Forum général.général iptables + nfs + nmap -g80 -P0

Posté par  .
Étiquettes : aucune
0
18
oct.
2005
Salut

J'ai deux ordis en réseau :
ordi 1 : 192.168.0.1 serveur nfs pour ordi 2
ordi 2: 192.168.0.2
le partage de fichiers se passe nickel, mais je rencontre le pb suivant:

qd je fais de l'ordi 2:
# nmap 192.168.0.1 -g80 -P0

la réponse est:
(THE 1657 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
111/tcp open rpcfind
901/tcp open controlit
2049/tcp open nfs
MAC ADRESS: ........

Comment se fait-il que le scan passe mon firewall ??

Voici le firewall de ordi 1:

#! /bin/sh
# parfeu pour 192.168.0.1

iptables -F
iptables -X
iptables -P INPUT DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# anti scan
iptables -A INPUT -i eth0 -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP

# filtrer nfs(en réglant les ports de mountd dans /etc/sysconfig/nfs, ligne MOUNTD_PORT=901)
iptables -A INPUT -i eth0 -s 192.168.0.2 -p tcp -m tcp --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.0.2 -p tcp -m tcp --dport 2049 -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.0.2 -p tcp -m tcp --dport 901 -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.0.2 -p udp -m udp --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.0.2 -p udp -m udp --dport 2049 -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.0.2 -p udp -m udp --dport 901 -j ACCEPT


Merci

  • # Sans être un pro d'iptables

    Posté par  . Évalué à 3.

    Dans ton pare-feu, l'anti scan bloque des paquets mal formés mais laisse passer les paquets normaux qui initialisent des connections. De plus il laisse ouvert les ports 111, 901 et 2049 en tcp. Dans ces conditions, il est normal que nmap trouve ouverts les ports 111, 901 et 2049 en tcp .

    Si tu veux que ordi2 puisses monter le partage nfs, ordi2 doit bien être capable d'initier des connections sur ord1.

    Cela ne te parait pas logique ni cohérent avec ton pare-feu ?

    • [^] # Re: Sans être un pro d'iptables

      Posté par  . Évalué à 1.

      Cela ne te parait pas logique ni cohérent avec ton pare-feu ?

      bah, disons que je pensais que bien que j'ouvre les ports 111,901 et 2049 pour ordi2, mes règles "antiscan" seraient prioritaires, et bloqueraient qd même le scan ?!?

      • [^] # Re: Sans être un pro d'iptables

        Posté par  (site web personnel) . Évalué à 3.

        Oui mais non
        Un scan c'est quoi?
        C'est juste une ouverture de port et voir si ca marche ou pas
        tes trucs c'est pour les scans spéciaux (je saurais dire quoi exactement je m'y connais pas assez)
        La seul chose pour savoir si c'est un scan ou si c'est une ouverture de port normale c'est de voir à partir d'un client quels ports sont ouverts sur un jour (par exemple)
        Bon sinon tes regles anti scan rien compris
        ou alors ca correspond pas juste au filtreage de tout TCP ?
        Parce que filtré tout puis seulement certain signaux c'est moi ou c'est débile?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.