delegated

Posté par NaY le 05 février 2005 à 22:20.

Étiquettes : aucune

fév.

2005

Bonjour,
suite à la lecture d'un article sur le logiciel "proxy delegate" je l'ai mis en place sur mon proxy.
le proxy est une sarge avec 2 cartes réseaux la première connecté au modem ethernet wanadoo, la seconde au LAN. Le routage est désactivé (?):



cat /proc/sys/net/ipv4/ip_forward

0

Pour l'instant seuls squid et ssh tournaient sur la machine.
Puis j'ai lancé delegate pour "proxyfier" pop (port 110) et smtp (port 1021). Tout semble fonctionner ( à part le cache que j'arrive pas à faire fonctionner) ...
Mais quand je lance un scan de port à partir d'un hôte sur internet (le pc d'un pote) vers mon proxy chez moi j'obtiens :





nmap monproxy



Starting nmap 3.75 ( http://www.insecure.org/nmap/(...) ) at 2005-02-05 19:46 CET

Interesting ports on monproxy :

(The 1655 ports scanned but not shown below are in state: closed)

PORT     STATE    SERVICE

22/tcp   open     ssh

110/tcp  open     pop3

135/tcp  filtered msrpc

411/tcp  filtered rmt

412/tcp  filtered synoptics-trap

445/tcp  filtered microsoft-ds

1021/tcp open     unknown

3128/tcp open     squid-http

A quoi correspondent ces ports 135, 411 et 412 ?
Sur mon proxy j'obtient :





nmap localhost



Starting nmap 3.75 ( http://www.insecure.org/nmap/(...) ) at 2005-02-05 21:37 CET

Interesting ports on localhost.localdomain (127.0.0.1):

(The 1659 ports scanned but not shown below are in state: closed)

PORT     STATE SERVICE

22/tcp   open  ssh

110/tcp  open  pop3

1021/tcp open  unknown

3128/tcp open  squid-http



Nmap run completed -- 1 IP address (1 host up) scanned in 0.265 seconds



monproxy:~# netstat -natup

Connexions Internet actives (serveurs et établies)

Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name

tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN     9109/delegated -{73

tcp        0      0 0.0.0.0:3128            0.0.0.0:*               LISTEN     2010/(squid)

tcp        0      0 0.0.0.0:1021            0.0.0.0:*               LISTEN     9106/delegated -{02

tcp6       0      0 :::22                   :::*                    LISTEN     1992/sshd

tcp6       0    720 ::ffff:monproxy ::ffff:monpote:33330 ESTABLISHED16407/1

udp        0      0 0.0.0.0:32768           0.0.0.0:*                          2010/(squid)

udp        0      0 0.0.0.0:3130            0.0.0.0:*                          2010/(squid)

udp        0      0 0.0.0.0:33481           0.0.0.0:*                          9106/delegated -{02

udp        0      0 0.0.0.0:33482           0.0.0.0:*                          9106/delegated -{02

udp        0      0 0.0.0.0:33483           0.0.0.0:*                          9109/delegated -{73

udp        0      0 0.0.0.0:33484           0.0.0.0:*                          9109/delegated -{

Là je comprend plus rien. A distance il semble y avoir des ports ouverts que je ne retrouve pas en local .Est-ce que quelqu'un a une idée ? La machine est-elle compromise ?

# Firewall intercalé

Posté par Bernez le 06 février 2005 à 00:22. Évalué à 2.

Pas de panique! Ça veut probablement dire qu'un firewall est intercalé entre ton pote et toi, et que ce firewall filtre les ports 135, 411, 412 et 445.
- [^] # Re: Firewall intercalé
  
  Posté par NaY le 06 février 2005 à 10:08. Évalué à 1.
  
  Ok j'ai testé depuis une autre debian (un serveur loué) j'obtiens un scan similaire: ports 135, 136, 138, 445 filtered. Ce qui signifie que c'est le "modem" et/ou wanadoo qui filtrent ? Je crois que je vais potasser les docs sur les firewalls ;)
  
  Merci de ta réponse
  
  Yann
  - [^] # Re: Firewall intercalé
    
    Posté par Bernez le 06 février 2005 à 19:09. Évalué à 2.
    
    Ce qui signifie que c'est le "modem" et/ou wanadoo qui filtrent ?
    Je ne peux pas te répondre avec le peu d'infos que tu donnes. Il faudrait savoir d'où tu fais tes tests et avec quel FAI.
    - [^] # Re: Firewall intercalé
      
      Posté par NaY le 06 février 2005 à 19:42. Évalué à 1.
      
      Le FAI est wanadoo ( un vieux contrat netissimo) avec un "modem" ethernet (pas de marque et de modèle appararent !). Et j'execute le test depuis un serveur dédié chez ikoula (debian woody ) et depuis une debian testing chez un ami abonné free(les scan plus haut).
      J'ai lu sur le forum ixus.net que le FAI peut ,arbitrairement, filtrer certains protocoles et que wanadoo a un adressage IP un peu particulier... (http://forums.fr.ixus.net/viewtopic.php?t=18972&highlight=filte(...))
      
      Je poursuis mes investigations.
      
      Yann
      - [^] # Re: Firewall intercalé
        
        Posté par Bernez le 06 février 2005 à 20:45. Évalué à 2.
        
        Si tu pouvais faire le test depuis un autre abonné de wanadoo et que les ports filtered n'étaient pas détectés, tu pourrais en tirer des conclusions assez fiables.
    - [^] # Re: Firewall intercalé
      
      Posté par NaY le 06 février 2005 à 21:36. Évalué à 1.
      
      Le FAI est wanadoo ( un vieux contrat netissimo) avec un "modem" ethernet (pas de marque et de modèle appararent !). Et j'execute le test depuis un serveur dédié chez ikoula (debian woody ) et depuis une debian testing chez un ami abonné free(les scan plus haut).
      J'ai lu sur le forum ixus.net que le FAI peut ,arbitrairement, filtrer certains protocoles et que wanadoo a un adressage IP un peu particulier... (http://forums.fr.ixus.net/viewtopic.php?t=18972&highlight=filte(...))
      
      Je poursuis mes investigations.
      
      Yann

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.