[quote=“usinagaz”]Zut !
Tu veux dire que c’est l’adresse MAC de ma livebox qui est affichée là ? c’est pas graignos ?
[/quote]
Non non
Je vends l’adresse MAC d’usinagaz pour la modique somme de 10 euros… contactez moi sur …
Meuh non ca craint pas. T’as rien compris hein! Les adresses MAC sont juste utilisés sur le meme reseau ethernet. En gros forum.debian-fr.org par exemple ne peut pas connaitre ton adresse MAC, ils ne connaissent que celles de leur routeur en amont dans leur entetes. Par contre il y a ton IP. Pour la partie données (un paquet c’est entete+données), il n’y a que tres peu de protocole qui vont envoyer l’adresse MAC dans la partie données. C’est tres rare (ptet sip je sais plus)
Et pis c’est une livebox c’est pas une centrale nucléaire non?
ps:
ah pour le reste je sais pas au fait
Disons que je veux pas etre résponsable…
[quote=“BorisTheButcher”]Et pis c’est une livebox c’est pas une centrale nucléaire non?
ps:
ah pour le reste je sais pas au fait
Disons que je veux pas etre résponsable…[/quote]
Bon, merci Boris, mais … comment dire, t’as décidé de m’embrouiller l’esprit cet aprem ou quoi ?
Bon, ok pour le reste, de toute façon, je touche à rien pour l’instant … mais,
je veux savoir un truc tout bête :
C’est embêtant de faire une règle iptables sur une IP SRC qui va changer dans quelques heures, ça veut dire qu’il faut purger ces règles, dynamiquement ajoutées, chaque jour; par contre, si je pouvais droper direct un adresse MAC, ça serait mieux non ? comme ça :
/sbin/iptables -A INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROPC’est pas possible ? tu me dis qu’on peut pas avoir l’adresse mac de la source toi ?
Si la seule info que j’ai sur la source qui tente une connection, c’est son adresse IP, et quelle est dynamique, comment vous voyez la combine pour qu’au shutdown, iptables ne sauve que la configuration de base mais customisée selon mais besoin quand même (cad celle donner par iptables-safe avant ajout dynamique de règles ) ?
[quote=“usinagaz”][quote=“BorisTheButcher”]Et pis c’est une livebox c’est pas une centrale nucléaire non?
ps:
ah pour le reste je sais pas au fait
Disons que je veux pas etre résponsable…[/quote]
Bon, merci Boris, mais … comment dire, t’as décidé de m’embrouiller l’esprit cet aprem ou quoi ?
[/quote]
Reprends un café.
C’est grave comme je comprends rien a ce que tu veux faire
[quote]
/sbin/iptables -A INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROPC’est pas possible ? tu me dis qu’on peut pas avoir l’adresse mac de la source toi ?
Si la seule info que j’ai sur la source qui tente une connection, c’est son adresse IP, et quelle est dynamique, comment vous voyez la combine pour qu’au shutdown, iptables ne sauve que la configuration de base mais customisée selon mais besoin quand même (cad celle donner par iptables-safe avant ajout dynamique de règles ) ?[/quote]
Je le repete, j’utilise tres peu iptables mais bon en attendant que quelqu’un d’autre aide: fr.wikipedia.org/wiki/Iptables <— pas mal du tout ce lien
La politique par défaut c’est la regle qui s’applique si aucune regle adéquate n’est trouvé.
iptables -P INPUT DROP
Fixe la politique par défaut INPUT à DROP.
En gros dans le domaine des firewalls il y a deux politiques:
-Tu refuses certaines choses et tu accepte tout le reste
pb: la liste de refus peut etre énorme et faut rien oublier
-Tu accepte certaines choses et tu refuse tout le reste
pb: des que tu rajoute un service, il faut liberer l’accès sinon ca passera pas.
Il est conseillé dans le cas general d’utiliser la deuxieme politique (mais ca depend des cas). Donc t’as toutes tes petites regles et pis à la fin tu as la regle de politique par défaut qui va bloquer le reste. linbox.free.fr/chapitre11.html
Ensuite pour ton histoire de MAC et consor.
Laisse tomber l’@ MAC, c’est lié à Ethernet donc tu oublies, tu ne devrais voir que celle de ta livebox.
[quote]
C’est embêtant de faire une règle iptables sur une IP SRC qui va changer dans quelques heures,[/quote]
Je ne connais pas ton réseau et surtout les serveurs visibles de l’exterieur que tu as mais tu t’en fous. As-tu des serveurs?
Tu autorise ce que tu veux autoriser et tout le reste, DROP.
[quote=“MattOTop”][quote=“dexmon”]salut à tous,
Comment faire pour interdire l’accès à tous les protocoles
pour une ip (par exemple celle d’un hacker)
lorsqu’un scan de ports est détecté par le pare-feu
et ensuite envoyer une alerte administrative ?[/quote]qu’appelles tu “lorsqu’un scan de ports est détecté par le pare-feu” ? qu’est ce que tu considères comme déclenchant ?[/quote]
salut,
ben lorsque le pare-feu reçoit des packets de plusieurs ports en même temps dans un court lapse de temps, un truc dans le genre.
