Firewall / port udp et tcp / processeur arm / ssh

Support Debian
#1

Bonjour,

Je suis sous Debian Squueeze 2.6.39.4 sur processeur arm (DreamPlug)

Je voudrai savoir comment fait on pour :
1/ Savoir si un Firewall est installé ?
2/ Voir tout les ports ouvert tcp et udp ?
3/Comment ajouter un port tcp ou udp ?

Uniquement en console, je n’ai aucun interface graphique sur ce serveur, il est en ssh.

Merci.

#2

1/ iptables-save
2/ netstat -alpent
3/ http://wiki.debian.org

#3

Bonjour,

1/

root@debian:~# iptables-save root@debian:~# Il n’y a pas de parefeu installé ?
Si c’est le cas comment en installé un ?
apt-get install (Quoi comme paquet) ?

2/

root@debian:~# netstat -alpent Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 105 3254 1340/mysqld tcp 0 0 0.0.0.0:2000 0.0.0.0:* LISTEN 0 6397 2889/asterisk tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 0 2834 1085/apache2 tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 3154 1225/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 0 3635 1703/exim4 tcp 0 0 127.0.0.1:6010 0.0.0.0:* LISTEN 0 4758 2143/0 tcp 0 352 192.168.0.1:22 192.168.0.2:60426 ESTABLISHED 0 4727 2143/0 tcp6 0 0 :::22 :::* LISTEN 0 3156 1225/sshd tcp6 0 0 ::1:25 :::* LISTEN 0 3636 1703/exim4 tcp6 0 0 ::1:6010 :::* LISTEN 0 4757 2143/0 root@debian:~# la il y a que du TCP ?
Y a pas de l’udp ???

Merci.

#4

1/ Tu n’as pas de pare-feu de configuré. Le pare-feu est intégré au noyau de Linux depuis plusieurs années. Donc ne dois donc pas installer un pare-feu mais plutôt installer un outil te permettant de configurer le pare-feu. Le plus connu (simple, fiable, efficace) est iptables

http://www.debian-fr.org/installation-parefeu-iptables-pour-les-nuls-t1901.html

2/ netstat -ua

#5

Bonjour,

Bon ok, je n’ai pas de pare-feu de configuré pour l’instant, je vais le faire plutard.
Mais vous n’avez pas répondu a ma question 3 !
Comment ajouter le port 4569 UDP ?
Comment ajouter le port 8080 TCP ?

Merci.

#6

[quote=“xunil2003”]Bonjour,

Bon ok, je n’ai pas de pare-feu de configuré pour l’instant, je vais le faire plutard.
Mais vous n’avez pas répondu a ma question !
Comment ajouter le port 4569 UDP ?
Comment ajouter le port 8080 TCP ?

Merci.[/quote]

Ajouter à quoi ? Si tu n’as pas de pare-feu TOUS les ports sont ouverts.
Il va falloir lire un peu sur iptables… :wink:

#7

Bonjour,

Je n’avait pas compris.

Mais c’est curieux, y a que 3 ports qui s’affiche ?

nmap 192.168.0.0-255 Starting Nmap 5.51 ( http://nmap.org ) at 2012-04-11 16:33 CEST Nmap scan report for 192.168.0.1 Host is up (0.00021s latency). Not shown: 997 closed ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 2000/tcp open cisco-sccp

Merci.

#8

[quote=“xunil2003”]Bonjour,

Bon ok, je n’ai pas de pare-feu de configuré pour l’instant, je vais le faire plutard.
Mais vous n’avez pas répondu a ma question 3 !
Comment ajouter le port 4569 UDP ?
Comment ajouter le port 8080 TCP ?

Merci.[/quote]

Je pense qu’il se moque du pare-feu :

Tu n’ajoute pas un PORT mais un SERVICE. L’installation d’un (ou de plusieurs) paquet(s) ajoute un service offert par ton serveur. Pour contacter ce service un client utilisera un port destination.

Donc on ajoute pas un port 8080 TCP sur un serveur, on ajoute le service “proxy web” qui sera en écoute sur le port 8080 TCP grâce à l’installation de SQUID par exemple.

Je réponds à ton interrogation ?

#9

Non ce n’est pas curieux c’est normal, les autres ports (MySQL, Exim et je-sais-pas-quoi-6010) n’écoutent que sur l’interface locale (127.0.0.1 en IPv4, ::1 en IPv6) et ne sont donc pas accessibles depuis l’extérieur.

#10

[quote=“xunil2003”]Bonjour,

Je n’avait pas compris.

Mais c’est curieux, y a que 3 ports qui s’affiche ?

nmap 192.168.0.0-255 Starting Nmap 5.51 ( http://nmap.org ) at 2012-04-11 16:33 CEST Nmap scan report for 192.168.0.1 Host is up (0.00021s latency). Not shown: 997 closed ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 2000/tcp open cisco-sccp
[/quote]
Normal.

