Woody, ports filtered cachés + traffic inopiné sur lo:80
5 réponses
hrk
Bonjour à tous,
++++
J'ai installé a la maison une debian 3.0...
Quand je netstat, les ports ouverts sont bien ceux des services connus
et lancés, par contre, avec nmap sur une machine distante, j'ai la
surprise de decouvrir que :
noyau 2.4.18,
le paquet ipmasq installé avec pppoe....
pas de samba...
pas de regles iptables filtrant ces ports ....
Cela pourrait il venir du Speed Touch home ethernet ?
apres l'avoir passé en STP, je viens de le mettre en bridge .... ????
+++++
Et un autre probleme :
snort & iptraf voient du traffic de lo:80->ppp0 ??? ce qui me semble bizarre
quand je tcpdump lo, AUCUN PAQUET n'est affiché
par contre
quand je tcpdump ppp0 je vois bien un 127.0.0.1:80 -> l'ip de ppp0
encore plus bizarre....
quelqu'un aurait il une idée ?
au secours ..... :)
j'ai oublié le "merci d'avance ...." donc : merci d'avance :)
J. Mayer
On Tue, 18 Nov 2003 11:02:21 +0100, hrk wrote:
Bonjour à tous,
++++ J'ai installé a la maison une debian 3.0... Quand je netstat, les ports ouverts sont bien ceux des services connus et lancés, par contre, avec nmap sur une machine distante, j'ai la surprise de decouvrir que :
noyau 2.4.18, le paquet ipmasq installé avec pppoe.... pas de samba... pas de regles iptables filtrant ces ports ....
Cela pourrait il venir du Speed Touch home ethernet ? apres l'avoir passé en STP, je viens de le mettre en bridge .... ???? Oui, c'est sans aucun doute le modem:
comme il pense que la machine derrière est surement sous Windows, il protège les points les plus faibles... Et ça se voit ! C'est une bonne idée: les éventuels attaquants penseront que c'est un réseau Windows et perdront leur temps à l'attaquer avec des exploits qui ne feront rien sous Linux :=)
On Tue, 18 Nov 2003 11:02:21 +0100, hrk wrote:
Bonjour à tous,
++++
J'ai installé a la maison une debian 3.0...
Quand je netstat, les ports ouverts sont bien ceux des services connus
et lancés, par contre, avec nmap sur une machine distante, j'ai la
surprise de decouvrir que :
noyau 2.4.18,
le paquet ipmasq installé avec pppoe....
pas de samba...
pas de regles iptables filtrant ces ports ....
Cela pourrait il venir du Speed Touch home ethernet ?
apres l'avoir passé en STP, je viens de le mettre en bridge .... ????
Oui, c'est sans aucun doute le modem:
comme il pense que la machine derrière est surement sous Windows,
il protège les points les plus faibles...
Et ça se voit !
C'est une bonne idée: les éventuels attaquants penseront que c'est
un réseau Windows et perdront leur temps à l'attaquer avec des
exploits qui ne feront rien sous Linux :=)
++++ J'ai installé a la maison une debian 3.0... Quand je netstat, les ports ouverts sont bien ceux des services connus et lancés, par contre, avec nmap sur une machine distante, j'ai la surprise de decouvrir que :
noyau 2.4.18, le paquet ipmasq installé avec pppoe.... pas de samba... pas de regles iptables filtrant ces ports ....
Cela pourrait il venir du Speed Touch home ethernet ? apres l'avoir passé en STP, je viens de le mettre en bridge .... ???? Oui, c'est sans aucun doute le modem:
comme il pense que la machine derrière est surement sous Windows, il protège les points les plus faibles... Et ça se voit ! C'est une bonne idée: les éventuels attaquants penseront que c'est un réseau Windows et perdront leur temps à l'attaquer avec des exploits qui ne feront rien sous Linux :=)
Michel Tatoute
Bonjour à tous,
++++ J'ai installé a la maison une debian 3.0... Quand je netstat, les ports ouverts sont bien ceux des services connus et lancés, par contre, avec nmap sur une machine distante, j'ai la surprise de decouvrir que :
noyau 2.4.18, le paquet ipmasq installé avec pppoe.... pas de samba... pas de regles iptables filtrant ces ports ....
probablement le comportement par defaut c'est "drop". Donc ton PC ne repond meme pas "la ferme!" comme le voudrait IP, et donc nmap en deduit... que le port est filtré.
