[Abandon]}Test de séurité pare-feu sous PclinuxOs LXDE 2010

[Zonk]

Bonjour

J'ai installé PcLinuxOs LXDE 2010 sur une veille machine d'une copine

Cet ordinateur est connecté directement a un modem seul

 

....pas un modem -routeur ni de routeur.

Aucun matériel ne sera en reseau .....

 

J'ai paramétré le pare-feu selon les avis d'un contact qui s'y connait et j'ai suivit ses conseils a la lettre (car ce pare-feu par défaut n'est pas activé). Firefox , les mises a jour via Synaptic , etc...accèdent au net sans ennuis...bref tout va bien sur ce point.

 

Sur le test de GRC -Shield Up

 

j'obtient un echec .

 

Solicited TCP Packets: RECEIVED (FAILED) — As detailed in the port report below, one or more of your system's ports actively responded to our deliberate attempts to establish a connection. It is generally possible to increase your system's security by hiding it from the probes of potentially hostile hackers. Please see the details presented by the specific port links below, as well as the various resources on this site, and in our extremely helpful and active user community.

Le test Shield Up montre que tout les ports sont invisibles sauf le port 113 qui est fermé....et selon mes connaissances il n'y a pas de danger avec ce port fermé et je doute que cet échec soit en relation avec la detection de ce port "fermé"...mais je ne peux le confirmer mais le lien des explications est assez flou mais semble parler de ports fermés étant en cause

 

Le test sur Zebulon

ne donne pas ce type d'échec et confirme que les ports sont invisibles

.....sauf le 113 qui est fermé

Quoi faire et quoi penser de cet échec "Solicited TCP Packets:" ??

 

Si vous avez des idées pour corriger le problème ou de me confimer que c'est relié a ce port 113 je serais très reconnaissant....autrement si il y a danger et impoosibilité de corriger ,je devrai probablement recommander l'achat d'un routeur a cette personne ...si je peux lui éviter cet achat , ca ferait bien son bonheur

 

Si vous voulez en savoir d'avantage sur le sujet

 

Pare-feu sous PcLinuxOs LXDE 2010

 

@+ merci encore de m'aider

Modifié le 28 octobre 2010 par Zonk

[Greywolf]

que raconte

iptables -L -nv

[Zonk]

Salut Greywolf

Merci de m'aider !! cool!

Pour ce qui est de faire la procédure via le terminal, j'ai essayé sur ma machine virtuelle qui est exactement le meme OS (pour pouvoir l'apprendre et l'aider )

et ca me donne en entrant la commande :

http://www.hiboox.fr...9df3a8.jpg.html

 

"Commande introuvable"

j'en profite pour essayer avant de me déplacer chez cette personne car elle en est a ses premières minutes sous Linux...et le terminal ca sera trop pour elle et je la comprend

As tu une idée pourquoi ca ne trouve pas??

@+ et merci !!

 

Édit:

Voici une correction du lien

http://www.pclinuxos.com/forum/index.php/topic,80498.0.html

Modifié le 18 octobre 2010 par Zonk

[Greywolf]

oubli de ma part

l'exécutable iptables se trouve dans le répertoire /sbin

ce répertoire n'est pas dans la variable d'environnement $PATH de l'utilisateur simple mais dans celui de l'administrateur

2 solutions:

passer la commande en tant qu'administrateur

su -c 'iptables -L -nv'

valider, saisir le mot de passe administrateur et valider

 

ou

se logger en tant qu'administrateur (soit en lançant le terminal administrateur ou dans un terminal simple via la commande su) et saisir la commande

 

Je n'utilise pas d'interface graphique ni de firewall interactif sur mes PC. Pour un PC seul simplement connecté au net, il faut:

- identifier l'interface qui permet de se connecter au net. C'est celle qui obtient l'adresse IP publique du FAI. ça se voit en lançant ifconfig en tant qu'administrateur dans un terminal

- charger un script iptables tel que celui ci (minimaliste, tout est autorisé en sortie, rien en entrée ni en forward)

#! /bin/sh

#exécutable iptables
ipt = "/sbin/iptables"

#Interface internet
wan = "eth0"

#Définition des politiques par défaut
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
$ipt -P OUTPUT ACCEPT

#Boucle locale acceptée (pour les services internes)
$ipt -A INPUT -i lo -j ACCEPT

#Retour de connexions acceptées sur l'interface internet
$ipt -A INPUT -i $wan -m state --state ESTABLISHED,RELATED -j ACCEPT

 

ce script doit être rendu exécutable (chmod +x nom_du_fichier) et appelé via le fichier /etc/rc.local (s'il existe sur cette distribution)

[Zonk]

Salut Greywolf

J'ai entré

su -c 'iptables -L -nv'

et c'est encore introuvable !

