logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 05-10-2014 11:43:39

kapu
Membre
Distrib. : Debian Wheezy stable
Noyau : Linux 3.2.0-4-amd64
(G)UI : aucun
Inscription : 05-10-2014

[abandonné] Portsentry et iptables

Bonjour à vous.
J'ai installé debian sur mon petit laptop. Je veux en faire un serveur, et du coup là je lui ai mis iptables, puis portsentry.
J'ai suivi ce tuto pour portsentry: http://www.isalo.org/wiki.debian-fr/Portsentry

J'ai activé le blocage des scanneurs de ports, et du coup je me suis bloqué, ce à quoi je m'attendais. Cependant je ne trouve pas la solution pour accéder de nouveau à mon serveur via ssh =/
J'ai enlevé le blocage d'IP par portsentry, mais je lui avais rajouté cette ligne :

KILL_RUN_CMD="/sbin/iptables -I INPUT -s $TARGET$ -j DROP && /sbin/iptables -I INPUT -s $TARGET$ -m limit --limit 3/minute --limit-burst 5 -j LOG --log-level debub --log-prefix 'Portsentry: dropping: '"



dans /etc/portsentry/portsentry.conf

Et je pense qu'il faut que j'agisse au niveau d'iptables pour autoriser de nouveau mon IP, mais je ne sais pas comment faire =/ Est-ce la bonne solution à envisager?

Bonne journée smile

Dernière modification par kapu (05-10-2014 18:39:06)

Hors ligne

#2 05-10-2014 11:50:17

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [abandonné] Portsentry et iptables

Bonjour,

Je ne connais pas du tout mais as-tu tenté "Autorisez les scans légitimes" ?

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#3 05-10-2014 12:40:48

kapu
Membre
Distrib. : Debian Wheezy stable
Noyau : Linux 3.2.0-4-amd64
(G)UI : aucun
Inscription : 05-10-2014

Re : [abandonné] Portsentry et iptables

Bonjour, oui, j'ai bien rajouté mon IP dans le /etc/portsentry/portsentry.ignore.static , je ne connais juste pas mon netmask par contre =/ Du coup le logiciel suppose que c'est monIP/32 (où 32 est mon netmask).
Puis j'ai redémarré toussa toussa.

J'ai vraiment l'impression que là portsentry a bloqué une fois mon IP, et l'a ajouté dans Iptables pour me bloquer totalement, et je ne sais pas comment modifier/voir dans iptables si ça a été fait =/

EDIT: j'ai même retiré mon IP du fichier /etc/hosts.deny et même après le reboot du serveur je n'arrive pas à me logger via SSH, mon terminal m'affiche au bout de quelques minutes:

ssh: connect to host 192.1.** port **: Connection timed out
 

(c'est moi qui ai remplacé certains chiffres par les étoiles^^)

Dernière modification par kapu (05-10-2014 12:52:29)

Hors ligne

#4 05-10-2014 13:48:44

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [abandonné] Portsentry et iptables

Je pensais qu'en reboutant le serveur, si on a pas fait de script, les règles iptables étaient raz.
Donc c'est portsentry qui agit au reboot et du coup, tu peux juste lister les règles qu'il a établit

iptables -L


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#5 05-10-2014 14:09:08

kapu
Membre
Distrib. : Debian Wheezy stable
Noyau : Linux 3.2.0-4-amd64
(G)UI : aucun
Inscription : 05-10-2014

Re : [abandonné] Portsentry et iptables

Pour

iptables -L

je n'y vois pas mon adresse IP, cela veut bien dire qu'iptable ne me bloque pas? Ou je dois chercher une commande en particulier? Par exemple, je ne peux pas me connecter par ssh, mais aucun soucis pour aller voir la page web de transmission sur ce même serveur.
Du coup, j'ai du mal à comprendre d'où peut venir ce soucis =/

Dernière modification par kapu (05-10-2014 14:18:49)

Hors ligne

#6 05-10-2014 14:17:05

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [abandonné] Portsentry et iptables

Peux-tu rediriger la sortie vers un fichier que tu consulteras ensuite ?

iptables -L > monfichier


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#7 05-10-2014 18:38:43

kapu
Membre
Distrib. : Debian Wheezy stable
Noyau : Linux 3.2.0-4-amd64
(G)UI : aucun
Inscription : 05-10-2014

Re : [abandonné] Portsentry et iptables

Alors, j'ai un petit soucis^^
J'ai d'abord tenté de purger portsentry (apt-get purge) mais cela n'a eu aucun effet sur ma connexion ssh, pas plus que la purge de iptbales O_o

N'y comprenant plus rien j'ai décidé de repartir de 0, j'ai pu nettoyer mon DD, mais impossible de ré installer débian, des soucis avec ma clé usb sous ubuntu toussa toussa.

