[IPTABLES] Vous en pensez quoi de mes règles ?

Vous en pensez quoi de mes règles ? [IPTABLES] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 24-04-2003 à 19:07:23    

Lu le monde,
 
Donc voila mon /etc/sysconfig/iptables (RedHat 8.0) (une partie à été généré avec  webmin) :  
 
 

Citation :


*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp -i ppp0 --dport 20:21 -j ACCEPT
-A INPUT -m state -i ppp0 --state NEW,INVALID -j DROP
COMMIT
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed
# Generated by webmin
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT

 
 
Donc avec ca je pense bloquer tout en entrer sauf si y'a une connexion qui a été initialisé (sauf le port ftp qui est ouvert).
 
Donc quand je scanne ma passerelle sur son @ Web depuis l'intérieur, j'obtiens :  

Citation :

[yaya@yaya yaya]$ nmap mon@dyndns -v -v -P0
 
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
No tcp,udp, or ICMP scantype specified, assuming vanilla tcp connect() scan. Use                                                         -sP if you really don't want to portscan (and just want to see what hosts are u                                                        p).
Host moi (monip) appears to be up ...                                                         good.
Initiating Connect() Scan against moi
 (monip)
Adding open port 10000/tcp
Adding open port 21/tcp
Adding open port 139/tcp
Adding open port 22/tcp
Adding open port 53/tcp
The Connect() Scan took 0 seconds to scan 1601 ports.
Interesting ports on moi (monip):
(The 1596 ports scanned but not shown below are in state: closed)
Port       State       Service
21/tcp     open        ftp
22/tcp     open        ssh
53/tcp     open        domain
139/tcp    open        netbios-ssn
10000/tcp  open        snet-sensor-mgmt
 
Nmap run completed -- 1 IP address (1 host up) scanned in 1 second

 
 
Ce qui est logique.
 
 
Par contre quand je scanne depuis le boulot , voila ce que ca donne (je m'attendais à ce qu'il y ait que le port 21 qui réponde) :  
 
 

Citation :


[root@tux root]# nmap mon@dyndns -v -v -P0
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
 
No tcp,udp, or ICMP scantype specified, assuming SYN Stealth scan. Use -sP if you really don't want to portscan (and just want to see what hosts are up).
 
Host moi (monip) appears to be up ... good.
 
Initiating SYN Stealth Scan against moi (monip)
 
Adding open port 7070/tcp
Adding open port 21/tcp
Adding open port 80/tcp
Adding open port 554/tcp
 
The SYN Stealth Scan took 185 seconds to scan 1601 ports.
 
Interesting ports on moi (monip):
 
(The 1597 ports scanned but not shown below are in state: filtered)
 
Port       State       Service
 
21/tcp     open        ftp
80/tcp     open        http
554/tcp    open        rtsp
7070/tcp   open        realserver
 
 Nmap run completed -- 1 IP address (1 host up) scanned in 185 seconds

 
 
Et la je comprend pas d'ou il trouve le port 80/554 et 7070 qui ne sont de toute facon pas utilisé... :heink:  
 
 
Donc 2 quesions :  
1) mon iptables est il bien configuré ?
2) pk nmap me trouve des ports ouverts la ou il devrait pas en avoir  :heink:  
 
 
Merci d'avance pour votre aide  :p


Message édité par Shao-Kahn le 25-04-2003 à 15:54:51
Reply

Marsh Posté le 24-04-2003 à 19:07:23   

Reply

Marsh Posté le 24-04-2003 à 19:12:05    

essaye de te connecter depuis l'extérieur au port 80 en telnet.
si ça marche pas tant mieux c nmap qui délire, ça arrive

Reply

Marsh Posté le 24-04-2003 à 19:21:04    

Je l'ai fais et ca repondait pas....mais je trouve ca quand meme bizarre (80, 7070 et 554  :??: )

Reply

Marsh Posté le 24-04-2003 à 19:30:05    

Sinon la config de mon firewall est bien ?

Reply

Marsh Posté le 24-04-2003 à 20:07:41    

Bon je viens d'essayer avec des scanners en ligne (du genre sygate), et ils ne trouvent que le port 21 d'ouvert (serveur ftp démarré).
 
Donc c'est bizarre que nmap dise n'importe quoi alors qu'il est le scanner de port le plus connue...
 
Je vais essayé avec Nessus alors.
 
Bon sinon elle vous plait ma config ou po ??? A oui à cette heure tout le monde va manger....POUVEZ PAS MANGER COMME MOI A 22 H ??????

Reply

Marsh Posté le 24-04-2003 à 21:18:04    

Up please, demain ca va etre journée troll et personne va répondre...

Reply

Marsh Posté le 25-04-2003 à 13:01:51    

UPPPPPPPP

Reply

Marsh Posté le 25-04-2003 à 15:55:17    

BBBEEEEEUUUUAAAAAAHHHHHHHHHHHHHHHHH

Reply

Marsh Posté le 25-04-2003 à 16:00:39    


*filter  
:FORWARD ACCEPT [0:0]  
:INPUT ACCEPT [0:0]  
:OUTPUT ACCEPT [0:0]  
 


 
c koi ce script a la con ?   bon passons ?
 
ça  veut dire que ça accept rien ou que ça accept tout ? j'ai du mal a saisir...
 


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed