DEDIBOX-NEWS.COM
Le Forum Non Officiel de la DEDIBOX
Vous n'êtes pas identifié.
#1 2008-06-07 19:41:41
- philbonin
- Je débarque
- Date d'inscription: 2007-04-30
- Messages: 8
Problème de firewall
Bonjour,
Bien que mon firewall soit configuré pour ne permettre que les connexions sur les ports 22 et 8000,
je constate que des intrus sont connectés sur des ports tels que le 28931, 52516, 61909 etc...
Première question : que font-ils et à quoi cela leur sert-ils ?
Deuxième question : comment les éjecter et empêcher qu'ils ne reviennent ?
Je suis sous Ubuntu et utilise l'interface Firestarter.
Lorsque je vérifie ma config via le service http://check.sdv.fr:3658/, j'ai bien la confirmation de ce que seuls les ports 22 et 8000 sont ouverts.
Si quelqu'un a une idée...
Merci
Phil
Dernière modification par philbonin (2008-06-07 19:42:21)
Hors ligne
#2 2008-06-07 22:24:03
- Guillaume
- Maitre Jeidi
- Date d'inscription: 2006-06-05
- Messages: 592
Re: Problème de firewall
Ce sont vraiment des connexions extérieures ou des programmes lancés sur ta machine qui sont connectés au net sur ces ports là?
Hors ligne
#3 2008-06-07 22:51:18
- philbonin
- Je débarque
- Date d'inscription: 2007-04-30
- Messages: 8
Re: Problème de firewall
Voici un exemple de ce que je vois dans connexions actives de firestarter :
Il semblerait effectivement que ce soit ma machine qui se connecte à ces adresses et via ces ports, mais comment et pourquoi ?
Dernière modification par philbonin (2008-06-08 10:51:33)
Hors ligne
#4 2008-06-07 23:25:36
Re: Problème de firewall
Un netstat -n serait bcp plus utile. Le screen n'affiche que le port utilisé par la machine distante, dans tes regles iptables il n'y a aucune restriction a ce niveau là.
Il se pourrait que c'est just des visiteurs de ton site, connectés sur le port 80 de ta machine en utilisant un port entre 1024 et 65535, ce qui est tout a fait normal.
use Mozilla::Firefox;
open($your_mind) or die();
Hors ligne
#5 2008-06-07 23:58:07
- olod
- Maitre Jeidi
- Date d'inscription: 2007-11-02
- Messages: 313
Re: Problème de firewall
je dirais même plus : c'est probablement les ports qu'utilisent la connexion avec NXserver (connexion ssh => accès au server nx sur un autre port en retour)
Hors ligne
#6 2008-06-08 10:31:29
- philbonin
- Je débarque
- Date d'inscription: 2007-04-30
- Messages: 8
Re: Problème de firewall
Un netstat -n serait bcp plus utile
En voici un bout avec des connexions inexpliquées ( il y en a d'autres) :
Code:
udp 0 0 88.191.26.244:40152 212.85.158.10:123 ESTABLISHED udp 0 0 88.191.26.244:47835 88.191.17.134:123 ESTABLISHED udp 0 0 88.191.26.244:51295 91.121.63.201:123 ESTABLISHED
Un whois sur ces trois adresses retourne ça :
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL
Il se pourrait que c'est just des visiteurs de ton site, connectés sur le port 80 de ta machine
Le serveur Apache ne tourne pas et le port 80 est bloqué.
c'est probablement les ports qu'utilisent la connexion avec NXserver (connexion ssh => accès au server nx sur un autre port en retour)
Et à destination d'une adresse inconnue ?
Dernière modification par philbonin (2008-06-08 10:38:05)
Hors ligne
#7 2008-06-08 12:46:42
Re: Problème de firewall
Est ce que tu utilises un service se synchonisation de l'horloge ? Le service UDP/123 correspond au service NTP !!!
212.85.158.10 => ntp.tuxfamily.net
use Mozilla::Firefox;
open($your_mind) or die();
Hors ligne
#8 2008-06-08 18:16:52
- philbonin
- Je débarque
- Date d'inscription: 2007-04-30
- Messages: 8
Re: Problème de firewall
Bah non le support ntp n'est même pas installé.
Sinon est-ce que tu sais comment faire pour couper ces connexions ?
J'ai cherché, mais pas trouvé de solutions autres que pour ssh ou ftp...
Hors ligne