Cela pourrait il venir du Speed Touch home ethernet ? apres l'avoir passé en STP, je viens de le mettre en bridge .... ???? +++++ Et un autre probleme : snort & iptraf voient du traffic de lo:80->ppp0 ??? ce qui me semble bizarre quand je tcpdump lo, AUCUN PAQUET n'est affiché par contre quand je tcpdump ppp0 je vois bien un 127.0.0.1:80 -> l'ip de ppp0 encore plus bizarre....
je ne vois pas.
Michel.
Bonjour à tous,
++++
J'ai installé a la maison une debian 3.0... Quand je netstat, les ports
ouverts sont bien ceux des services connus et lancés, par contre, avec
nmap sur une machine distante, j'ai la surprise de decouvrir que :
noyau 2.4.18,
le paquet ipmasq installé avec pppoe.... pas de samba...
pas de regles iptables filtrant ces ports ....
probablement le comportement par defaut c'est "drop". Donc ton PC ne
repond meme pas "la ferme!" comme le voudrait IP, et donc nmap en
deduit... que le port est filtré.
Cela pourrait il venir du Speed Touch home ethernet ? apres l'avoir
passé en STP, je viens de le mettre en bridge .... ???? +++++
Et un autre probleme :
snort & iptraf voient du traffic de lo:80->ppp0 ??? ce qui me semble
bizarre quand je tcpdump lo, AUCUN PAQUET n'est affiché par contre
quand je tcpdump ppp0 je vois bien un 127.0.0.1:80 -> l'ip de ppp0
encore plus bizarre....
++++ J'ai installé a la maison une debian 3.0... Quand je netstat, les ports ouverts sont bien ceux des services connus et lancés, par contre, avec nmap sur une machine distante, j'ai la surprise de decouvrir que :
noyau 2.4.18, le paquet ipmasq installé avec pppoe.... pas de samba... pas de regles iptables filtrant ces ports ....
probablement le comportement par defaut c'est "drop". Donc ton PC ne repond meme pas "la ferme!" comme le voudrait IP, et donc nmap en deduit... que le port est filtré.
Cela pourrait il venir du Speed Touch home ethernet ? apres l'avoir passé en STP, je viens de le mettre en bridge .... ???? +++++ Et un autre probleme : snort & iptraf voient du traffic de lo:80->ppp0 ??? ce qui me semble bizarre quand je tcpdump lo, AUCUN PAQUET n'est affiché par contre quand je tcpdump ppp0 je vois bien un 127.0.0.1:80 -> l'ip de ppp0 encore plus bizarre....
je ne vois pas.
Michel.
hrk
probablement le comportement par defaut c'est "drop". Donc ton PC ne repond meme pas "la ferme!" comme le voudrait IP, et donc nmap en deduit... que le port est filtré.
En fait je pense que c'est l'inverse, si nmap recoit un REJECT, il le considere comme "filtered", en cas de DROP, il doit le voir "closed" De plus, je n'ai pas de regles spécifiques sur ces ports là et ce sont quand meme les seuls a etre "filtered" ... merci quand meme de ta reponse ....
probablement le comportement par defaut c'est "drop". Donc ton PC ne
repond meme pas "la ferme!" comme le voudrait IP, et donc nmap en
deduit... que le port est filtré.
En fait je pense que c'est l'inverse, si nmap recoit un REJECT, il le
considere comme "filtered", en cas de DROP, il doit le voir "closed"
De plus, je n'ai pas de regles spécifiques sur ces ports là et ce sont
quand meme les seuls a etre "filtered" ...
merci quand meme de ta reponse ....
probablement le comportement par defaut c'est "drop". Donc ton PC ne repond meme pas "la ferme!" comme le voudrait IP, et donc nmap en deduit... que le port est filtré.
En fait je pense que c'est l'inverse, si nmap recoit un REJECT, il le considere comme "filtered", en cas de DROP, il doit le voir "closed" De plus, je n'ai pas de regles spécifiques sur ces ports là et ce sont quand meme les seuls a etre "filtered" ... merci quand meme de ta reponse ....
hrk
En fait je pense que c'est l'inverse, si nmap recoit un REJECT, il le dsl faut que j'arrete de dire n'importe quoi :)
En fait je pense que c'est l'inverse, si nmap recoit un REJECT, il le
dsl faut que j'arrete de dire n'importe quoi :)
