où mon 'voir le set existant'.
Oui, il vaudrait *beaucoup* mieux faire comme ça d'ailleurs (mettre une policy DROP et n'ouvrir que ce qui est nécessaire plutôt que l'inverse).
-- C is quirky, flawed, and an enormous success -- Dennis M. Ritchie
Erwan David
Cedric Blancher écrivait :
Dans sa prose, Erwan David nous ecrivait :
Voire plus, a priori, il n'y a pas de limite supérieure. Mais ces ports ne sont pas alloués au hasard : généralement, quand on a 5 ou 6 serveurs X qui tournent sur la machine, on est au courant :) Il suffit de 5 ou 6 personnes connectées en ssh avec X forwarding...
Quand tu te logues sur une station en SSH avec X Forwarding, tu ne lances pas de serveur X sur cette station. Tu rediriges les connexions X que tu inities sur _ton_ serveur X local.
Oui, mais ça suffit pour ouvrir les ports, et c'est bien de ça qu'on parlait.
Voire plus, a priori, il n'y a pas de limite supérieure. Mais ces
ports ne sont pas alloués au hasard : généralement, quand on a 5 ou
6 serveurs X qui tournent sur la machine, on est au courant :)
Il suffit de 5 ou 6 personnes connectées en ssh avec X forwarding...
Quand tu te logues sur une station en SSH avec X Forwarding, tu ne lances
pas de serveur X sur cette station. Tu rediriges les connexions X que tu
inities sur _ton_ serveur X local.
Oui, mais ça suffit pour ouvrir les ports, et c'est bien de ça qu'on parlait.
Voire plus, a priori, il n'y a pas de limite supérieure. Mais ces ports ne sont pas alloués au hasard : généralement, quand on a 5 ou 6 serveurs X qui tournent sur la machine, on est au courant :) Il suffit de 5 ou 6 personnes connectées en ssh avec X forwarding...
Quand tu te logues sur une station en SSH avec X Forwarding, tu ne lances pas de serveur X sur cette station. Tu rediriges les connexions X que tu inities sur _ton_ serveur X local.
Oui, mais ça suffit pour ouvrir les ports, et c'est bien de ça qu'on parlait.
ronald
On Thu, 14 Aug 2003 16:03:36 +0000, Erwan David wrote:
Il suffit de 5 ou 6 personnes connectées en ssh avec X forwarding...
Quand tu te logues sur une station en SSH avec X Forwarding, tu ne lances pas de serveur X sur cette station. Tu rediriges les connexions X que tu inities sur _ton_ serveur X local.
Oui, mais ça suffit pour ouvrir les ports, et c'est bien de ça qu'on parlait. D'accord, mais si tu actives le forwarding quel intéret alors de bloquer les
ports d'une façon aussi radicale?
On Thu, 14 Aug 2003 16:03:36 +0000, Erwan David wrote:
Il suffit de 5 ou 6 personnes connectées en ssh avec X forwarding...
Quand tu te logues sur une station en SSH avec X Forwarding, tu ne lances
pas de serveur X sur cette station. Tu rediriges les connexions X que tu
inities sur _ton_ serveur X local.
Oui, mais ça suffit pour ouvrir les ports, et c'est bien de ça qu'on parlait.
D'accord, mais si tu actives le forwarding quel intéret alors de bloquer les
On Thu, 14 Aug 2003 16:03:36 +0000, Erwan David wrote:
Il suffit de 5 ou 6 personnes connectées en ssh avec X forwarding...
Quand tu te logues sur une station en SSH avec X Forwarding, tu ne lances pas de serveur X sur cette station. Tu rediriges les connexions X que tu inities sur _ton_ serveur X local.
Oui, mais ça suffit pour ouvrir les ports, et c'est bien de ça qu'on parlait. D'accord, mais si tu actives le forwarding quel intéret alors de bloquer les
