Dyndns & routeur

Gérard,

J’espère que tu as un bon pare-feu sur la machine concernée ! Parce que là, le comportement de ton routeur me paraît assez dangereux… Si tu as le moindre service IP “public” (qui écoute sur autre chose que 127.0.0.1) sur ta machine, sans pare-feu ou s’il est mal configuré le risque est beaucoup plus important que les histoires de root/sudo dont nous discutions l’autre fois (aïe, pas taper ), surtout en sid où la sécurité est loin d’être optimum (la testing a le même souci, contrairement à la stable où les risques sont plus limités).

Que te donne # netstat -taupn | egrep “LISTEN|udp” ?

Dyndns n’a rien à voir là dedans, ce service ne fait qu’associer un nom DNS (par exemple chez-moi.dyndns.org) à l’adresse IP que tu lui fournis (celle de ta connexion internet). Autrement dit, il n’intervient qu’au niveau du nslookup / dig, mais en aucun cas il n’influe sur la connectivité elle même.

Salut,

[quote]root@debian:/home/gerard# netstat -taupn | grep “LISTEN|udp” ?
grep: ?: Aucun fichier ou dossier de ce type
root@debian:/home/gerard#
[/quote]

Help

Oups, désolé…

Déjà il s’agit de egrep, et le point d’interrogation ne faisait pas partie de la commande. Ça m’apprendra à faire plus attention quand j’écris un message.
Edit : ah ben non en fait, j’avais bien marqué egrep dans mon message d’origine, ça au moins c’est pas de ma faute. Mais ça ne fait que confirmer que j’ai pas les yeux en face des trous ce matin…

# netstat -taupn | egrep “LISTEN|udp”

Enfin, ça n’a bien sûr d’importance que si tu n’as pas de pare-feu sur la machine concernée (celle qui reçoit tout le trafic entrant).

Re,

Alors comme cela c’est mieux : il écoute mais personne ne lui réponds et il reste désespérément sur >

Combien de temps fait-il attendre ?

Re,

[quote]Décidément j’ai la tête dans le sac ce matin

root@glupins:/home/gerard# netstat -taupn | egrep "LISTEN|udp"
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 2279/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2291/exim4
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 12671/sshd
tcp6 0 0 ::1:631 :::* LISTEN 2279/cupsd
tcp6 0 0 ::1:25 :::* LISTEN 2291/exim4
tcp6 0 0 :::80 :::* LISTEN 1877/apache2
tcp6 0 0 :::22 :::* LISTEN 12671/sshd
udp 0 0 0.0.0.0:68 0.0.0.0:* 2253/dhclient3
udp 0 0 0.0.0.0:631 0.0.0.0:* 2279/cupsd
root@glupins:/home/gerard#
[/quote]

Salut,
Déjà ce n’est pas très cool ça :

Tu ne te connectes pas en ssh depuis l’extérieur ?
Si non, tu devrais modifier le /etc/ssh/sshd_config pour sécuriser tout ça…

ListenAddress ton_ip PermitRootLogin no AllowUsers gerard

Edit: je détecte 200 scan de ports par jour sur la machine connectée à Internet…

Re,

[quote]tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 2279/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2291/exim4
tcp 0 0 192.168.0.2:22 0.0.0.0:* LISTEN 14303/sshd
tcp6 0 0 ::1:631 :::* LISTEN 2279/cupsd
tcp6 0 0 ::1:25 :::* LISTEN 2291/exim4
tcp6 0 0 :::80 :::* LISTEN 1877/apache2
udp 0 0 0.0.0.0:68 0.0.0.0:* 2253/dhclient3
udp 0 0 0.0.0.0:631 0.0.0.0:* [/quote]

Re,
Tu utilise quel routeur ? (j’ai raté l’info ?)
Parce que l’idéal serait que ton routeur ait un comportement “normal” et qu’il ne laisse pas tout passer.
Seulement un NAT du port 80 vers 192.168.0.2, et qu’il bloque le reste.

Éventuellement en MP passe-moi ton IP publique que je tente un nmap (en profondeur ) dessus…
En échange je te donne la mienne, ça m’intéresse de voir ce que ça donne de l’extérieur !

Re,

Je n’ai pas d’ IP fixe, c’est “dyndns” qui se charge de me retrouver

Et quand à te rendre le même service, j’voudrais bien mais j’sais point

Tu me donnes en MP les commandes à passer et je te renvoie les résultats par le même canal

Re,

[quote=
trendnet.com/emulators/TW100 … pc_dba.htm
[/quote]

[quote=“ggoodluck47”]Re,

[quote]
trendnet.com/emulators/TW100 … pc_dba.htm
[/quote][/quote]

Pardon, j’avais loupé ça…

Je ne connais pas ton routeur, ni la façon dont il se configure (et en plus je ne suis pas un cador du pare-feu… Dommage que PascaHambourg ne soit plus là depuis un moment… François ?)

Il faut configurer tout ça

Bloquer tout, autoriser les connexions “establish”, autoriser ton réseau à sortir, et fair une NAT du port 80 de ton routeur vers le port 80 de 192.168.0.2.

