Bug dans NetFilter

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
10
mai
2002
Sécurité
Un bug a été trouvé dans l'implémentation de la translation d'adresse dans NetFilter... Lorsqu'une régle de NAT s'applique à un packet qui cause un message d'erreur ICMP, celui-ci est renvoyé avec l'adresse locale de la machine natée ! Ceci peut montrer quels ports d'un firewall sont translatés et vers quel hote d'un réseau local ou d'une DMZ... On peut trouver une version de nmap modifiée permettant ceci sur la page de Philippe Biondi, l'auteur (francais) de la découverte.

Aller plus loin

  • # Fix temporaire

    Posté par  (site web personnel) . Évalué à 10.

    Une solution pour contourner le pb est d'ajouter la rêgle suivante:
    iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP
    ( solution fournie par la ML de Mandrake )
    HTH

    • [^] # Re: Fix temporaire

      Posté par  . Évalué à 7.

      Rendont à César ce qui lui appartient, cette règle est donnée sur la page de Bugtraq ("Workarounds")

      Faut lire les liens avant de poster ;-)

      Euh, -1 pour post gratuit ? OK

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.