Je sais pas comment expliquer avec des mots techniques mais disons qu’un type fait un nmap sur l’ip de ton routeur ou de ta machine, il faudrait que le pare-feu détecte le nmap du gars, ensuite il crée lui-même la règle qui interdit à ce type de rescanner avec nmap en lui bloquant son ip…et t’envoi par la même occasion une alerte par mail sans oublier le café et les croissants bien sûr.
[quote=“le_petit_chat_noir”]moi qui suit seulement avec firestarter, je devrai un peut plus prendre du soucis quand à la securité de mon ordi…[/quote]petit rappel : firestarter ne fait que mettre à jour la configuration d’iptables en fonction de ce que tu coches/stipules ou pas dans son interface ?
Donc alors moi, j’ai pas bon avec INPUT DROP ?
[quote]*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
[/quote]
[0:0], ça veut bien dire que ça drope que dalle non ? ou que ça drope tout (par défaut) ?
[quote=“BorisTheButcher”]Sinon il y a aussi le TARPIT: linuxjournal.com/article/718 … .0x85744b0
[/quote]Oui, justement, ça à l’air pas mal ça … mais :
iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPITS’il pouvait expliquer d’où il la sort cette commande TARPIT, ça serait encore mieux
Au fait, c’est déconseillé avec l’utilisation de conntrack ?
Dexmon, pour recoller à fond au sujet, j’ai un bon élément de réponse : portsentry, le hic, c’est qu’il peut pas “scanner” beaucoup de ports je crois à la recherche d’un scan ! mais il y a une variable toute prête pour mettre le compte à $ATTACKER, enfin, façon de parler … parceque pour le “tarpiter”, bonjour l’angoisse quand il s’agit de trouver un tuto même en anglais qui tient la route, pas plein de faute, et qui cause iptables et pas ipchains …
[quote=“usinagaz”][quote=“BorisTheButcher”]Sinon il y a aussi le TARPIT: linuxjournal.com/article/718 … .0x85744b0
[/quote]Oui, justement, ça à l’air pas mal ça … mais :
iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPITS’il pouvait expliquer d’où il la sort cette commande TARPIT, ça serait encore mieux
Au fait, c’est déconseillé avec l’utilisation de conntrack ?
Dexmon, pour recoller à fond au sujet, j’ai un bon élément de réponse : portsentry, le hic, c’est qu’il peut pas “scanner” beaucoup de ports je crois à la recherche d’un scan ! mais il y a une variable toute prête pour mettre le compte à $ATTACKER, enfin, façon de parler … parceque pour le “tarpiter”, bonjour l’angoisse quand il s’agit de trouver un tuto même en anglais qui tient la route, pas plein de faute, et qui cause iptables et pas ipchains … [/quote]
[quote=“dexmon”]Tu veux dire quoi par ‘tarpiter’ ?[/quote]C’est une bonne question … tout ce que j’ai trouvé là dessus d’à peu prés cohérent, c’est un tuto fait pour ipchaine et un 2.4 à base des deux paquets debian portsentry (IDS) + labrea (tarpit man, tarpit, c’est que le mec que tu tarpit, ça lui plante sa machine en gros, d’aprés ce que j’ai compris … y rame grave pendant 20 minutes, c’est pas bien méchant, ça vaut pas un “mettre le feu au bus”, et ça me plait assez).
voilà le tuto que j’arrive pas à integrer … il serait tant d’en faire un en français et à jour … impsec.org/linux/security/sc … .html#toc3
heu Boris pourrait un peu nous aider je trouve, vu qu’il a lancé l’idée
Du coup, j’ai viré portsentry (aprés 12 heures d’efforts), je vais retourner à psad, et on va voir pour labrea … + surement un script…
ceci dit, postentry, c’est exactement le sujet, mais je répète, ça écoute un nombre de port limité … je préfèrerai psad … à voir, avec un pti script dynamique, style un daemon maison un cron ou autre … pour lire les logs de psad que je rengerai dans un fichier spécial “cassecouilles.log”
Tarpit c’est une methode pour rendre gluante ta machine.
-La personne qui se connecte sur un port que tu as rendu gluant ne va pas se voir refuser l’accès. Au contraire ta machine va accepter et va envoyer un message disant ok tu te connecte mais attend un peu avant d’envoyer des données. Donc l’attaquant re-essaye un instant plus tard, ta machine repond la meme chose, attend un peu c’est bientot bon jusqu’a ce que l’attaquant en ai marre et coupe la connexion.
