Re: question sur les ports TCP
Le 12 août 2002 à 23:13 (+0200), Yannick Roehlly a tapoté sur son
clavier :
> Ainsi parlait Régis Grison <regis@grison.org> :
>
>> Le lun 12/08/2002 à 14:10, sylvain ferriol a écrit :
>> > je voulais juste savoir si on peut sous debian ouvrir des
>> > ports TCP en local et non pour l'exterieur??
>> >
>> > et peut on le voir avec nmap par exemple
>>
>> Oui, avec des règles iptables (noyau 2.4) ou ipchains (noyau
>> 2.2).
>
> Hello !
>
> En plus du firewall (deux sécurités c'est mieux qu'une) si
> tu utilises xinetd, tu peux rajouter la ligne
>
> defaults
> {
> only_from = localhost, nnn
> }
>
Personnellement, j'utilise l'option bind = 127.0.0.1 pour n'autoriser
que les acces à partir de localhost. Mais l'inconvenient c'est que l'on
ne peut spécifier que l'adresse IP d'une interface (ici lo). A priori,
l'avantage c'est que le programme n'ecoute que sur l'interface locale
avec bind alors qu'avec only_from, xinetd ecoute sur toutes les
interfaces et fait le tri après (je ne suis pas vraiment sur de ça).
> à /etc/xinetd.conf où localhost, nnn représente tous les noms des
> machines pouvant accéder aux services. Tu peux même configurer
> séparément les divers services gérés par xinted en mettant le
> only_from au bon endroit.
>
> Par contre pour que nmap te dise que ce n'est accessible qu'en
> local, je sèche...
>
Pour connaitre ce qui n'est accesible qu'en local, on peut utiliser la
commande netstat (pas besoin d'être root) et faire 'netstat -ln
--ip'. Un service accessible seulement en local aura une chaine de type
127.0.0.1:no_port dans la colonne 'Local Address', sinon on a
*:no_port. On peut aussi utliser nmap en faisant 'nmap 127.0.0.1' pour
connaitre les services accessible en local et 'nmap
adresse_ip_de_l'interface_reseau' pour connaitre les services
accessibles de l'extérieur. Pour savoir ce qui n'est accessible qu'en
local, on regarde les différences.
> Yannick
Fred
Reply to: