Ports 135 et 445 visibles selon le FAI

[Buscavidas]

Bonjour,

Au cours d'un test sur PCflank, avec wanadoo 56k, j'ai remarqué que mes ports 135 et 445 étaient indiqués comme "closed" quand ils auraient dû être "stealthed"...

N'utilisant cette connexion wanadoo que lorsque mon forfait Free est limite, après maintes recherches infructueuses sur les causes du problème, je suis ensuite retourné sur Pcflank avec Free et là aucun problème bien que je n'ai rien changé à mes règles de firewall...

J'ai d'abord crû que le problème venait de Pcflank et j'ai donc fait un test sous wanadoo avec shieldUP! et là le résultat pour ces deux ports était "stealthed". Le problème c'est que lorsque j'ai regardé dans mes logs, il n'y avait aucune trace d'une attaque sur ces ports... conclusion, les paquets envoyés ne sont pas passés par la politique DROP en INPUT de mon firewall...

J'en déduis que wanadoo permet aux autres machines de voir mes ports 135 et 445 ( soupçon confirmé par le fait que sous wanadoo les logs s'affolent sur les autres ports, signe que je suis aisément repérable... ). Quelqu'un aurait-il une explication au phénomène ?

Je précise que j'utilise comme firewall un script iptables qui ne contient aucune règle spécifique ni sur le 135, ni sur le 445, logiquement les paquets les concernant devraient passer par :

iptables -t filter -P INPUT DROP

Merci de bien vouloir m'éclairer

[Matchek67]

Salut montre nous ton script en cachant les ip pour qu'ont te disent ou est le problème surtout franck pourra t'aider ^^

@+

[Buscavidas]

ok... mais c'est plus par curiosité que par réel soucis de sécurité( ôtez moi d'un doute, ça risque pas grand chose d'avoir un port visible ? )...

#!/bin/sh
#
#UN SCRIPT POUR IPTABLES
#
#



################
# TABLE FILTER #
################


#SUPPRESSION DES CHAINES EXISTANTES ( "filter" est en fait inutile )

#les chaînes prédéfinies
iptables -t filter -F

#les chaînes utilisateur
iptables -t filter -X

#POLITIQUES PAR DEFAUT ( tout fermer )
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP


#AUTORISER LE RESEAU VIRTUEL LOCALHOST

#sortantes de lo vers lo
iptables -t filter -A OUTPUT -o lo -s xxxxxxxx -d xxxxxxxx -j ACCEPT

#entrantes de lo vers lo
iptables -t filter -A INPUT -i lo -s xxxxxxxx -d xxxxxxxx -j ACCEPT

#ACTIVER LES DNS ( pour faire des requêtes avec des noms et non avec des adresses IP )

iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -m state --state ! INVALID -j ACCEPT

#OUVRIR LES PORTS VOULUS ( n'autoriser que les connexions initialisées par localhost )

#http
iptables -t filter -A OUTPUT -o ppp0 -s xxxxxxxx -p tcp --dport 80 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -d xxxxxxxx -p tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT

#https
iptables -t filter -A OUTPUT -o ppp0 -s xxxxxxxx -p tcp --dport 443 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -d xxxxxxxx -p tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT

#pop3
iptables -t filter -A OUTPUT -o ppp0 -s xxxxxxxx -p tcp --dport 110 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -d xxxxxxxx -p tcp --sport 110 -m state --state RELATED,ESTABLISHED -j ACCEPT

#smtp
iptables -t filter -A OUTPUT -o ppp0 -s xxxxxxxx -p tcp --dport 25 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -d xxxxxxxx -p tcp --sport 25 -m state --state RELATED,ESTABLISHED -j ACCEPT

#amsn
iptables -t filter -A OUTPUT -o ppp0 -s xxxxxxxx -p tcp --dport 1863 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -d xxxxxxxx -p tcp --sport 1863 -m state --state RELATED,ESTABLISHED -j ACCEPT

#ftp
modprobe ip_conntrack_ftp
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
modprobe ip_conntrack_ftp

#icmp ( ping et traceroute )
iptables -A OUTPUT -o ppp0 -p icmp -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT


#GARDER TRACE DES REJETS EN INPUT ( sauf ports tcp 135 et 445 ) ET EN OUTPUT


iptables -t filter -A INPUT -p tcp --dport :134 -j ULOG --ulog-prefix= "FWT !"
iptables -t filter -A INPUT -p tcp --dport 136:444 -j ULOG --ulog-prefix="FWT !"
iptables -t filter -A INPUT -p tcp --dport 446: -j ULOG --ulog-prefix="FWT !"
iptables -t filter -A INPUT -p udp -j ULOG --ulog-prefix="FWU !"
iptables -t filter -A INPUT -p icmp -j ULOG --ulog-prefix="FWI !"
iptables -t filter -A OUTPUT -p all -j ULOG --ulog-prefix="!![OUT!]FW !!!"

#Ajouter les port 135 et 445 aux logs
#iptables -t filter -A INPUT -p tcp --dport 135 -j ULOG --ulog-prefix="FWT135 !"
#iptables -t filter -A INPUT -p tcp --dport 445 -j ULOG --ulog-prefix="FWT445 !"

