|
|
|
Publicité ' | |||||||||||||||||||||||
02/10/2007, 23h58
|
#1 |
|
Membre régulier
 Inscription : octobre 2007 Messages : 89  |
Iptable-Ouvrir un port entrant avec snort_inline
Bonjours les gens,
Fraichement inscrit sur ce forum mais depuis longtemps fidèle au site que je considère comme une bible !!! j'en fais appel a vous pour un petit coup de pouce avec Iptables... #Pour faire court : ##Ce que je voudrais : ouvrir un port entrant sur ma passerelle, la règle que j'utilise: $IPTABLES -A tcp_packets -p tcp -i $INET_IFACE --dport 7098 -j allowed ##avec quelques détails sommaires : * tcp_packets une chaine utilisateur crée pour filtrer les packets tcp qui s'insere de cette façon dans la table de filtrage : INPUT -> bad_tcp_packets (NEW !syn etc...) -> tcp_packets -> udp_packets -> icmp_packets -> vers snort_inline -> DROP *et a partir de la chaine "tcp_packets": tcp_packets -> allowed -> vers snort_inline # Le but et le problème : ouvrir le port 7098 pour une connexion Open-ssh (server Debian) avec putty comme client(windows) ( marche depuis le reseau local (non filtré) mais pas depuis le reseau externe (filtré) ) Apparement le port reste fermé (stealth d'après grc... ce que je ne veux pas pour une foi...), et là franchement je seche... un petit coup d'oeil s.v.p ? ##Pour des détails supplèmentaires : ########################## ###Ma table INPUT : ########################## echo " rejet bad_paquets " $IPTABLES -A INPUT -p tcp -j bad_tcp_packets echo " accepte de LAN_IFACE " $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -j ACCEPT echo " paquets entant venant d'internet " $IPTABLES -A INPUT -p tcp -i $INET_IFACE -j tcp_packets $IPTABLES -A INPUT -p udp -i $INET_IFACE -j udp_packets $IPTABLES -A INPUT -p icmp -i $INET_IFACE -j icmp_packets #routage vers snort_inline: $IPTABLES -A INPUT -p ALL -i $INET_IFACE -j QUEUE echo " log bad input " $IPTABLES -A INPUT -i $INET_IFACE -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix " IPT NCORRSP INPUT : " ###Ma chaine bad_tcp_packets: ###################### $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix " New not syn: " $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP ###Ma chaine tcp_packets : ################### #putty connexion ssh $IPTABLES -A tcp_packets -p tcp -i $INET_IFACE --dport 7098 -j allowed #connexion tcp $IPTABLES -A tcp_packets -p tcp -s 0/0 --sport 21 -j allowed #$IPTABLES -A tcp_packets -p tcp -s 0/0 --sport 25 -j allowed $IPTABLES -A tcp_packets -p tcp -s 0/0 --sport 80 -j allowed .../...etc... ###et ma chaine allowed ################### #paquets syn vers ip_queue (snort_inline), origine du Pb???... $IPTABLES -A allowed_F -p tcp --syn -j ip_queue $IPTABLES -A allowed_F -i $INET_IFACE -j QUEUE $IPTABLES -A allowed_F -i $INET_IFACE -j DROP |
|
00
|
|
07/10/2007, 09h57
|
#2 |
|
Membre régulier
Inscription : octobre 2007 Messages : 89 |
j'avance... openssh...
Salut,
Bon après avoir repris mon script n fois... en avoir recrée quelques un plus simple... Je me suis interrèssè a mes fichiers log... et apparement d'après ceux ci : DEBUG(108): error: Bind to port 6032 on 89.xxx.xxx.xxx failed: Cannot assign requested address. DEBUG(109): Server listening on 192.168.0.1 port 6032. j'en déduits donc que cela n'as rien a voir avec mon script iptables... arf.... j'aurais du commencer par la, cela m'aurais économisé du café... Mais apparement Dans les man(s) que j'ai pu trouvé, il est possible de faire écouter sur plus d'une interface en placant les directives, que j'ai utilisé : ListenAddress 192.168.0.2:6032 ListenAddress 89.xxx.xxx.xxx:6032 Je continue de creuser... |
|
|
00
|
Copyright © 2000-2012 - www.developpez.com