-A ce moment la ce dernier envoie des demande de fin de connexion mais le truc c’est que le tarpit va ignorer ces demandes de fin et va continuer de lui envoyer des messages vides (tu peux reessayer plus tard hihi)
En fait un scanneur standard va rester bloquer assez longtemps. Si il lance en parallele un scan sur 20 ports, il va commencer a le sentir. Sur ta machine ca n’aura pas trop d’influence (peut-etre meme moins que droper 20 fois des paquets)
Mais c’etait plus pour info que je donnais cette reference, il faut bien savoir ce qu’on fait (je ne sais pas a priori pourquoi c’est deconseillé de melanger avec conntrack, peut etre c’est preferable de lancer le tarpit seulement sur certains ports que vous n’utilisez pas: 139,emule,…).
Quelqu’un avec de bonnes connaissances comprendra vite qu’il est tombé dans un piège, il faut s’attendre a d’autres reactions ensuite… c’est de la psychologie tout ca
Merci BorisTheButcher … mais si quelqu’un qui dipose d’un petit peu de temps pouvait prendre le tuto sus-cité et traduire toutes les commandes ipchains en iptable en commentant un peu ce que font exactement ces commandes (qu’on y comprenne quelquechose et qu’on puisse les adapter à notre config, par exemple le coup du proxy transparent, c’est quand on a un proxy ou il demande dans créer un ?) ça serait bien … des amateurs ?
Il banni automatiquement les IP qui font du brute force sur tes serveurs.
Mes rapports LogWatch faisaient 80 lignes pour la partie SSH avant.
Maintenant ils en font 10. Fini les attaques qui commencent au log Alfonse pour terminer avec le log Zorro.
Après 4 ou 5 tentatives échouées en 1 quelques secondes, on coupe le fil
J’ai déjà utilisé fail2ban mais je voudrais trouver une méthode qui utilise iptables sans logiciel supplémentaires.
Avec fail2ban on est obliger de créer un regexp pour parser les lignes tandis qu’ici il suffirait de dire à iptables de bloquer les ip récupérer du fichier pour tel ou tel port sans aucune autre modification.
En fait, il me faudrais savoir si iptables est capables de lire une table que l’on aurais au préalable remplie. Je m’explique…
J’ai crée un script qui parse le fichier /var/log/auth.log et récupère les ip “Failed” et “Invalid” ou “Illegal”, Si ces ip se trouve 3 fois dans le fichier alors il les envois dans un autre fichier /var/log/blacklist.log.
Le but c’est que iptables puissent bloquer les ips qui se trouvent dans /var/log/blacklist.log une rotation de ce fichier les effacera après un mois.
Question, comment dire à iptables de lire le fichier /var/log/blacklist.log et de bloquer le port SSH ou le port FTP si il trouve la même ip qui essai de se connecter ?
Merci
Tu ne peux pas dire à iptables de le faire, iptables sait juste eventuellement lire ou dumper toutes ses règles d’un coup depuis un fiochier. Mais rien ne t’empêche d’avoir un démon qui surveille la liste à blacklister, qui insère en temps réel et réinsère au reboot les règles d’exclusions et qui les retire plus tard.
Mais je ne vois pas pourquoi tu veux refaire un fail2ban: il est trés bien.
Par ailleurs, j’en ai parlé ailleurs et on doit pouvoir retrouver les réfèrences, mais il y a un module pam qui fait un peu la même chose.
en fait, comme je l’ai expliquer je veux pas refaire le fail2ban mais je voudrais améliorer le mécanisme de bannissement.
fail2ban est limiter car par ex.: pour pure-ftpd, il a fallu demander à créer un regex exprès pour lui sinon ça marchais pas.
Avec le système de tables ou de fichier à parser et bien on pourrais demander à iptables de faire
iptables bloque ssh
et
iptables bloque ftp
ou
iptables bloque http
ou encore
iptables bloque smtp
Ici la correspond à la liste d’ip à bannir.
c’est juste pour aider a comprendre ce que voudrais faire mais évidemment c’est pas les bonne syntaxe pour iptables
Et ça peu importe le démon que ça soit proftpd, pure-ftpd, vsftpd, apache ou un autre serveur web…serveur imap, smtp, bref le mail comme courier, qmail, tous les services.
Il ne se baserais donc plus sur le démon mais sur le service.
on peut effectivement faire un script qui va lire les log, mai la question c’est comment faire pour éviter d’utiliser les log. puise que cela représente un risque.
On est pas obliger d’utiliser les logs, le /var/log/blacklist.log est un exemple, personnemellement j’envoi toute les ip dans /var/db/bruteforce et chmod 600 et en attendant de trouver une solution avec iptables j’envois les ip qui se trouvent dans /var/db/bruteforce (pour traitement) vers /etc/hosts.deny
Une fois les ips envoyées elles sont effacées du fichier /var/db/bruteforce.
Mais par contre, si c’était possible d’utiliser iptables alors on aurais du les laisser dans /var/db/bruteforce.
