Forum Linux.débutant firefox + ports de "sortie" aléatoires

Posté par yanlolot le 12 décembre 2005 à 00:27.

Étiquettes :

déc.

2005

Salut à tous
Voici mon souci:
lorsque je fais un #netstat -taupe, il y a dans la réponse:
tcp 0 0 localhost:1232 216.239.57.104:http ESTABLISHED bidule 9997 4198/firefox-bin tcp 0 0 localhost:1233 66.102.9.104:http ESTABLISHED bidule 10028 4198/firefox-bin

firefox n'utilise pas le port 80 , mais les ports 1232 et 1233?? (ce qui me pose un souci pour régler mon firewall pour la chaîne OUTPUT, vu que ces ports changent à chaque fois)

Comment faire pour "fixer" les ports ??

Merci de votre aide

# C'est normal

Posté par Alf (site web personnel) le 12 décembre 2005 à 00:50. Évalué à 3.

Il se connecte au port 80 du serveur, mais il utilise des ports libres supérieurs à 1024 pour sortir. Tous les logiciels "clients" font ça. D'un point de vue sécurité, ce n'est pas dangereux, ce que tu as à faire est de sécuriser les "input".
http://helpmequ.it: arrêter de fumer pour la bonne cause, http://mapetiteautoentreprise.fr : facturation libre pour les auto-entrepreneurs
- [^] # Re: C'est normal
  
  Posté par Alf (site web personnel) le 12 décembre 2005 à 01:01. Évalué à 4.
  
  d'ailleurs pour rappel, lorsque tu as ca :
  
  tcp 0 0 localhost:1232 216.239.57.104:http ESTABLISHED bidule 9997 4198/firefox-bin
  
  ca correspond schématiquement à ca :
  
  ----------------- ----------------------- | client | 9997 |------> | 80 | 216.239.57.104 | ----------------- -----------------------
  http://helpmequ.it: arrêter de fumer pour la bonne cause, http://mapetiteautoentreprise.fr : facturation libre pour les auto-entrepreneurs
  - [^] # Re: C'est normal
    
    Posté par fox (site web personnel) le 12 décembre 2005 à 07:47. Évalué à 2.
    
    Non, 9997 correspond au numero d'inode, pas au port client, qui dans ce cas est le 1232
    - [^] # Re: C'est normal
      
      Posté par Alf (site web personnel) le 12 décembre 2005 à 11:05. Évalué à 1.
      
      arf, il était tard, j'ai vite lu =) désolé
      http://helpmequ.it: arrêter de fumer pour la bonne cause, http://mapetiteautoentreprise.fr : facturation libre pour les auto-entrepreneurs
- [^] # Re: C'est normal
  
  Posté par debianowgus le 12 décembre 2005 à 10:25. Évalué à 0.
  
  Je ne suis pas trop d'accord avec toi car si tu peux choisir un et un seul port de sortie pour firefox tu peux bloquer tous les autres ports en sortie. Ainsi tu peux empècher un rootkit de sortir par un port quelconque.
  - [^] # Re: C'est normal
    
    Posté par Alf (site web personnel) le 12 décembre 2005 à 11:37. Évalué à 2.
    
    Un scan de ports pour un rootkit, c'est pas trop dur. Il sortira par où il pourra. Et puis, si tu as un rootkit d'installé, c'est déjà que tu as un gros problème de sécurité globale en entrée.
    http://helpmequ.it: arrêter de fumer pour la bonne cause, http://mapetiteautoentreprise.fr : facturation libre pour les auto-entrepreneurs
    - [^] # Re: C'est normal
      
      Posté par yanlolot le 12 décembre 2005 à 16:13. Évalué à 1.
      
      merci à tous pour ces réponses, et effectivement ,je veux fixer un port de sortie pour éviter qu'un troyen ou autre ne puisse diffuser des infos à partir de mon ordi.
      Je ne pense pas avoir de troyen d'installer (si je ne me trompe, une lecture attentive de netstat doit me l'indiquer, non ?)
      
      Merci pour vos lumières...
      - [^] # Re: C'est normal
        
        Posté par _seb_ le 12 décembre 2005 à 18:35. Évalué à 1.
        
        Je ne pense pas avoir de troyen d'installer (si je ne me trompe, une lecture attentive de netstat doit me l'indiquer, non ?)
        
        Les rootkits modifient très souvent les binaires tels que netstat afin de ne pas réveler leur présence.
        
        La seule solution digne de ce nom pour savoir si l'on n'a pas été infecté et de placer une sonde réseau indépendante (un autre PC en gros) et d'analyser le traffic entrant et sortant de ton poste.
        
        [^] # Re: C'est normal
        
        Posté par yanlolot le 12 décembre 2005 à 21:06. Évalué à 1.
        
        La seule solution digne de ce nom pour savoir si l'on n'a pas été infecté et de placer une sonde réseau indépendante (un autre PC en gros) et d'analyser le traffic entrant et sortant de ton poste.
        
        J'ai justement deux ordis en réseau, mais qu'appelles-tu une sonde réseau?
        C'est faire un netstat à partir de l'autre ordi sur l'ordi à surveiller ?
        
        [^] # Re: C'est normal
        
        Posté par Alf (site web personnel) le 12 décembre 2005 à 22:17. Évalué à 1.
        
        hum, je dirais mettre un pc sain entre le net et ton pc que tu veux protéger et regarder ce qui vient du pc à vérifier et regarder ce qui arrive du net pour le pc à vérifier. Pour ca, il vaut mieux utiliser un truc comme tcpdump a mon avis.
        http://helpmequ.it: arrêter de fumer pour la bonne cause, http://mapetiteautoentreprise.fr : facturation libre pour les auto-entrepreneurs
        
        [^] # Re: C'est normal
        
        Posté par yanlolot le 12 décembre 2005 à 22:44. Évalué à 1.
        
        merci pour ces précisions

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.