View previous topic :: View next topic |
Author |
Message |
marvin rouge Veteran
Joined: 01 Aug 2004 Posts: 1422 Location: Villa Lumierrante, Zonelibre
|
Posted: Mon Oct 18, 2004 1:55 pm Post subject: [IPTABLES] utiliser le match MAC (resolu) |
|
|
y'a un petit malin qui s'amuse a tester mon serveur : pleins de tests sur ssh, et plein de requetes genre \x90\x90\x90\x90\x90\x90\x90\x90 ... sur mon port 80 (si j'ai bien compris, ce truc servirait à exploiter une faille sur serveur microsoft).
Bref. Ils laisse des traces dans mes logs. Par exemple: Code: | Oct 15 13:08:19 keter Bad packet from eth0:IN=eth0 OUT= MAC=00:0f:3d:de:a8:db:00:0f:66:d3:f9:34:08:00 SRC=212.186.30.138 DST=192.168.1.50 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=52040 DF PROTO=TCP SPT=1481 DPT=2745 WINDOW=16384 RES=0x00 SYN URGP=0
|
Ce que je pourrais faire, c'est une règle iptable DROP sur son adresse IP (voir fail2ban). Mais il pourrait etre en DHCP. Donc je voudrais utiliser l'adresse MAC (elle est bien liée à sa carte réseau, non ? )
Dans le man iptables man iptables wrote: | mac
--mac-source [!] address
Match source MAC address. It must be of the form XX:XX:XX:XX:XX:XX. Note that this only makes sense for packets coming from
an Ethernet device and entering the PREROUTING, FORWARD or INPUT chains.
|
c'est la que je comprends pas. Y'a pas le meme nombre de caractères entre le MAC du man et le MAC de mes logs. Du coup, si je fais Code: | iptables -I INPUT 1 -m mac --mac-source 00:0f:3d:de:a8:db:00:0f:66:d3:f9:34:08:00 --log-prefix TEST -j LOG | ca passe pas et ca me réponds Code: | iptables v1.2.11: Bad mac address `00:0f:3d:de:a8:db:00:0f:66:d3:f9:34:08:00' |
comment faire ?
Last edited by marvin rouge on Mon Oct 18, 2004 3:48 pm; edited 1 time in total |
|
Back to top |
|
|
marvin rouge Veteran
Joined: 01 Aug 2004 Posts: 1422 Location: Villa Lumierrante, Zonelibre
|
Posted: Mon Oct 18, 2004 3:48 pm Post subject: |
|
|
adresse MAC = <dst mac>:<src mac>:<ethertype> |
|
Back to top |
|
|
sireyessire Advocate
Joined: 20 Mar 2003 Posts: 2991 Location: back in Paris, France
|
Posted: Tue Oct 19, 2004 6:41 am Post subject: |
|
|
d'un autre côté comme tu peux aussi spoofer ton adresse mac ...
nb: si c'est encore un petit script-kiddie de merde, tu peux faire un nmap dessu et généralement ça les calme, ils coupent leur connexion internet. _________________ I never think of the future. It comes soon enough.
Albert Einstein
Try simpler first
Shockley |
|
Back to top |
|
|
marvin rouge Veteran
Joined: 01 Aug 2004 Posts: 1422 Location: Villa Lumierrante, Zonelibre
|
Posted: Tue Oct 19, 2004 7:08 am Post subject: |
|
|
vi. il me scanne toutes les nuits, entre 1h et 3h du mat. j'ai déjà fait un nmap dessus, il a tout ses ports ouverts ... ca doit etre du spoof |
|
Back to top |
|
|
LostControl l33t
Joined: 02 Mar 2004 Posts: 885 Location: La Glane, Suisse
|
Posted: Tue Oct 19, 2004 8:37 am Post subject: Re: [IPTABLES] utiliser le match MAC (resolu) |
|
|
marvin rouge wrote: | Ce que je pourrais faire, c'est une règle iptable DROP sur son adresse IP (voir fail2ban). Mais il pourrait etre en DHCP. Donc je voudrais utiliser l'adresse MAC (elle est bien liée à sa carte réseau, non ? ) |
[MODE PUB]
A moins qu'il ne change d'IP à toutes les requêtes, avec fail2ban le gars sera viré complétement pour une certaine période s'il fait plusieurs essais de login ratés sur ton ssh.
[/MODE PUB]
Je te conseille d'essayer et de voir ce que ça donne ! |
|
Back to top |
|
|
marvin rouge Veteran
Joined: 01 Aug 2004 Posts: 1422 Location: Villa Lumierrante, Zonelibre
|
Posted: Tue Oct 19, 2004 10:44 am Post subject: |
|
|
hum, je l'ai qui tourne le fail2ban (voir mon 1er post, j'y fais référence). Mais j'ai dans la tete une petite extension
lostcontrol : a propos de fail2ban, on peux utiliser le forum de sourceforge/fail2ban ? je veux dire, tu comptes l'utiliser ce forum ?
+ |
|
Back to top |
|
|
LostControl l33t
Joined: 02 Mar 2004 Posts: 885 Location: La Glane, Suisse
|
Posted: Tue Oct 19, 2004 5:48 pm Post subject: |
|
|
marvin rouge wrote: | lostcontrol : a propos de fail2ban, on peux utiliser le forum de sourceforge/fail2ban ? je veux dire, tu comptes l'utiliser ce forum ? |
Oui oui il faut l'utiliser, il est là pour ça |
|
Back to top |
|
|
|