Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 11/04/2006, à 14:00

gorilleas

Comment fermer port 631 et continuer à imprimer

Salut,

J'ai fait un scan de mes ports avec nmap et je voudrai savoir comment fermer des ports.
J'utilise un firewall comme Firestarter mais comment manipuler les ports ouverts et fermé sans avoir besoin de firewall

http://gorilleasblog.free.fr/

Hors ligne

#2 Le 11/04/2006, à 14:25

gene69

Re : Comment fermer port 631 et continuer à imprimer

hum
Le firewall est un intermediare entre les application et la pile IP. Dire que le firewall ferme les ports signifie juste que tous les messages sont sencés passer par le firewall, et que le firewall abandonne tous les paquets qui ne lui convienne pas.

Sous linux, il  me semble que tu es obligé de passer par iptable.pas le choix.

Et pour fermer tous les port il suffit de se pencher sur les politiques restrictives de firestarter.

Quand le berger est lâche, le loup chie de la laine.
A (draft) guide to UFO Alien-Invasion

Hors ligne

#3 Le 11/04/2006, à 18:35

FiFouille

Re : Comment fermer port 631 et continuer à imprimer

accessoirement le plus simple est de fermer tous les ports tentant d'initier une connexion depuis une interface extérieure, et autoriser ce qui vient sur 'lo' (le loopback, la machine elle même)

par exemple:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -P INPUT DROP

la première ligne autorise tout ce qui vient et est relatif a une connexion établie vers l'extérieur (ESTABLISHED) ou bien qui est conséquent à une tentative de connexion vers l'extérieur (RELATED) (tout ce qui -match le state wink), et ça dit d'autoriser ce traffic (-jump ACCEPT)
la deuxième ligne dit d'autoriser les connexions entrantes tant que ça se fait sur l'interface loopback (la machine se connectant à elle même)
la dernière spécifie de DROPer tout ce qui vient en entrée (et c'est le -jump de la première ligne qui permet d'éviter cette politique (-P) par défaut)

sinon je pense que cups par défaut est configuré pour n'accepter que les connexions en loopback (mais y'a toujours moyen de spoofer les paquets en effet ...)


PS : si jamais vous avez des problèmes de connexion à un moment donné, faites
iptables -P INPUT ACCEPT
iptables -F

PPS : tout ça se fait avec les droits super utilisateurs, donc 'sudo' est de rigueur wink

Hors ligne

#4 Le 14/04/2006, à 16:25

Sorlingues

Re : Comment fermer port 631 et continuer à imprimer

Au lieu de vouloir utiliser un parefeu pour bloquer un port ouvert, il est possible de fermer simplement ce port.  Plus besoin alors du parefeu pour le bloquer. 
N'est-ce pas le sens de ta question de gorilleas ?

C'est probablement cups qui a ouvert ce port ; ton fichier /etc/cups//cupsd.conf contient-il une ligne du style
listen 631
ou
port 631
sous la rubrique "Network Options" ?
Pour une configuration simple (un seul pc relié à l'imprimante), tu peux remplacer ces lignes par
Listen 127.0.0.1:631

Pour des configurations plus poussées, je te renvoie à la doc de cups (pas toujours simple je trouve).

(Après cela, le port ne sera pas renseigné comme masqué-invisible-shielded (ou que sais-je encore) mais simplement comme fermé mais j'attends toujours que l'on me prouve que cela fait une réelle différence.)

[philo]
A la limite, il serait intellectuellement plus clair de ne pas utiliser de parefeu sur une machine isolée (c.-à-d. pas en réseau local) et de la configurer convenablement pour que le système n'ouvre pas de ports inutiles.  Par paresse, beaucoup - dont je fais partie - préfèrent utiliser la méthode bourrine du parefeu : pour ne pas vérifier que toutes les portes de la maison sont fermées, on préfère construire un rempart autour de la maison !
[/philo]

Hors ligne

#5 Le 15/04/2006, à 10:45

FiFouille

Re : Comment fermer port 631 et continuer à imprimer

je sais pas si Cups a une sorte de "challenge" pour l'identification de ses utilisateurs, mais si c'est pas le cas il est tout à fait possible de crafter un paquet qui soit disant vient de w.x.y.z (prennez l'ip que vous voulez) et cups n'y verrait que du feu, imprimerait et voilà tout (d'ailleurs c'est tout ce qu'on lui demande)
d'un autre côté si les travaux d'impressions ne sont acceptés que pour les entrées sur 127.0.0.1 ce problème ne se pose pas (normalement)
par contre sur une zone internet en acceptant 192.168.0/24 par exemple, et en y faisant pas trop attention ça peut être beaucoup moins drôle

Hors ligne

Pages : 1