J'ai un routeur connecté à Internet en PPPoE sous FreeBSD 5.2 et un réseau
local composé de plusieurs machines.
=> A partir d'une machine présente sur le réseau local, j'envoie, sur un
port ouvert de mon FreeBSD, un paquet avec le flag TCP FIN de positionné :
je n'ai aucune réponse (ce qui est normal vu les recommandations des RFC).
=> A partir d'une machine présente sur Internet, j'envoie, sur un port
ouvert de mon FreeBSD, un paquet avec le flag TCP FIN de positionné :
j'obtiens une reponse alors que je ne devrais pas.
QUESTION : comment expliquer ces résultats ? N'existe t-il pas qu'une seule
stack TCP/IP à l'intérieur de FreeBSD.
Merci à tous ceux qui liront ce post jusqu'au bout.
QUESTION : comment expliquer ces résultats ? N'existe t-il pas qu'une seule stack TCP/IP à l'intérieur de FreeBSD.
quelles sont les règles de filtrage sur la machines ? Quelle est cette réponse ?
pierre
-- Pierre LALET -- http://pierre.droids-corp.org/ Droids Corporation -- http://www.droids-corp.org/ French Honeynet Project -- http://www.frenchhoneynet.org/ Sebek *BSD -- http://honeynet.droids-corp.org/
Angelot
Bonjour Julien,
QUESTION : comment expliquer ces résultats ? N'existe t-il pas qu'une seule
stack TCP/IP à l'intérieur de FreeBSD.
Si vous envoyiez les traces réelles, ce serait plus explicite. Je doute fort qu'en transmettant un seul segment TCP sans aucun échange préalable, sans notion de numéro de séquence et de numéro d'acquittement, sans valeur de fenêtre, on puisse comprendre.
Cordialement, Angelot
Bonjour Julien,
QUESTION : comment expliquer ces résultats ? N'existe t-il pas qu'une
seule
stack TCP/IP à l'intérieur de FreeBSD.
Si vous envoyiez les traces réelles, ce serait plus explicite. Je doute fort
qu'en transmettant un seul segment TCP sans aucun échange préalable, sans
notion de numéro de séquence et de numéro d'acquittement, sans valeur de
fenêtre, on puisse comprendre.
QUESTION : comment expliquer ces résultats ? N'existe t-il pas qu'une seule
stack TCP/IP à l'intérieur de FreeBSD.
Si vous envoyiez les traces réelles, ce serait plus explicite. Je doute fort qu'en transmettant un seul segment TCP sans aucun échange préalable, sans notion de numéro de séquence et de numéro d'acquittement, sans valeur de fenêtre, on puisse comprendre.
Cordialement, Angelot
Julien
quelles sont les règles de filtrage sur la machines ? Quelle est cette réponse ?
J'utilise ipfw avec un blocage par défaut (deny) de tous les ports non explicitement ouverts. Ma machine est pingable sur les deux interfaces.
Du coté réseau : - Le paquet envoyé est un paquet avec le flag FIN - Aucun paquet n'est réceptionné
Du coté Internet : - Le paquet envoyé est un paquet avec le flag FIN - Le paquet réceptionné est un paquet avec les flags PUSH / RST / SYN
Ma question peut etre plus spécifique : pourquoi deux réponses sur deux interfaces différentes ?
Si vous voulez plus d'informations n'hésitez pas.
Merci.
Julien
quelles sont les règles de filtrage sur la machines ? Quelle est cette
réponse ?
J'utilise ipfw avec un blocage par défaut (deny) de tous les ports non
explicitement ouverts.
Ma machine est pingable sur les deux interfaces.
Du coté réseau :
- Le paquet envoyé est un paquet avec le flag FIN
- Aucun paquet n'est réceptionné
Du coté Internet :
- Le paquet envoyé est un paquet avec le flag FIN
- Le paquet réceptionné est un paquet avec les flags PUSH / RST / SYN
Ma question peut etre plus spécifique : pourquoi deux réponses sur deux
interfaces différentes ?
QUESTION : comment expliquer ces résultats ? N'existe t-il pas qu'une seule stack TCP/IP à l'intérieur de FreeBSD.
Si, donc je pencherai pour un problème de filtrage. Désactivez ipf et regardez le résultat pour nous oter ce doute :-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Julien
Si vous envoyiez les traces réelles, ce serait plus explicite. Je doute fort
qu'en transmettant un seul segment TCP sans aucun échange préalable, sans notion de numéro de séquence et de numéro d'acquittement, sans valeur de fenêtre, on puisse comprendre.
Merci pour la réponse.
J'ai donné un complément d'informations dans le post de réponse à "Pierre Lalet". N'hésitez pas à me poser d'autres questions.