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 105 3254 1340/mysqld tcp 0 0 0.0.0.0:2000 0.0.0.0:* LISTEN 0 6397 2889/asterisk tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 0 2834 1085/apache2 tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 3154 1225/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 0 3635 1703/exim4 tcp 0 0 127.0.0.1:6010 0.0.0.0:* LISTEN 0 4758 2143/0 tcp 0 352 192.168.0.1:22 192.168.0.2:60426 ESTABLISHED 0 4727 2143/0 tcp6 0 0 :::22 :::* LISTEN 0 3156 1225/sshd tcp6 0 0 ::1:25 :::* LISTEN 0 3636 1703/exim4 tcp6 0 0 ::1:6010 :::* LISTEN 0 4757 2143/0

127.0.0.1:3306 = le port 3306 est en écoute uniquement sur l’interface localhost donc une requête (ou un scan de port) vers la 192.168.0.1 n’aura pas de réponse.
0.0.0.0:2000 = le port est en écoute pour toutes les interfaces du serveur, donc un scan de port sur la 192.168.0.1 détectera ce port ouvert
::::22 = Concerne l’IPv6

Ton scan de port n’étant orienté que vers l’@ IP 192.168.0.1, tu ne vois en écoute que les ports autorisés à écouter sur toutes les interfaces (0.0.0.0).

Plus d’info aux liens sur cet article :
http://www.secuip.fr/hack/scan-de-ports-sous-nmap-avec-detection-des-versions-et-du-systeme-dexploitation

#11

Re,
Et puis c’est pas avec un nmap qu’on peut voir tous les services/ports actifs…

Il faut faire un netstat sur le serveur.

#12

[quote=“lol”]Re,
Et puis c’est pas avec un nmap qu’on peut voir tous les services/ports actifs…

Il faut faire un netstat sur le serveur.[/quote]

Sauf si il veut le faire à distance sur un serveur ne lui appartenant pas (INTERDIT par la loi et très facilement repérable) ou pour vérifier que la configuration de son pare-feu IPTABLES est correctement sécurisé -> CQFD.

:laughing:

#13

D’accord,
Mais encore faut-il utiliser nmap convenablement… :wink:

Du genre:

#14

Le scan de ports n’est pas interdit en tant que tel par la loi française. Il peut éventuellement être condamné qu’en tant qu’acte préparatoire à une intrusion, s’il y a intrusion ou tentative. Ce qui ne doit pas inciter tout le monde à scanner tout et n’importe quoi !

PS : Concernant les résultats de netstat et les sockets en écoute.
Les sockets écoutent sur une adresse, pas une interface. Il faut savoir que pour Linux l’adresse d’une interface est utilisable et accessible sur n’importe quelle autre interface de la machine, à l’exception des adresses de loopback qui sont restreintes à l’interface du même nom.

#15

@PascalHambourg : Merci pour tes précisions notamment sur le fonctionnement des sockets cette explication que tu m’avais déjà soumise me permet de mieux comprendre certaines choses et d’en avoir de nouvelles à tester.

:smiley:

#16

Bonjour,

Y faut arrêter de dire des conneries !

1/ J’ai le droit de scanner mon serveur domestique
2/ c’est ma propriété
3/ j’ai le droit de vérifier la sécurité de mon serveur

4/ je suis pas informaticien je me renseigne, qui fait suite a ce Post :
dreamplug-multi-boot-t37974.html

OK JE SUIS PAS HACKER !

Merci.

#17

On le sait que tu scanne ton serveur domestique puisque tu utilise un adressage privé ! Je cherchais juste un raison possible d’utiliser nmap avant de connaitre netstat et la conversation s’est élargie sans pour autant faire tu hors sujet puisqu’on amène des informations techniques et juridiques sur le sujet.

#18

Bonjour,

Je reviens vers vous.
J’ai besoin d’ouvrir l’accès apache pour mes pages web afin d’avoir accès avec mon ip ou mon adresse DNS Personnalisé style —> mon.dns.perso.fr qui pointe sur mon ip.

root@debian:/home/serveur/x10/perl# dpkg -l iptables Desired=Unknown/Install/Remove/Purge/Hold | Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend |/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad) ||/ Name Version Description +++-============================-============================-======================================================================== ii iptables 1.4.8-3 administration tools for packet filtering and NAT root@debian:/home/serveur/x10/perl#

ici je vois que apache est sur le port 80

root@debian:/home/serveur/x10/perl# netstat -alpent Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 105 3295 1352/mysqld tcp 0 0 0.0.0.0:2000 0.0.0.0:* LISTEN 0 3710 1450/asterisk tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 0 2873 1097/apache2 tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 3249 1316/sshd tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 3564 1539/master tcp 0 0 127.0.0.1:6010 0.0.0.0:* LISTEN 0 3966 1680/0 tcp 0 0 192.168.0.1:22 192.168.0.2:60827 ESTABLISHED 0 3888 1676/sshd: root@not tcp 0 0 192.168.0.1:22 192.168.0.2:60828 ESTABLISHED 0 3935 1680/0 tcp6 0 0 :::22 :::* LISTEN 0 3251 1316/sshd tcp6 0 0 ::1:6010 :::* LISTEN 0 3965 1680/0 root@debian:/home/serveur/x10/perl#

comment dois je procéder port ouvrir le port 80 a apache pour l’extérieur ?

Merci.