 

2 - image / photo - Informatique - Hiboox

j'ai pourtant bien fait il me semble.....

@+ et désolé si j'ai erré....

 

Edit: Hourra !!!!

Ce que je dois faire pour reussir le tout est:

 

 

su

valider + password

 

et je vois par la suite en rouge

 

[root@localhost danny]#

 

et ensuite je rentre :

 

 

iptables -L -nv

et ensuite je vois une serie d'écritures....

 

je tenterai cette procédure chez mon amie

 

...est ce que je dois envoyer ce log en mp ou sur le forum ??...ne va t'il pas trop en dévoiler coté confidentialité "grand public" ??

Bye et merci encore !!

 

Modifié le 20 octobre 2010 par Zonk

[Greywolf]

je pense qu'il n'y a pas grand mal à mettre la sortie en public, ça peut être didactique

 

tu peux rediriger le flux de la commande dans un fichier texte, ça sera plus facile pour le copier-coller ou le transfert

iptables -L -nv > regles_fw.txt

 

le fichier sera créé dans le répertoire à partir duquel sera lancée la commande iptables

[Zonk]

Salut

je pense qu'il n'y a pas grand mal à mettre la sortie en public, ça peut être didactique

Pas de problème...je te poste ca a la suite aussitôt que je peux !

 

le fichier sera créé dans le répertoire à partir duquel sera lancée la commande iptables

Ca je ne comprends pas ce que tu veux dire par "répertoire" vs la commande....mais chose que je sais c'est qu'il y a moyen de copier /coller le texte donner dans le terminal (ca a marcher du moins dans ma machine virtuelle)...alors c'est mission accomplie ...en théorie

Merci et je te donne la suite aussitôt que possible

Bye

[Zonk]

Salut Greywolf

Désolépour le délai.....

voila le log de l'ordi de mon amie :

 

Chain INPUT (policy DROP 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

184 57020 Ifw all -- * * 0.0.0.0/0 0.0.0.0/0

184 57020 dynamic all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID,NEW

184 57020 net2fw all -- eth0 * 0.0.0.0/0 0.0.0.0/0

0 0 loc2fw all -- wlan0 * 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED

0 0 Reject all -- * * 0.0.0.0/0 0.0.0.0/0

0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:INPUT:REJECT:'

0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0 [goto]

 

Chain FORWARD (policy DROP 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

0 0 dynamic all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID,NEW

0 0 net2loc all -- eth0 wlan0 0.0.0.0/0 0.0.0.0/0

0 0 loc2net all -- wlan0 eth0 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED

0 0 Reject all -- * * 0.0.0.0/0 0.0.0.0/0

0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:FORWARD:REJECT:'

0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0 [goto]

 

Chain OUTPUT (policy DROP 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

28 4090 fw2net all -- * eth0 0.0.0.0/0 0.0.0.0/0

0 0 fw2loc all -- * wlan0 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED

0 0 Reject all -- * * 0.0.0.0/0 0.0.0.0/0

0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:OUTPUT:REJECT:'

0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0 [goto]

 

Chain Drop (2 references)

pkts bytes target prot opt in out source destination

157 52970 all -- * * 0.0.0.0/0 0.0.0.0/0

0 0 reject tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 /* Auth */

157 52970 dropBcast all -- * * 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 code 4 /* Needed ICMP types */

0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11 /* Needed ICMP types */

2 100 dropInvalid all -- * * 0.0.0.0/0 0.0.0.0/0

0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 135,445 /* SMB */

0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 /* SMB */

0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:137 dpts:1024:65535 /* SMB */

0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 135,139,445 /* SMB */

0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1900 /* UPnP */

1 60 dropNotSyn tcp -- * * 0.0.0.0/0 0.0.0.0/0

0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53 /* Late DNS Replies */

 

Chain Ifw (1 references)

pkts bytes target prot opt in out source destination

0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 match-set ifw_wl src

0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 match-set ifw_bl src

0 0 IFWLOG all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW psd weight-threshold: 10 delay-threshold: 10000 lo-ports-weight: 2 hi-ports-weight: 1 IFWLOG prefix 'SCAN'

27 4050 IFWLOG udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:631 IFWLOG prefix 'NEW'

0 0 IFWLOG udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:5353 IFWLOG prefix 'NEW'

