Iptables Script analyse log + ouverture port

[mattewsevitch]

Bonjour à tous

Je vient vous exposer une petite colle que l'on m'a poser et sur laquelle je planche depuis 1 semaine sans vraiment trouver quelque chose.

Alors pret?

Voila je doit créer un script qui analyse le fichier de log de iptables, qui a était deplacé et qui n'enregistre que les drop de ICMP.

A partir de ce fichier log, le script doit compter un certain nombre de fois la presence d'un adresse MAC precise dans un laps de temps court ( 10 seconde).

Une fois cette tache faite, le script doit ouvrir un port de iptable pour laisser passer ssh sur le port 38 ( pas 22 ), port qui a était modifier dans sshd.conf donc pas de redirection.

Le port bien sur ne doit pas rester étername ouvert ( sinon ça sert a rien hein ), il doit donc se refermer 30 min plus tard automatiquement.

Ensuite le script doit vider le fichier de log afin de ne pas retrouver a l'infini la MAC.

Et pour finir le script doit tourner en premanence

hi hi voila la colle

celui qui pourra me filler un coup de main ou de pouce sera beni pendant 30 ans et sur 15 générations

merci d'avance

voici les tables de iptables si ça peut aider

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
#!/bin/sh
 
# Nous vidons toutes les chaines
iptables -F
 
# Nous supprimons les chaines non standards
iptables -X
 
# permet de prefixer  la valeur [LOG_ICMP]
iptables -A INPUT -p icmp --icmp-type echo-request -j LOG --log-prefix "[LOG_ICMP]" --log-level=6
 
# Par defaut tout est ferme
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
# La machine locale est sure
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
# Resolution DNS pour le firewall
iptables -A INPUT  -i eth0 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT  -i eth0 --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT 
 
# connexions Firewall-Internet
iptables -A OUTPUT -p tcp --dport 80  -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -p tcp --sport 80  -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -p tcp --sport 443 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
#Enleve les log de l'ecran
echo "0 4 1 3" > /proc/sys/kernel/printk
 
echo "Terminer"
 
# Fin du fichier

[gorgonite]

ben pour chercher dans le fichier de log... un coup de grep sur LOG_ICMP, puis un coup de awk ou de sed pour extraire la mac-address

l'ouverture d'un port tcp en sortie sur iptables, tu sais faire... c'est dans ton script

vider log, sed sur un fichier texte... regardes les options

refermer 30 min plus tard...
+ methode bourrin : "sleep 30*60" ; fermeture du port iptables


le script est a lancer via crontab a intervalle regulier (et faible...)


voila qui devrait te mettre sur la piste, tout en te laissant faire le boulot... comme cela tu apprendras mieux

[mattewsevitch]

merci je vais regarder ça

[_solo]

C'est du port knocking que t'essaie de faire en fait.

[mattewsevitch]

oui mais non

c'est le principe sauf que l'on passe par les logs a la recherche d'une mac précise et pas d'une serie de port defini

mais bon d'en l'esprit c'est pareil

on a presque reussi donc je posterai le script d'ici la fin de semaine