Linux : interdire ICMP

[jf21]

dans sysctl.conf la syntaxe serait

net.ipv4.icmp_echo_ignore_all = 1

 

Bonjour,

 

Effectivement, comme tu le pressentais, cela n'a rien changé !

 

En ce qui concerne les politiques par défaut des tables netfilter, voici ce que cela donne :

 

Chain INPUT (policy DROP)

Chain FORWARD (policy DROP)

Chain OUTPUT (policy ACCEPT)

ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-ns

ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-dgm

ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:netbios-ssn

ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:microsoft-ds

ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootps

ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootpc

ufw-skip-to-policy-input all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST

Chain ufw-skip-to-policy-forward (0 references)

Chain ufw-skip-to-policy-input (7 references)

Chain ufw-skip-to-policy-output (0 references)

 

J'avoue que je n'y comprends malheureusement rien, mais je suis certain que tu vas voir ce qui cloche ! Si explications, je suis preneur !!

 

Encore merci !

[Greywolf]

iptables -L ufw-skip-to-policy-input

[jf21]

OK, je tenterai cette manip demain. mais cela sert à quoi ? Si je comprends bien cela permettrait de ne pas tenir compte des règles d'entrées fixées par ufw ? j'ai bien traduit la commande ?

[Greywolf]

non c'est une chaine utilisateur, je veux juste vérifier qu'il n'y a pas de cible de terminaison de classification des paquets entrants en REJECT (ce qui empecherait la politique par défaut de la chaine INPUT de se réaliser, i.e. DROP)

 

iptables -L permet de Lister les règles d'une chaine

[jf21]

et hop :

 

Chain ufw-skip-to-policy-input (7 references)

target prot opt source destination

REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

 

 

Voilà !

[Greywolf]

bon ben tu peux effacer cette règle qui rejette tous les paquets entrants en signifiant à l'émetteur que le port est fermé. Ainsi la politique par défaut de la chaine INPUT s'appliquera (i.e. DROP) et tes ports seront masqués.

 

idéalement, il faudrait trouver le script qui active ton firewall au démarrage de ton PC et y effectuer les modifications (un script dans /etc/ufw probablement)

 

sinon, dans un terminal, cette commande efface la première règle de la chaine donnée en argument

iptables -D ufw-skip-to-policy-input 1

[jf21]

J'ai suivi tes instructions et j'ai relancé un test ShieldUp et mes ports ne sont toujours pas masqués, mon pare-feu est pourtant actif.

Je me demande comme le suggérait Zonk si derrière ma clé SFR il n'y a pas une espèce de routeur sur lequel on n'a pas de prise, comme si j'étais connecté sur une box.

Encore une fois, je ne suis pas informaticien mais je me souviens que lorsque j'ai eu ma box il fallu que je la configure, elle. SFR n'a t il pas une espèce de "super-box" derrière ma clé ?

[Greywolf]

Il est possible que tu passes par un proxy transparent, c'est alors lui qui est testé. Si j'effectue un scan de port rapide de l'IP avec laquelle tu te connectes au forum, tous les ports testés sont en état fermé et le port SMTP en l'état filtré, la prise d'empreinte bien qu'imparfaite ne révèle pas une station fonctionnant sous Linux

 

Not shown: 1275 closed ports
PORT   STATE	SERVICE
25/tcp filtered smtp
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: load balancer|general purpose|firewall
Running (JUST GUESSING) : F5 Networks embedded (94%), OpenBSD 4.X|3.X (92%), FreeBSD 7.X|6.X (91%), PC-BSD (91%), Secure Computing SecureOS 6.X (90%), Sun Solaris 8|9|10 (90%)
Aggressive OS guesses: F5 BIG-IP Local Traffic Manager load balancer (94%), OpenBSD 4.1 (x86) (92%), OpenBSD 4.0 (92%), FreeBSD 7.0-BETA4 (91%), FreeBSD 6.2-RELEASE-p2 (pf with scrub enabled) (91%), OpenBSD 3.5 (91%), OpenBSD 3.9 (91%), OpenBSD 4.0 (x86) (91%), OpenBSD 4.0 - 4.2 (91%), PC-BSD 1.3 (91%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 7 hops

[jf21]

Et... c'est rassurant ou pas tout ça ???

Mon adresse IP est donc fixe si je comprends bien ? Dans ce cas je suppose que je suis une cible facile non ?

[Greywolf]

l'adresse IP qui est vue par les serveurs distants n'est a priori pas celle qui est attribuée à ton interface 3G. C'est ce serveur mandataire qui est scanné lors de tes tests et c'est également celui-ci qui est vu par le forum.

Ton adresse IP du lien 3G peut parfaitement être dynamique

 

Si tu le souhaites, fournis moi la sortie de la commande ifconfig par message privé. Ton adresse publique réelle doit y figurer et il me sera possible de vérifier que tes ports sont bien masqués (ce qui devrait être le cas au vu des modifications réalisées sur ton script de firewall)

 

à 01h00 le 01/07, un scan de port réalisé sur l'adresse 77.192.x.y dont tu disposais jusqu'à au moins 00h23, date de ton dernier post, indique que tous les ports sont filtrés (ceci dit, tu es peut être déconnecté du réseau à cette heure :-/)