Du coup le sujet est abandonné ^^"

Merci quand même smile

Hors ligne

#8 05-10-2014 19:54:15

Thuban
aka prx
Distrib. : OpenBSD
Noyau : current
(G)UI : cwm
Inscription : 09-01-2009
Site Web

Re : [abandonné] Portsentry et iptables

Je ne me souviens plus exactement comment fait portsentry, mais il est possible que ça ne soit pas que à iptables qu'il ajoute une règle, mais aussi dans le fichier /etc/hosts.deny

Hors ligne

#9 05-10-2014 19:54:16

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [abandonné] Portsentry et iptables

À une autre fois, alors.  smile

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#10 21-10-2014 18:29:50

thephenix83
Membre
Inscription : 21-10-2014

Re : [abandonné] Portsentry et iptables

Tuto pour installer Portsentry et le configurer pour virer les tentatives de scan.
Installe Portsentry :

apt-get install portsentry



Configuration Portsentry :

nano /etc/portsentry/portsentry.ignore.static


Modifier :
# IP du serveur (votre serveur)
x.x.x.x
# Votre IP maison si fixe par sécurité (ou mettre plage d'ip de votre FAI : ex: IP Orange 81.253.0.0/18 -86.208.0.0/16)
x.x.x.x
# Plage d'IP Google
66.249.64.0/19

Configuration de Portsentry 2:

nano /etc/portsentry/portsentry.conf



Cherchez ce block la :

##################
# Ignore Options #
##################
# These options allow you to enable automatic response
# options for UDP/TCP. This is useful if you just want
# warnings for connections, but don't want to react for
# a particular protocol (i.e. you want to block TCP, but
# not UDP). To prevent a possible Denial of service attack
# against UDP and stealth scan detection for TCP, you may
# want to disable blocking, but leave the warning enabled.
# I personally would wait for this to become a problem before
# doing though as most attackers really aren't doing this.
# The third option allows you to run just the external command
# in case of a scan to have a pager script or such execute
# but not drop the route. This may be useful for some admins
# who want to block TCP, but only want pager/e-mail warnings
# on UDP, etc.
#
#
# 0 = Do not block UDP/TCP scans.
# 1 = Block UDP/TCP scans.
# 2 = Run external command only (KILL_RUN_CMD)

BLOCK_UDP="0"
BLOCK_TCP="0"
 


Et mettez "1" a la place de "0":

BLOCK_UDP="1"


BLOCK_TCP="1"



Cherchez le Block ci dessous et verifier que devant KILL_ROUTE ce soit décommenté (pas de #) :

# Newer versions of Linux support the reject flag now. This
# is cleaner than the above option.
KILL_ROUTE="/sbin/route add -host $TARGET$ reject"
 



Aller au Block :

###################
# External Command#
###################
# This is a command that is run when a host connects, it can be whatever
# you want it to be (pager, etc.). This command is executed before the
# route is dropped or after depending on the KILL_RUN_CMD_FIRST option below
#
#
# I NEVER RECOMMEND YOU PUT IN RETALIATORY ACTIONS AGAINST THE HOST SCANNING
# YOU!
#
# TCP/IP is an *unauthenticated protocol* and people can make scans appear out
# of thin air. The only time it is reasonably safe (and I *never* think it is
# reasonable) to run reverse probe scripts is when using the "classic" -tcp mode.
# This mode requires a full connect and is very hard to spoof.
#
# The KILL_RUN_CMD_FIRST value should be set to "1" to force the command
# to run *before* the blocking occurs and should be set to "0" to make the
# command run *after* the blocking has occurred.
 



et ajoutez ceci :

# Ajout de moi
KILL_RUN_CMD="/sbin/iptables -I INPUT -s $TARGET$ -j DROP && /sbin/iptables -I IN
 



On sauve ( Ctrl + o, enter, Ctrl + x )
On edite :

nano /etc/default/portsentry



On modifie le Block ainsi :

# /etc/default/portsentry
#
# This file is read by /etc/init.d/portsentry. See the portsentry.8
# manpage for details.
#
# The options in this file refer to commandline arguments (all in lowercase)
# of portsentry. Use only one tcp and udp mode at a time.
#
TCP_MODE="atcp"
UDP_MODE="audp"



Voila on vient de passer en mode automatique la detection de nos ports qui sont utilisé.

Un coup de :

service portsentry restart


et voila portsentry est démarré et fonctionne en dropant les scans

Pour verifier les logues de Portsentry :

 cat /var/log/daemon.log | grep "portsentry"

Hors ligne

Pied de page des forums