Le paquet envoyé est un simple paquet FIN avec Seq qui vaut 123456 et Ack quit vaut 1.
Merci
Julien
Si vous envoyiez les traces réelles, ce serait plus explicite. Je doute
fort
qu'en transmettant un seul segment TCP sans aucun échange préalable, sans
notion de numéro de séquence et de numéro d'acquittement, sans valeur de
fenêtre, on puisse comprendre.
Merci pour la réponse.
J'ai donné un complément d'informations dans le post de réponse à "Pierre
Lalet".
N'hésitez pas à me poser d'autres questions.
Le paquet envoyé est un simple paquet FIN avec Seq qui vaut 123456 et Ack
quit vaut 1.
Si vous envoyiez les traces réelles, ce serait plus explicite. Je doute fort
qu'en transmettant un seul segment TCP sans aucun échange préalable, sans notion de numéro de séquence et de numéro d'acquittement, sans valeur de fenêtre, on puisse comprendre.
Merci pour la réponse.
J'ai donné un complément d'informations dans le post de réponse à "Pierre Lalet". N'hésitez pas à me poser d'autres questions.
Le paquet envoyé est un simple paquet FIN avec Seq qui vaut 123456 et Ack quit vaut 1.
Merci
Julien
Julien
Si, donc je pencherai pour un problème de filtrage. Désactivez ipf et regardez le résultat pour nous oter ce doute :-)
Une chose dont je sois sur : je n'ai absolument aucune réponse sur mon réseau local. Je l'ai vérifié avec deux sniffer différents (un sous FreeBSD que j'ai codé avec la libpcap, l'autre avec Ethereal sous Windows).
J'utilise natd sur mon routeur conjointement avec ipfw. La config d'ipfw est la suivante : - En entrée (Net -> routeur) : tout en deny all excepté certains ports. - En sortie (local -> Net) : tout en deny all excepté certains ports. De plus, ma machine est pingable a partir d'Internet et du réseau local.
Je ne penses pas que cela soit un problème de firewall car j'ai testé l'envoi d'un paquet FIN sur un autre FreeBSD sur mon réseau local et j'ai la meme chose : "AUCUNE REPONSE". Alors que le firewall n'est pas activé.
Merci
Julien
Si, donc je pencherai pour un problème de filtrage.
Désactivez ipf et regardez le résultat pour nous oter ce doute :-)
Une chose dont je sois sur : je n'ai absolument aucune réponse sur mon
réseau local. Je l'ai vérifié avec deux sniffer différents (un sous FreeBSD
que j'ai codé avec la libpcap, l'autre avec Ethereal sous Windows).
J'utilise natd sur mon routeur conjointement avec ipfw. La config d'ipfw est
la suivante :
- En entrée (Net -> routeur) : tout en deny all excepté certains ports.
- En sortie (local -> Net) : tout en deny all excepté certains ports.
De plus, ma machine est pingable a partir d'Internet et du réseau local.
Je ne penses pas que cela soit un problème de firewall car j'ai testé
l'envoi d'un paquet FIN sur un autre FreeBSD sur mon réseau local et j'ai la
meme chose : "AUCUNE REPONSE". Alors que le firewall n'est pas activé.
Si, donc je pencherai pour un problème de filtrage. Désactivez ipf et regardez le résultat pour nous oter ce doute :-)
Une chose dont je sois sur : je n'ai absolument aucune réponse sur mon réseau local. Je l'ai vérifié avec deux sniffer différents (un sous FreeBSD que j'ai codé avec la libpcap, l'autre avec Ethereal sous Windows).
J'utilise natd sur mon routeur conjointement avec ipfw. La config d'ipfw est la suivante : - En entrée (Net -> routeur) : tout en deny all excepté certains ports. - En sortie (local -> Net) : tout en deny all excepté certains ports. De plus, ma machine est pingable a partir d'Internet et du réseau local.
Je ne penses pas que cela soit un problème de firewall car j'ai testé l'envoi d'un paquet FIN sur un autre FreeBSD sur mon réseau local et j'ai la meme chose : "AUCUNE REPONSE". Alors que le firewall n'est pas activé.
Merci
Julien
Dominique Blas
Julien wrote:
Si, donc je pencherai pour un problème de filtrage. Désactivez ipf et regardez le résultat pour nous oter ce doute :-)
On peut avoir la conf de natd ?
ET le port qui répond sur l'interface extérieure alors qu'il ne devrait pas, quel est-il ? db
-- email : usenet blas net
Julien wrote:
Si, donc je pencherai pour un problème de filtrage.
Désactivez ipf et regardez le résultat pour nous oter ce doute :-)
On peut avoir la conf de natd ?
ET le port qui répond sur l'interface extérieure alors qu'il ne devrait pas,
quel est-il ?
db
