Commentaires sur : Gestion des adresses Ip dynamiques avec Iptables http://blog.guiguiabloc.fr/index.php/2008/12/19/gestion-des-adresses-ip-dynamiques-avec-iptables/ Le Blog Geek de GuiguiAbloc Fri, 10 Feb 2012 08:31:55 +0000 http://wordpress.org/?v=2.9.2 hourly 1 Par : guiguiabloc http://blog.guiguiabloc.fr/index.php/2008/12/19/gestion-des-adresses-ip-dynamiques-avec-iptables/comment-page-1/#comment-868 guiguiabloc Mon, 21 Feb 2011 17:55:48 +0000 http://blog.guiguiabloc.fr/?p=269#comment-868 Que ce soit en sniffant les requètes DNS en provenance du serveur ou en sniffant le port 22, le "pirate" connaitra de toutes facons l'ip de l'admin du serveur. (c'est la communication qui est cryptée, l'échange tcp au début est en clair, regarde un tcpdump). La technique de ce billet n'est pas fait pour être une solution de protection du port ssh mais uniquement pour mettre a jour une entrée dynamique. Bien évidemment le reste des options iptables doivent être appliquer comme dans toutes protection du service 22. Que ce soit en sniffant les requètes DNS en provenance du serveur ou en sniffant le port 22, le « pirate » connaitra de toutes facons l’ip de l’admin du serveur. (c’est la communication qui est cryptée, l’échange tcp au début est en clair, regarde un tcpdump).
La technique de ce billet n’est pas fait pour être une solution de protection du port ssh mais uniquement pour mettre a jour une entrée dynamique. Bien évidemment le reste des options iptables doivent être appliquer comme dans toutes protection du service 22.

]]> Par : Nico http://blog.guiguiabloc.fr/index.php/2008/12/19/gestion-des-adresses-ip-dynamiques-avec-iptables/comment-page-1/#comment-867 Nico Mon, 21 Feb 2011 14:47:16 +0000 http://blog.guiguiabloc.fr/?p=269#comment-867 Bien l'astuce :) Par contre c'est peut être une réflexion de parano mais si le serveur effectue une résolution de l'IP (dig) tous les x temps. Un pirate peut voir ça en écoutant le port DNS (je crois) et donc connaître le Dynhost de l'admin du serveur ? Alors que si il écoute le port 22 je ne crois pas qu'il puisse connaitre l'IP de l'admin du serveur puisque la communication est crypté ? Il vaut peut être mieux utiliser ta règle : Iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP et couplé à du port knocking ? Bien l’astuce :)

Par contre c’est peut être une réflexion de parano mais si le serveur effectue une résolution de l’IP (dig) tous les x temps. Un pirate peut voir ça en écoutant le port DNS (je crois) et donc connaître le Dynhost de l’admin du serveur ?

Alors que si il écoute le port 22 je ne crois pas qu’il puisse connaitre l’IP de l’admin du serveur puisque la communication est crypté ?

Il vaut peut être mieux utiliser ta règle :
Iptables -I INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –update –seconds 60
–hitcount 4 -j DROP

et couplé à du port knocking ?

]]> Par : GuiguiAbloc, un blog qui merite d'être connu, technique, reseau, linux, système - linux - geek http://blog.guiguiabloc.fr/index.php/2008/12/19/gestion-des-adresses-ip-dynamiques-avec-iptables/comment-page-1/#comment-836 GuiguiAbloc, un blog qui merite d'être connu, technique, reseau, linux, système - linux - geek Thu, 20 Jan 2011 09:51:38 +0000 http://blog.guiguiabloc.fr/?p=269#comment-836 [...] des adresses Ip dynamiques avec iptables : http://blog.guiguiabloc.fr/index.php/2008/12/19/gestion-des-adresses-ip-dynamiques-avec-iptables/ Ovh ip failover dans une machine virtuelle : [...] [...] des adresses Ip dynamiques avec iptables : http://blog.guiguiabloc.fr/index.php/2008/12/19/gestion-des-adresses-ip-dynamiques-avec-iptables/ Ovh ip failover dans une machine virtuelle : [...]

]]> Par : guiguiabloc http://blog.guiguiabloc.fr/index.php/2008/12/19/gestion-des-adresses-ip-dynamiques-avec-iptables/comment-page-1/#comment-328 guiguiabloc Tue, 23 Jun 2009 16:44:44 +0000 http://blog.guiguiabloc.fr/?p=269#comment-328 yep, bien vu :-) merci :-D yep, bien vu :-)

merci :-D

]]> Par : mm http://blog.guiguiabloc.fr/index.php/2008/12/19/gestion-des-adresses-ip-dynamiques-avec-iptables/comment-page-1/#comment-324 mm Mon, 22 Jun 2009 14:00:13 +0000 http://blog.guiguiabloc.fr/?p=269#comment-324 juste une petite erreur apres le /32 il faut ajouter "-p tcp" : echo "Mise a jour d'iptables" if [ "${#ANCIENNEIP}" != "0" ]; then echo "Suppression de l'ancienne règle ($ANCIENNEIP)" /sbin/iptables -D mon_ip_maison -s $ANCIENNEIP/32 -p tcp --dport 22 -j ACCEPT fi echo "Insertion de la nouvelle règle ($IP)" /sbin/iptables -A mon_ip_maison -s $IP/32 -p tcp --dport 22 -j ACCEPT sinon merci pour le script juste une petite erreur apres le /32 il faut ajouter « -p tcp » :

echo « Mise a jour d’iptables »
if [ "${#ANCIENNEIP}" != "0" ]; then
echo « Suppression de l’ancienne règle ($ANCIENNEIP) »
/sbin/iptables -D mon_ip_maison -s $ANCIENNEIP/32 -p tcp –dport 22 -j ACCEPT
fi
echo « Insertion de la nouvelle règle ($IP) »
/sbin/iptables -A mon_ip_maison -s $IP/32 -p tcp –dport 22 -j ACCEPT

sinon merci pour le script

]]>