[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS-edk] Encore Iptables mais ça marche presque...

Le mardi 23 septembre 2003, Mourad Jaber a écrit...
	bonjour,


> Sep 23 14:59:59 hardtop kernel: [IPTABLES] IN=eth0 OUT= 
> MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=212.234.185.253 
> DST=81.56.81.22 LEN=28 TOS=0x00 PREC=0x00 TTL=40 ID=56625 PROTO=UDP 
> SPT=64105 DPT=43955 LEN=8
ça j'en sais rien, faudrait voir si c'est lié à qqch de valide. Faire
une sonde snort ?
faire un whois sur l'ip ?

> Sep 23 14:30:41 hardtop kernel: [IPTABLES] IN=eth0 OUT= 
> MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=80.11.215.112 
> DST=81.56.81.22 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=53090 DF PROTO=TCP 
> SPT=4662 DPT=2546 WINDOW=16968 RES=0x00 ACK SYN URGP=0
Un packet avec les flags ack et syn donc un acknoledgment
d'établissement de connexion vers un port 4662.
Je suppose que c'est toi qui a envoyé une demande sur le 80.11.215.112:4662
Si oui, c'est pas normal de bloquer le syn-ack qui revient.


> Sep 23 14:49:56 hardtop kernel: [IPTABLES] IN=eth0 OUT= 
> MAC=00:40:05:3e:08:e7:00:60:68:84:58:9c:08:00 SRC=81.50.158.89 
> DST=81.56.81.22 LEN=40 TOS=0x00 PREC=0x00 TTL=120 ID=48703 PROTO=TCP 
> SPT=4662 DPT=1631 WINDOW=0 RES=0x00 ACK RST URGP=0
un paquet rst-ack donc une fin de non-recevoir sur une demande de
connexion. Normal je suppose si tu as bloqué le syn-ack comme
précédemment. Mais je ne suis pas sur, j'suis pas spécialiste de tcp,
faudrait vérifier si c'est la réponse protocolaire.
Ou bien une demande de connexion sur un 4662 fermé qui renvoie RST,
c'est possible. Si ta mule fais des demandes partout, je ne sais pas
comment ça marche cette affaire, tu risque d'avoir pas mal de RST qui
reviennent.

-- 
Jean-Michel

N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Reply to: