Bonsoir,
J’ai scanné mon serveur avec cette commande : nmap -O --osscan-guess -v monip
J’ai remarqué que sa me donne le descriptif de ma config, via une règle dans iptables est t-il possible de désactiver sa ?
je vous remercie d’avance.
Bonsoir,
demandes toi quels sont les ports scannés par nmap, puis s’ils sont réellement ouverts pour l’extérieur -> tonip.
Par ce qu’il y a des chances que tu n’obtiennes les informations que tu dis que parce que tu ne viens pas de l’extérieur … pour scanner ton pc.
non, j’ai fait mieux que sa, je suis de l’extérieur sur une autre connections adsl qui a rien avoir, j’ai juste le port 80 et 25 de ouvert.
Bonsoir,
je sais que via le port 80, on obtient beaucoup d’infos sur le PC. Voir le site de la CNIL, il me semble qu’ils font la démo.
Sinon sur le site http://assiste.com.free.fr/p/qui_etes_vous/qui_etes_vous_espionnage_sur_internet.html
Ah ben ok … donc ces ports n’ont besoin d’être ouverts que si tu as un serveur web et un serveur smtp d’installés.
c’est le cas, pour que on ne puisse pas obtenir les infos via la commande cité dans mon premier poste, c’est pas possible alors ?
Pour le smtp je ne sais pas, mais il y a des directives dans apache qui permettent de limiter ce que le serveur dit de lui-même et de ton système je crois …
euh, si mon expérience est juste, ils doivent être ouverts dans le sens toi vers extérieur, sinon comment tu peux “contacter” et donc voire tout serveur web sur le net, ainsi qu’envoyer tout mail.
et, fermés de l’extérieur vers toi, d’autant si tu n’as aucun de ces services à fournir, sauf si cela est relatif au flux que tu as ouvert toi-même.
L’intéressant pour le smtp est de cibler précisèment le serveur smtp auquel tu as accès et rien que celui-là.
Si tu n’as pas de grande compétence en la matière, l’usage d’un outil logiciel tel que firestarter est intéressant…
(y’a assurèment mieux).
Oui biensûr que dans le sens pc -> extérieur, 80 et 25 doivent être ouvert (ça tombe sous le sens).
Maintenant je me demande (n’ayant pas de serveur smtp installé), par quel port il enverrait les mails, 25 aussi ? De toutes façons, en interne, il est normalement toujours accessible non ?
[quote=“usinagaz”]Oui biensûr que dans le sens pc -> extérieur, 80 et 25 doivent être ouvert (ça tombe sous le sens).
Maintenant je me demande (n’ayant pas de serveur smtp installé), par quel port il enverrait les mails, 25 aussi ? De toutes façons, en interne, il est normalement toujours accessible non ?[/quote]
Non, si le port 25 est fermé, même sur la boucle locale, il ne peux être accessible - à moins que je ne me trompe -.
Et, vi les mails sont envoyés par le port relatif au serveur smtp, généralement 25 … à moins que le fournisseur smtp est redirigé le port ailleurs 
nmap fait plusieurs tests de ports et determine plein d’information en fonction de l’ensemble de ce qui est ouvert et de comment ça répond (il analyse une empreinte).
Il n’y a pas de port “spécifique” à fermer, c’est juste que moins il a d’infos, moins il sait de choses (merci lapalisse).
Si ton serveur est déjà verouillé pour une ouverture uniquement sur les ports utiles, tu n’as pas grandes possibilités, à part changer des trucs genre le numero de port ssh ou mettre comme ça sur des ports non standard les autres services que tu es le seul a utiliser et dont toi seul a besoin de connaitre le port…
effectivement le port 25 est ouvert que dans un cens…
Se si dit, j’ai toujours pas de réponse a la vrais question 
peut-on empêché se type de scanne “nmap -O --osscan-guess -v monip” si oui par quelle règle ?
La réponse est non car les comme l’a dis matt nmap utilise une empreinte suivant les infos qu’il pourra récolter.
Tu peux pour plus de sécurité empecher le ping et si tu ne veux qu’aucune infos ne sortent ben fermer tous tes ports.
ok merci beaucoup pour cette info…
[quote=“PengouinPdt”]euh, si mon expérience est juste, ils doivent être ouverts dans le sens toi vers extérieur, sinon comment tu peux “contacter” et donc voire tout serveur web sur le net, ainsi qu’envoyer tout mail.
et, fermés de l’extérieur vers toi, d’autant si tu n’as aucun de ces services à fournir, sauf si cela est relatif au flux que tu as ouvert toi-même.[/quote]
C’est pas l’inverse. On établie une connexion avec un serveur par une requête que le client envoie. Comment faire aboutir la requête si le port est fermé?
C’est pour le client qu’avoir un port fermé en entré et ouvert lors des connexions est le bon choix. 
[quote=“Yoko”][quote=“PengouinPdt”]euh, si mon expérience est juste, ils doivent être ouverts dans le sens toi vers extérieur, sinon comment tu peux “contacter” et donc voire tout serveur web sur le net, ainsi qu’envoyer tout mail.
et, fermés de l’extérieur vers toi, d’autant si tu n’as aucun de ces services à fournir, sauf si cela est relatif au flux que tu as ouvert toi-même.[/quote]
C’est pas l’inverse. On établie une connexion avec un serveur par une requête que le client envoie. Comment faire aboutir la requête si le port est fermé?
C’est pour le client qu’avoir un port fermé en entré et ouvert lors des connexions est le bon choix. [/quote]
stp, relis-mo
[quote=“PengouinPdt”][quote=“Yoko”][quote=“PengouinPdt”]euh, si mon expérience est juste, ils doivent être ouverts dans le sens toi vers extérieur, sinon comment tu peux “contacter” et donc voire tout serveur web sur le net, ainsi qu’envoyer tout mail.
et, fermés de l’extérieur vers toi, d’autant si tu n’as aucun de ces services à fournir, sauf si cela est relatif au flux que tu as ouvert toi-même.[/quote]
C’est pas l’inverse. On établie une connexion avec un serveur par une requête que le client envoie. Comment faire aboutir la requête si le port est fermé?
C’est pour le client qu’avoir un port fermé en entré et ouvert lors des connexions est le bon choix. [/quote]
stp, relis-mo [/quote]S’il te plait: relis toi
Yoko a raison: pour un service qui dessert des clients exterieurs comme le smtp/25, il faut effectivement autoriser les clients à se connecter au service (ouvert de l’exterieur vers toi), et si tu es assez parano pour bloquer aussi ce qui sort, il faut ouvrir aussi les ESTABLISHED,RELATED en sortie pour accepter les réponses du serveur.
Par ailleurs, indépendament de ce service de reception, pour l’envoi des mails, il faut aussi autoriser le service smtp à se connecter aux ports 25 des smtp distants, donc ouvrir en sortie, en plus des connections etablies, toute tentative de sortie vers un port 25.
Tu as bien affirmé le contraire. Relis toi.
Je récapitule :
=> Toute connexion est interdite !
=> De station vers le serveur - puisque c’est mon pc qui fait l’initialisation de la requête vers le serveur. Le serveur étant en attente d’initialisation.
=> Du serveur vers station, si c la requête est relative.
=> Du serveur vers station, si la requête est établie.
Ceci est dans le contexte, bien sûr où le pc est une station.
Si pc est serveur, c différent !
D’après les propos d’adminlinux, j’ai compris que son pc est une station et non un server… d’où mes propos - que je continue d’affirmer
Tu as raison, j’etais resté sur l’idée qu’adminlinux parlait de son serveur smtp.