Vous n'êtes pas identifié(e).
Pages : 1
Dernière modification par Harry_Cover (29-09-2018 23:35:31)
Hors ligne
installer un dns local sur le serveur, y créer une zone pour faire pointer host.dyndns.net sur l'ip local
et donc par défaut modifier le dns primaire du réseau local, si dhcp via routeur, voir si on peut lui donner un autre dns que lui-même, sinon faudra aussi refaire un dhcp maison
o_O
Hors ligne
Hors ligne
cela peut-il venir de mon IPTABLE ? dans le doute :
Ce sont les règles iptables de quelle machine ? Le serveur ou un poste client ?
Si c'est le serveur, je m'étonne qu'il soit accessible par 192.168.1.20:8080 alors que le port 8080 n'est pas autorisé en entrée mais seulement en sortie par les règles iptables.
# Flood ou déni de service
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT
# Scan de ports
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ça vient d'où ? Il me semble avoir déjà vu ces conneries ailleurs, il faudrait dire à la source de corriger.
Si je ne m'abuse, si pour le OUTPUT le dport est 53 alors 53 est le sport dans le INPUT.
Tu t'abuses. La règle INPUT ne sert pas à accepter les réponses entrantes aux requêtes DNS sortantes, qui sont déjà acceptées par la règle ESTABLISHED, mais les requêtes DNS entrantes. Ce n'est évidemment utile que si la machine fait tourner un serveur DNS qui doit être accessible par d'autres machines.
Une règle INPUT avec --sport serait la porte ouverte à toutes les intrusions.
Dernière modification par raleur (30-09-2018 13:20:37)
Il vaut mieux montrer que raconter.
Hors ligne
Hors ligne
Dernière modification par raleur (30-09-2018 14:31:27)
Il vaut mieux montrer que raconter.
Hors ligne
Tu t'abuses. La règle INPUT ne sert pas à accepter les réponses entrantes aux requêtes DNS sortantes, qui sont déjà acceptées par la règle ESTABLISHED,
Puis-je sans abuser faire remarquer que dans le cas d'une connexion tcp le SYN-ACK ne fait pas partie des paquets reconnus par ESTABLISHED ?
edit: Harry_Cover, en dehors des problèmes de parefeu évoqués ci-dessus, les propositions de Freemaster sont tout à fait pertinentes, en particulier l'ajout d'une ligne dans le /etc/hosts est rapide à mettre en place (sur un PC tout au moins) et à tester.
Dernière modification par anonyme (30-09-2018 16:05:30)
dans le cas d'une connexion tcp le SYN-ACK ne fait pas partie des paquets reconnus par ESTABLISHED
Si. Autrement, dans quel état serait-il classé ?
Tu confonds peut-être avec l'état de la socket TCP (affiché par netstat ou ss) qui ne passe à ESTABLISHED qu'après l'acquittement du packet SYN/ACK ?
Il vaut mieux montrer que raconter.
Hors ligne
Autrement, dans quel état serait-il classé ?
NEW ? Ça ne me paraît pas illogique étant donné que c'est le premier paquet à passer dans ce sens.
Je ne confonds pas, je fais référence à mes connaissances et mises en œuvre d'iptables. J'ai d'ailleurs pris la précaution de refaire la manip avant de répondre.
Malheureusement je n'arrive pas à mettre la main sur une doc "officielle" mais on trouve un peu partout sur le web l'idée qu'ESTABLISHED est l'état d'une connexion qui a vu passer au moins 1 paquet dans chaque sens. Par exemple ici ou encore ici dans la première réponse.
NEW ? Ça ne me paraît pas illogique étant donné que c'est le premier paquet à passer dans ce sens.
Mais ce n'est pas le premier paquet de la connexion. Le but du suivi de connexion étant de pouvoir traiter les connexions notamment en fonction de leur direction initiale (connexion entrante/sortante), ce serait particulièrement contre-productif. Certes la correspondance conntrack permet de spécifier si le paquet appartient à la direction originelle ou réponse, mais la correspondance state qui a été développée initialement pour exploiter le suivi de connexion n'a pas cette possibilité.
J'ai d'ailleurs pris la précaution de refaire la manip avant de répondre.
Quelle manip ?
ESTABLISHED est l'état d'une connexion qui a vu passer au moins 1 paquet dans chaque sens.
Exact. Le paquet en cours de traitement y compris.
je n'arrive pas à mettre la main sur une doc "officielle"
Dernière modification par raleur (30-09-2018 18:37:04)
Il vaut mieux montrer que raconter.
Hors ligne
Quelle manip ?
Sur le "serveur", après avoir lancé un
// à ce stade le OUTPUT étant en ACCEPT on peut envoyer des données au nc en écoute
// là ça ne fonctionne plus
et effectivement il en manque un bout, en ajoutant
ça se passe beaucoup mieux. J'était tellement sûr de moi que je n'ai pas jugé bon d'ajouter cette règle (en fait j'ai dû raisonner à l'envers; la règle pour les ESTABLISHED n'est pas utile vu que le paquet est NEW) .
Excuse mon insistance raleur mais tu viens de mettre fin à un mythe; depuis 2005-2006, époque ou j'avais un peu mis le nez dans iptables, j'avais en mémoire l'explication donnée plus haut, suite sans doute à l'époque aussi à une erreur de manip ou de raisonnement. J'ai un vague souvenir d'avoir trouvé ce fonctionnement curieux à l'époque en essayant de détailler les règles pour les SYN, SYN/ACK et ACK, mais je ne saurais plus dire pourquoi précisément. Il faudrait que je me repenche sur les détails de conntrack et state.
Dans tous les cas j'étais bien persuadé depuis lors de ce fonctionnement, et je te remercie de m'avoir donné l'occasion de rétablir la réalité. J'espère ne pas avoir abusé de ta patience
Voilà donc un point éclairci. Il reste à attendre le retour de Harry_Cover
Hors ligne
o_O
Hors ligne
je m'étonne qu'il soit accessible par 192.168.1.20:8080 alors que le port 8080 n'est pas autorisé en entrée mais seulement en sortie par les règles iptables.
Edit : grillé par Freemaster
Dernière modification par raleur (01-10-2018 20:14:40)
Il vaut mieux montrer que raconter.
Hors ligne
Hors ligne
en
et tu accèderas à ton url à l'adresse http://mon.nom.domaine.fr:8080/
si tu ne veux pas indiquer le port, tu fais écouter le serveur web sur le port 80 tout simplement
o_O
Hors ligne
192.168.1.20:8080 mon.nom.domaine.fr
On ne doit pas mettre de numéro de port dans le fichier hosts. Seulement des adresses IP et des noms d'hôtes.
Je suppose que tu as créé sur la box une redirection du port 80 vers le port 8080 du serveur. Y a-t-il une raison particulière pour ne pas avoir utilisé le port 80 sur le serveur ?
si tu ne veux pas indiquer le port, tu fais écouter le serveur web sur le port 80
Aors il faudra aussi autoriser le port 80 en entrée dans les règles iptables. Au passage, les règles en place montrées dans le message #16 ne correspondent pas au script posté dans le message #1. Pas terrible comme base de discussion.
Il vaut mieux montrer que raconter.
Hors ligne
Hors ligne
Pages : 1