0 0 IFWLOG udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:427 IFWLOG prefix 'NEW'

0 0 IFWLOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:631 IFWLOG prefix 'NEW'

0 0 IFWLOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW multiport dports 6881:6999 IFWLOG prefix 'NEW'

 

Chain Reject (3 references)

pkts bytes target prot opt in out source destination

0 0 all -- * * 0.0.0.0/0 0.0.0.0/0

0 0 reject tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 /* Auth */

0 0 dropBcast all -- * * 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 code 4 /* Needed ICMP types */

0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11 /* Needed ICMP types */

0 0 dropInvalid all -- * * 0.0.0.0/0 0.0.0.0/0

0 0 reject udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 135,445 /* SMB */

0 0 reject udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 /* SMB */

0 0 reject udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:137 dpts:1024:65535 /* SMB */

0 0 reject tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 135,139,445 /* SMB */

0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1900 /* UPnP */

0 0 dropNotSyn tcp -- * * 0.0.0.0/0 0.0.0.0/0

0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53 /* Late DNS Replies */

 

Chain dropBcast (2 references)

pkts bytes target prot opt in out source destination

155 52870 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST

0 0 DROP all -- * * 0.0.0.0/0 224.0.0.0/4

 

Chain dropInvalid (2 references)

pkts bytes target prot opt in out source destination

1 40 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID

 

Chain dropNotSyn (2 references)

pkts bytes target prot opt in out source destination

0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02

 

Chain dynamic (2 references)

pkts bytes target prot opt in out source destination

 

Chain fw2loc (1 references)

pkts bytes target prot opt in out source destination

0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED

0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

 

Chain fw2net (1 references)

pkts bytes target prot opt in out source destination

0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED

28 4090 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

 

Chain loc2fw (1 references)

pkts bytes target prot opt in out source destination

0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED

0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

 

Chain loc2net (1 references)

pkts bytes target prot opt in out source destination

0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED

0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

 

Chain logdrop (0 references)

pkts bytes target prot opt in out source destination

0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

 

Chain logreject (0 references)

pkts bytes target prot opt in out source destination

0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0

 

Chain net2fw (1 references)

pkts bytes target prot opt in out source destination

0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED

27 4050 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 631,5353,427

0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 631,6881:6999

157 52970 Drop all -- * * 0.0.0.0/0 0.0.0.0/0

1 60 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

 

Chain net2loc (1 references)

pkts bytes target prot opt in out source destination

0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED

0 0 Drop all -- * * 0.0.0.0/0 0.0.0.0/0

0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

 

Chain reject (10 references)

pkts bytes target prot opt in out source destination

0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match src-type BROADCAST

0 0 DROP all -- * * 224.0.0.0/4 0.0.0.0/0

0 0 DROP 2 -- * * 0.0.0.0/0 0.0.0.0/0

0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset

0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

0 0 REJECT icmp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-unreachable

0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

 

Chain shorewall (0 references)

pkts bytes target prot opt in out source

 

Merci beaucoup

Modifié le 27 octobre 2010 par Zonk

[Greywolf]

dans ta chaine Reject, les paquets 113 sont en REJECT et non en DROP.

C'est ça qui cause la "non-furtivité".

 

Je ne connais pas shorewall mais ses fichiers de configuration doivent se trouver dans /etc/shorewall

trouver les règles de la chaine Reject (attention, il y a une autre chaine en minuscule cette fois)

trouver la ligne correspondant au tcp 113

modifier la cible REJECT en DROP

[Zonk]

Salut Greywolf

Je ne connais pas shorewall mais ses fichiers de configuration doivent se trouver dans /etc/shorewall

trouver les règles de la chaine Reject (attention, il y a une autre chaine en minuscule cette fois)

trouver la ligne correspondant au tcp 113

modifier la cible REJECT en DROP

Je vais regarder dans ma machine virtuelle ayant pclos pour essayer de voir ce que tu veux dire....je dois checher la chaine en majuscule ??

 

Que dirais tu si je te donnait mon contenu de "shorewall" et ainsi je pourrais peut etre essayer transposer la procédure que tu me dictera sur la machine touchée ??...ca ira dans quelques heures car je retourne au travail sous peu ...

J'ai fait acheter (en ligne )un routeur a mon amie...mais il arrivera dans quelques jours seulement .Je connais ce routeur et les ports sont invisibles lors de tests.....mais ca serait bien de tenter via le pare-feu logiciel

@+ et merci

Modifié le 27 octobre 2010 par Zonk