Désolé pour les approximations…

Pas sur que tu puisse faire quelque chose d’aussi fin uniquement avec le pare feu intégré au routeur (bien que celui ci ait l’air relativement complet)… Pour le suivi de connexion il va falloir se lancer dans la config de netfilter.
Si ggoodluck47 nous fait un petit “cahier des charges” des services en écoute (netstat -taupe) qu’il souhaite autoriser et de ce qu’il veut autoriser en sortie, on peut peut-être l’aider à monter une ébauche de script de configuration de netfilter (qui évoluera au fur et à mesure de ces besoins par la suite) ? Genre :

En ENTREE - On refuse tout le trafic sauf :
  - Trafic web (http)
  - Trafic ssh depuis le réseau local uniquement
  - Trafic icmp depuis le réseau local uniquement

En SORTIE - On refuse tout le trafic sauf:
  - Trafic web et web sécurisé
  - Trafic dns
  - Trafic ftp
  - Trafic ssh
  - Trafic p2p
  - Trafic icmp
  - Trafic msn (ou autre logiciel de communication)
  - Trafic samba (si y a des partages réseaux Win ou samba auxquel on veut accéder)
  - Trafic mail (pop, smtp, normal et sécurisé)
  - Trafic DHCP
  - Trafic divers (whois...)

Re,

Je ne connaissais pas mon bonheur avant de vouloir créer ce foutu phpbb3

[quote]Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat User Inode PID/Program name
tcp 0 0 localhost:ipp : LISTEN root 5211 2279/cupsd
tcp 0 0 localhost:smtp : LISTEN root 5189 2291/exim4
tcp 0 0 glupins.glupins.org:ssh : LISTEN root 30429 14303/sshd
tcp6 0 0 ip6-localhost:ipp [::]:* LISTEN root 5210 2279/cupsd
tcp6 0 0 ip6-localhost:smtp [::]:* LISTEN root 5190 2291/exim4
tcp6 0 0 [::]:www [::]:* LISTEN root 4539 1877/apache2
udp 0 0 *:bootpc : root 4399 2253/dhclient3
udp 0 0 *:ipp : root 5214 2279/cupsd
[/quote]

Et maintenant voici que lol me signale que le port 21 est ouvert en ftp ???

Mon but : Pouvoir faire accéder mes copains à un mini forum

Re,
Je ne vois le port 80 ouvert qu’en ipv6…
Il va falloir potasser la doc de ton routeur… ou trouver un tuto bien ficelé !

Re,

[quote]92.129.141.176 isn’t responding on port 21 (ftp).
92.129.141.176 isn’t responding on port 23 (telnet).
92.129.141.176 isn’t responding on port 25 (smtp).
92.129.141.176 isn’t responding on port 80 (http).
92.129.141.176 isn’t responding on port 110 (pop3).
92.129.141.176 isn’t responding on port 139 (netbios-ssn).
92.129.141.176 isn’t responding on port 445 (microsoft-ds).
92.129.141.176 isn’t responding on port 1433 (ms-sql-s).
92.129.141.176 isn’t responding on port 1521 (ncube-lm).
92.129.141.176 isn’t responding on port 1723 (pptp).
92.129.141.176 isn’t responding on port 3306 (mysql).
92.129.141.176 isn’t responding on port 3389 (ms-wbt-server).
92.129.141.176 isn’t responding on port 5900 ().
92.129.141.176 isn’t responding on port 8080 (webcache).[/quote]

Cherchez la faille

[quote=“ggoodluck47”]
92.129.141.176 isn’t responding on port 80 (http).
Cherchez la faille [/quote]
Il te faut au moins le 80 ouvert…

Re,

[quote=“lol”][quote=“ggoodluck47”]
92.129.141.176 isn’t responding on port 80 (http).
Cherchez la faille [/quote]
Il te faut au moins le 80 ouvert… [/quote]

Tu as sans doute raison mais pourtant “elle tourne” La preuve

Si tu essayes d’accéder à ton IP internet à partir du LAN, il est fort possible que ton routeur refuse purement et simplement.
Je ne saurais pas te dire pourquoi (j’ai aussi vu des routeurs qui acceptaient) mais le fait est que c’est un comportement assez courant. D’où le fait que tous les ports te paraissent fermés quand tu testes toi-même.

[quote=“syam”]Si tu essayes d’accéder à ton IP internet à partir du LAN, il est fort possible que ton routeur refuse purement et simplement.
Je ne saurais pas te dire pourquoi (j’ai aussi vu des routeurs qui acceptaient) mais le fait est que c’est un comportement assez courant. D’où le fait que tous les ports te paraissent fermés quand tu testes toi-même.[/quote]

D’où cette impression de sécurité complètement fausse
Faut-il attendre le désastre pour savoir que l’on était très vulnérable

Heureusement (pour toi, en tous cas) ceux qui scannent les plages d’IP dédiées aux “particuliers” ne s’intéressent pas vraiment à Linux. Par contre sur les plages professionnelles c’est une autre histoire !