Pages : 1
#1 Le 06/12/2015, à 10:19
- bruno38000
iptable OUTPUT reject - comment connaitre le process
Bonjour,
J'utilise IPTABLE avec des règles standards prises ca et là.
J'ai dans syslog de nombreuse ligne du type
Dec 6 09:01:53 ns372821 kernel: [iptable OUTPUT reject]:IN= OUT=eth0 SRC=xx.xxx.xxx.xxx DST=61.160.215.201 LEN=44 TOS=0x00 PREC=0x00 TTL=250 ID=28287 DF PROTO=UDP SPT=65000 DPT=0 LEN=24
Dec 6 09:01:56 ns372821 kernel: [iptable OUTPUT reject]:IN= OUT=eth0 SRC=xx.xxx.xxx.xxx DST=61.160.215.201 LEN=44 TOS=0x00 PREC=0x00 TTL=251 ID=5618 DF PROTO=UDP SPT=65000 DPT=0 LEN=24
Dec 6 09:01:56 ns372821 kernel: [iptable OUTPUT reject]:IN= OUT=eth0 SRC=xx.xxx.xxx.xxx DST=61.160.215.201 LEN=44 TOS=0x00 PREC=0x00 TTL=251 ID=9434 DF PROTO=UDP SPT=65000 DPT=0 LEN=24
Dec 6 09:01:59 ns372821 kernel: [iptable OUTPUT reject]:IN= OUT=eth0 SRC=xx.xxx.xxx.xxx DST=61.160.215.201 LEN=44 TOS=0x00 PREC=0x00 TTL=251 ID=38820 DF PROTO=UDP SPT=65000 DPT=0 LEN=24
Dec 6 09:01:59 ns372821 kernel: [iptable OUTPUT reject]:IN= OUT=eth0 SRC=xx.xxx.xxx.xxx DST=61.160.215.201 LEN=44 TOS=0x00 PREC=0x00 TTL=250 ID=34586 DF PROTO=UDP SPT=65000 DPT=0 LEN=24 Ou "xx.xxx.xxx.xxx" correspondand à mon IP.
Je ne sais pas bien lire cette log et je n'ai pas encore trouvé de doc à son sujet :
Pouvez-vous me confirmer que j'ai bien un process (ou demond ? ou autre ?) qui tourne sur mon serveur et qui essaie de communiquer vers l'exterieur sur l'ip 61.160.215.201.
Comment trouver le process responsable de cette tentative de sortie et le faire taire ? est-ce le chiffre après ID= ?
Ou se trouve le port utilisé ? la règle IPTABLE mise en route ?
Pour complément : Voici mes règles iptable pour l'output
IPT=/sbin/iptables
$IPT -F OUTPUT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 587 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 25 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 5025 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 21 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 80 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 443 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 20024 -j ACCEPT
$IPT -A OUTPUT -p tcp --match multiport --dports 64000:65000 -j ACCEPT
$IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -m tcp --sport 1024: --dport 1024: -j ACCEPT
# Replication mysql vers yy.yy.yy.yy
$IPT -A OUTPUT -p tcp --dport 3306 --destination yy.yy.yy.yy -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 53 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 123 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 143 -j ACCEPT
$IPT -A OUTPUT -p tcp --source 127.0.0.1 -j ACCEPT
$IPT -A OUTPUT -p tcp --source 192.168.0.0/16 -j ACCEPT
$IPT -A OUTPUT -p udp --source 192.168.0.0/16 -j ACCEPT
$IPT -A OUTPUT -p udp --source xx.xx.xx.xx -j ACCEPT
$IPT -A OUTPUT -p udp --source 127.0.0.1 -j ACCEPT
$IPT -A OUTPUT -p udp --source xx.xx.xx.xx -j ACCEPT
# $IPT -A OUTPUT -j LOG
$IPT -A OUTPUT -j LOG --log-prefix '[iptable OUTPUT reject]:' --log-level 4
#ouverture du ssh 2220 en sortie pour back up
$IPT -A OUTPUT -p tcp --dport 2220 -j ACCEPT
$IPT -A OUTPUT -j REJECT
$IPT -P OUTPUT DROPHors ligne