#############
# TABLE NAT #
#############

#SUPPRESSION DES CHAINES EXISTANTES

iptables -t nat -F
iptables -t nat -X

#POLITIQUES PAR DEFAUT ( le "FORWARD DROP" de filter ferme déjà tout, on peut donc tout accepter )

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT



################
# TABLE MANGLE #
################

#SUPPRESSION DES CHAINES EXISTANTES

iptables -t mangle -F
iptables -t mangle -X

#POLITIQUES PAR DEFAUT

iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
iptables -t mangle -P FORWARD ACCEPT


#### SAUVEGARDE DES REGLES ( MDK uniquement ) ###
/etc/rc.d/init.d/iptables save

P-S: si vous avez des critiques sur mon script, étant loin d'être un spécialiste d'iptables, je suis tout ouïe...

[Matchek67]

les modules faut les charger au début du script déjà

Essai de loguer les packet avec log_drop et Ulog

[Breizh-Tux]

salut ;-)

es-tu bien sur que ce ne sont pas les ports de ton FAI que tu vois ?
Exemple :
Sur ixus.net [site bien connu] je fais un test de mon Firewall et voici ce que je reçois :

25/tcp ouvert smtp
80/tcp ouvert http
137/tcp filtré netbios-ns
138/tcp filtré netbios-dgm
139/tcp filtré netbios-ssn

Les ports 80 et 25 sont ouverts c'est ok.
Les 3 autres ne sont pas des ports de mes machines [toutes linux et BSD], ce sont donc les ports de mon FAI , numericable en l'occurence ...

J'espère que mon expérience à ce niveau pourra te servir à assouvir ta curiosité.

Cordialement,

bzh-tux : )

[Buscavidas]

->Matchek67

En fait pour les modules, je les charge selon un tuto que j'ai eu sur léa-linux. Par expérience, je sais qu'il faut bien charger le ip_conntrack_ftp 2 fois autrement selon le type de ftp, je peux me connecter au serveur mais lui pas à ma machine...

Pour les logs, j'ai déjà Ulog qui satisfait à tous mes besoins

->Breizh-Tux

Merci pour ta piste, mais je ne pense pas que ce soit ça, ma machine est aussi sous linux et pourtant j'ai des logs sur ces ports ( 137-139 )... d'autre part "filtré" ( je ne sais pas comment fonctionne le firewall de inux, je n'arrive pas à m'y connecter... ) ressemble grandement à une traduction de ce que retourne nmap ( "filtered" ) lorsqu'on le force à faire un scan sur une machine et que celle-ci drop tous les paquets... il se peut donc, sauf si tu n'as pas de firewall, que ce soit ta machine et non ton FAI qui arrête les paquets... regarde dans tes logs pour en avoir le coeur net...

[Matchek67]

Je pense que Ulog fait que ton port est fermer essai sans Ulog pour voir et réfère toi au site

viewtopic.php?t=5271&highlight=synflood

Essai ce script

[Buscavidas]

Je ne pense pas que le problème vienne d'ULOG et pour deux raisons:

1) Les ports 135 et 445 ne sont pas concernés par lui ( j'avais tellement de DROP dessus chez Free que ça rendait illisibles les autres logs... je pars donc du principe que je suis toujours attaqué sur ces ports... d'après ce que j'ai lu çà et là, ce sont des robots qui se chargent de ce type de scan... ).

2) Celle-ci est sans appel, je n'ai installé Ulog que récemment, le constat du problème ( si c'en est un ) est antérieur à la présence du démon sur ma machine...

Quant au script, il m'a l'air un peu complexe pour mes petits besoins ( monoPC n'ayant aucun service à autoriser en INPUT ) et comme j'ai formé le mien ( sauf pour le ftp, je dois avouer )pas à pas la doc sous les yeux, je maîtrise bien mieux les raisons pour lesquelles j'ai cru bon de mettre ça ou ça... merci quand même

Au fait, petite question HS, est-ce vraiment la peine d'autoriser le DNS autrement qu'en UDP ?

[Matchek67]

Moi j'autorise que en udp et sa marche très bien jme demande a quoi y sert en tcp ^^

[Matchek67]

Je vois pas ou il est complexe lotre script :p

[Buscavidas]

Il est un peu complexe dans la mesure où il y a un LAN... chez moi c'est FORWARD DROP et basta ! on peut pas faire plus simple... :-p

Merci pour l'info sur DNS, je vais changer ça... autant serrer les règles au plus près...

[Matchek67]

Bah suffi de viré la partie lan et pi c'est bon et le VPN aussi

[Methos_Hi]

le dns en tcp sert lorsque tu as toi même un serveur ftp et que tu fais du transfert de zone.

[Buscavidas]

Ok... merci pour l'info sur le DNS en tcp... j'ai restreint ma règle...

Autrement personne ne voit de faille ou de petites améliorations à apporter

J'ai essayé de faire un script le plus simple et le plus clair possible...

Si quelqu'un pouvait également m'indiquer une doc pour utiliser mangle, je lui en serais très reconnaissant... C'est une table que je me contente d'initialiser mais j'aimerais en connaître plus sur son potentiel...

[Matchek67]

Salut,

Comme dirait Franck Il faudrait juste optimiser ton script