Forum Linux.debian/ubuntu Un firewall qui OUVRE des ports

Posté par  .
Étiquettes : aucune
0
12
nov.
2005
Bonjour,

Je viens de modifier la configuration de mon PC : j'étais en Freebox + PC ethernet, et j'ai ajouté un routeur wifi :
freebox <=> routeur wifi en eth <=> mon PC en eth.
Le routeur fait suivre les paquets de telle sorte que, a priori, les tests suivants soient pertinents.

A l'occasion, j'ai reconfiguré shorewall, et j'ai lancé des tests d'intrusion depuis l'extérieur.

Mon PC fait tourner sshd sur le port 22.
shorewall a comme policy : DROP. (évidemment)
shorewall peut ACCEPTer les entrées vers le port 22 (ssh).

Les résultats sont :
si Shorewall est actif, le port 22 est vu "ouvert" (ssh accessible) (normal !)

si Shorewall est sur STOP : le port 22 est vu inactif (c'est à dire pas fermé par le PC : le PC ne répond pas sur le port, c'est tout).

Je pensais que, par défaut, shorewall sur stop laisserait tout passer, donc que le port 22 serait "ouvert".

Quelqu'un pourrait-il m'expliquer ???
Merci d'avance !

(c'est un détail :
Avec tcpdump, je vois arriver des requêtes vers le PC, que shorewall soit actif ou pas. Ca donne l'impression que tcpdump agit "en amont" de shorewall.)

  • # iptables

    Posté par  . Évalué à 2.

    si Shorewall est sur STOP : le port 22 est vu inactif
    Tu veux dire que le port apparait comme étant filtré ?

    Aussi, as tu vérifié avec iptables -L qu'il n'y ait pas de règles qui soient toujours actives malgré que Shorewall ne soit plus lancé ?

  • # c'est normal

    Posté par  . Évalué à 1.

    Quand shorewall est stoppé il boque tous les ports , pour les garder ouverts il faut preciser son comportement quand il est stoppé en ajoutant dans le fichier

    /etc/shorewall/routestopped

    la ligne

    eth0

    si eth0 est l'interface resau que l'on veut garder accessible

    Shorewall passe aussi à l'etat stoppé quand il y a une erreur dans les tables, ca evite de laisser tout ouvert quand on se trompe dans la config.
    En bref stoppé c'est pas arreté.

  • # Parfois il faut lire un minimum ...

    Posté par  . Évalué à 3.

    http://www.shorewall.net/standalone_fr.html#id2509936

    (trouvé en tapant "shorewall stop" dans google => premier résultat)
    http://www.google.fr/search?hl=fr&q=shorewall+stop&b(...)

    Pour supprimer toutes les règles, c'est donc "shorewall clear" la commande.
    (que l'on trouve aussi dans "man shorewall")

    J'ajoute une pincée de théorie, et on y sera :
    http://christian.caleca.free.fr/netfilter/

    M

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.