[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: PB ssh et firewall



On 20/09 14:22, Mezig wrote :

> Jean-Michel OLTRA wrote:
> 
> Quand  à tcpdump, ça me donne ça sûr la machine 1 (Zouzou) : la seule 
> accessible :(!
> 
> root@Zouzou:/etc/apt# tcpdump
> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
> listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
> 23:45:03.639204 IP defense-9-82-226-168-41.fbx.proxad.net.1493 > 
> Zouzou.maison.mrs.loc-srv: S 3540611069:3540611069(0) win 16384 <mss 

En fait tcpdump est un 'sniffer', un programme qui écoute sur les cartes
réseaux et qui affiche ce qu'il voit, si on ne filtre pas l'affichage,
il affiche _tout_ et surtout ce dont on a pas besoin.
Donc il faut filtrer pour n'afficher que ce qu'on veut:

dans ton cas:

tcpdump port 22

n'affichera que les trames avec comme port source ou destination 22 (ssh).
Si tu as plusieurs cartes réseaux, il faut préciser laquelle tu veux
écouter:

tcpdump -i eth0 port 22

sinon le format general de l'affichage par défaut est:
heure protocole SOURCE.port-source > DESTINATION.port-destination flag-et-autres

ce qui nous interesse ici est juste la source, la destination et leurs
ports.
Il faut alors voir à la sortie du ssh client (1) s'il y a qq chose, à
l'entrée (2) du serveur, ensuite voir s'il essaye de répondre, s'il arrive
à sortir (3) et si un paquet revient au client (4).

client (1)  ----> (2) serveur
       (4) <----  (3)


> Et si les résultats de tcpdump au-dessus sont significatifs..., une 
> explication serai bienvenue :) !
pas ceux là, il y a principalement des requêtes DNS

--
Jean-Michel Schelcher



Reply to: