PDA

Afficher la version complète : [Réglé] Amélioration régle anti-scan IPTABLES



Hexoseth
19/11/2010, 15h50
Bonjour,
J'ai un script iptables qui fonctionne bien mais que je continue d'améliorer. J'ai une régle qui me permet de bloquer les scans de port mais celle-ci est imcompléte.
J'ai lu mon fichier de log iptables et j'ai remarqué que le module recent prend en compte beaucoup de paramètre.
Regarder le log sa sera plus explicite la colonne IPT-SCANx et ID=

Nov 19 12:10:39 setha1 IPT-SCAN1 IN=eth0 SRC=88.170.77.127 DST=192.168.X.X LEN=64 TOS=0x00 PREC=0x00 TTL=38 ID=40283 DF PROTO=TCP SPT=51011 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0
Nov 19 12:10:42 setha1 IPT-SCAN1 IN=eth0 SRC=88.170.77.127 DST=192.168.X.X LEN=64 TOS=0x00 PREC=0x00 TTL=38 ID=42075 DF PROTO=TCP SPT=51011 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0
Nov 19 12:10:42 setha1 IPT-SCAN2 IN=eth0 SRC=88.170.77.127 DST=192.168.X.X LEN=64 TOS=0x00 PREC=0x00 TTL=38 ID=42075 DF PROTO=TCP SPT=51011 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0Donc je souhaiterai que seul ip source soit prise en compte, par défaut le module recent utilise --rsource pour sauvegarder l'adresse et les ports source.
J'ai regarder dans le man iptables voir comment utiliser --rsource mais il n'y a pas vraiment d'explication.


Merci de votre aide

jluce
19/11/2010, 16h13
slt

t'as lu ca y'a l'explicatif des correspondences pour recent ;)

http://linux.developpez.com/iptables/?page=correspondances

a+

Hexoseth
19/11/2010, 22h48
C'est pas sur ce site mai j'ai lu les correspondences, mais si je rajoute --rsource ne sert à rien vu que c'est le comportement par défaut.

---------- Message ajouté à 20h29 ---------- Le dernier message était à 16h56 ----------

J'ai remarqué que dans la colonne ID change le compteur qui me permet mon anti-scan de port repart de zéro. Pourtant dans le fichier créer par le module recent il n'y a pas l'id de sauvegarder.
voir l'échantillon d'un fichier créer par recent



src=220.120.65.12 ttl: 106 last_seen: 4504233 oldest_pkt: 2 4503682, 4504233
src=190.42.111.174 ttl: 48 last_seen: 6379376 oldest_pkt: 1 6379376
src=88.191.250.13 ttl: 58 last_seen: 3761018 oldest_pkt: 2 3759532, 3761018
src=88.167.133.160 ttl: 121 last_seen: 5046960 oldest_pkt: 1 5046960
src=72.32.8.40 ttl: 3 last_seen: 5574049 oldest_pkt: 7 5573499, 5573499, 5573774, 5573774, 5574049, 5574049, 5574049
src=83.228.32.202 ttl: 114 last_seen: 5341020 oldest_pkt: 2 5340297, 5341020
src=88.170.174.34 ttl: 59 last_seen: 9834614 oldest_pkt: 2 9833868, 9834614
src=64.197.4.74 ttl: 104 last_seen: 3015225 oldest_pkt: 2 3014647, 3015225

Se que je ne comprends pas c'est que dans la logique des choses seul l'ip devrait être prise en compte donc comment cela se fait-il que dés que l'id change la régle iptable fait comme si c'était la première fois quel la vois.

---------- Message ajouté à 21h48 ---------- Le dernier message était à 20h29 ----------

Sous linux c'est pas comme windows. Sous linux c'est la faute de l'utilisateur j'ai pas mis de --update sur mes régles afin de mettre à jour l'horodatage de du fichier créer par recent. J'ai voulu faire trop bien, ma régle que j'ai mis en place fonctionne trés bien et fait se que je lui demande.

Merci quand même.
A+