[Debian] Ouvrir "au mieux" le port 113 avec iptables, pour l'IRC

Ouvrir "au mieux" le port 113 avec iptables, pour l'IRC [Debian] - Débats - Linux et OS Alternatifs

Marsh Posté le 16-11-2002 à 01:03:44    

Pour accéder à certains serveurs IRC (Quakenet par exemple), j'ai besoin, en plus du port 6667, d'ouvrir le port 113 (auth).
 
 
J'ai essayé en faisant comme ceci:
 


iptables -A INPUT -i ppp0 --protocol tcp --source-port 113 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 113 -m state --state NEW,ESTABLISHED -j ACCEPT


mais cela ne fonctionne pas.
 
 
 
Après plusieurs essais, j'en suis arrivé à cette méthode:
 


iptables -A INPUT -i ppp0 -p tcp --dport auth -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport auth -j ACCEPT

 
 
 
 
Je voudrais savoir si cela est correcte ou pas.
 
 
 
 
 
 
 
D'autre part, pour l'utilisation du DCC, il me suffit de charger le module "ip_conntrack_irc"?
 
 
 
Merci.


Message édité par eL_Shaman___ le 16-11-2002 à 01:34:27
Reply

Marsh Posté le 16-11-2002 à 01:03:44   

Reply

Marsh Posté le 16-11-2002 à 01:30:22    

tes 2 1eres commandent n'influencent que les logs on dirait (enfin je sais pas à quoi correspond ton LOG_ACCEPT), et pour ta 2ieme méthode je pense pas que tu ais besoin de celle en sortie

Reply

Marsh Posté le 16-11-2002 à 01:41:28    

fl0ups a écrit a écrit :

tes 2 1eres commandent n'influencent que les logs on dirait (enfin je sais pas à quoi correspond ton LOG_ACCEPT), et pour ta 2ieme méthode je pense pas que tu ais besoin de celle en sortie




 
 
Pour "LOG_ACCEPT", j'avais oublié de le modifié en le copiant sur ce forum! (je viens d'éditer mon post).
 
 
Ha ben, je viens de m'appercevoir que cette commande suffisait:
 


iptables -A INPUT -i ppp0 -p tcp --dport auth -j ACCEPT

 
 
 
hum...  
 
 
 
Si je comprend bien, tout ce qui provient du port 113 sera accepté sur ma machine, c'est ça? Et ça ne pose pas de problème de sécurité?
 
 
 
Y-aurait-il un moyen simple de n'ouvrir ce port que lorsque la connection via le port 6667 est établie?! (Puisque la connection s'effectue au serveur IRC par le 6667 qui vérifie ensuite mon port 113 pour me laisser enfin le chat)


Message édité par eL_Shaman___ le 16-11-2002 à 01:44:55
Reply

Marsh Posté le 16-11-2002 à 11:32:08    

El_ShAman___ a écrit a écrit :

 
Ha ben, je viens de m'appercevoir que cette commande suffisait:
 


iptables -A INPUT -i ppp0 -p tcp --dport auth -j ACCEPT

 




 
vi c'est bien ce que je pensais :D
 

Citation :

Si je comprend bien, tout ce qui provient du port 113 sera accepté sur ma machine, c'est ça? Et ça ne pose pas de problème de sécurité?


 
non c'est le contraire (dport = destination port) ... ça ouvre en entrée sur ppp0 avec le protocole TCP et arrivant sur le port 113 (auth). Si tu veux vérifier vite fait essaye un truc comme le "Shields up" de grc.com.
 

Citation :

Y-aurait-il un moyen simple de n'ouvrir ce port que lorsque la connection via le port 6667 est établie?! (Puisque la connection s'effectue au serveur IRC par le 6667 qui vérifie ensuite mon port 113 pour me laisser enfin le chat)


 
tu peux n'autoriser QUE les ips des serveurs irc sur lesquels tu te connectes à t'envoyer une requête auth. Enfin, AMHA, c'est beaucoup de paranoia pour rien:
- si tu n'as pas de serverd identd qui tourne, ca te fait une requete sur le port 113 qui est ouvert mais sur lequel aucun service ne tourne. Donc le risque niveau sécu est pas énorme.
- si tu es un paranoiaque level 9, tu n'as même pas besoin d'ouvrir ce port, il suffit d'être patient quand tu te connectes à IRC, il y a juste un délai d'un peu plus d'1minute avant que la requete auth du server irc expire et qu'il te laisse te connecter.

Reply

Marsh Posté le 16-11-2002 à 14:18:54    

Je reviens sur ce que j'ai dit; il me faut ces 2 lignes:
 


iptables -A INPUT -i ppp0 -p tcp --dport auth -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport auth -j ACCEPT

 
 
 
D'ailleurs, avec la première ligne, j'autorise le serveur IRC à me demander qui je suis, mais ensuite, il faut que ma machine réponde, non?
 
 
Je ne comprends pas pourquoi hier soir ça a réussit à passer avec seulement la première ligne!
 
De plus, sur irc.quakenet.org , le serveur ne laisse pas passer tant que le port 113 n'a pas été "vérifié" (attente de 2min [avec plusieurs déconnections] et au final, je ne peux carrément plus me connecter au serveur!).


Message édité par eL_Shaman___ le 16-11-2002 à 14:19:30
Reply

Marsh Posté le 16-11-2002 à 14:42:17    

pour la 2ieme règle ca dépend de la façon dont ton firewall est configuré.
 
Et j'ai jamais eu de problemes pour me connecter à quakenet et autres serveurs irc même avec le port 113 fermé
 
Je viens de faire le test:

[14:32:23]--- Looking up irc.euroserv.com..
[14:32:23]--- Connecting to quakenet.euroserv.com (81.91.66.213) port 6667..
[14:32:23]--- Connected. Now logging in..
[14:32:23]--- AUTH :*** Looking up your hostname
[14:32:23]--- AUTH :*** Checking Ident
[14:32:23]--- AUTH :*** Found your hostname


 
1 minute d'attente
 

[14:33:24]--- AUTH :*** No ident response
[14:32:23]--- Welcome to the Internet Relay Network fl
[14:32:23]--- Your host is euroserv.fr.quakenet.org, running version u2.10.10+lain(1.2)


 
et voila je suis connecté

Reply

Marsh Posté le 16-11-2002 à 14:43:30    

je viens de refaire le test avec irc.quakenet.org qui me renvoit vers barrysworld1.uk.quakenet.org et ca se passe exactement de la même façon

Reply

Marsh Posté le 16-11-2002 à 16:59:53    

ça y est j'ai trouvé le problème...
 
 
Pour le nom d'utilisateur (pas le nick!), je mettais "eLShaman". En mettant "elshaman" (donc pas de majuscules), ça passe.
 
 
 
 
 
Bon...
 
Merci fl0ups.


Message édité par eL_Shaman___ le 16-11-2002 à 17:00:21
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed