Journal aMule et lowID

Posté par  .
Étiquettes : aucune
0
6
mar.
2004
J'ai installé aMule sur mon Linux. Et j'étais assez étonné, je n'ai trouvé nulle part où était mon ID (low ou high) rien ne l'indiquait à part les flèches jaunes.
Bref, toujours est-il que j'ai eu du mal à trouver comment ouvrir les ports qu'il fallait avec iptables. Chaque fois que je cherchais, je tombais sur une doc qui à l'air bien intéressante http://olivieraj.free.fr/fr/linux/information/firewall(...) . Que j'ai bien l'intention de lire.
Mais elle est bien longue et j'avais besoin d'une solution toute de suite. En cherchant sur le forum de aMule je suis tombé sur ce script.
/sbin/iptables --flush
/sbin/iptables -A INPUT -m state --state INVALID -j DROP
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p UDP --dport 4672 -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -p TCP --dport 4662 -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -j DROP
/sbin/iptables-save
/sbin/service iptables save
/sbin/service iptables restart
Je pense qu'il sera intéressant pour toutes les personnes qui en auront besoin, car ca marche, je suis maintenant en HighID.
Au passage j'espère que ce script ne fait pas de conneries. Je ne suis pas très familier avec iptables.
  • # Re: aMule et lowID

    Posté par  . Évalué à 3.

    C'est la journée des gens qui n'ont pas envie de lire du doc il faut croire ...

    cf http://linuxfr.org/~_alex/10158.html(...)

    M
    • [^] # Re: aMule et lowID

      Posté par  . Évalué à 2.

      normal les gens n'ont jamais envie de lire la doc... Ils ont envie de faire un truc et pour ça ils utilisent un soft. La lecture de la doc c'est au mieux quand ils n'y arrivent plus avec le pifomètre (et encore..)
      • [^] # Re: aMule et lowID

        Posté par  (site web personnel) . Évalué à 3.

        Je propose donc que amule soit setuid root et aie le droit de modifier les regles iptables a loisir. Super comme idée non ?
        • [^] # Re: aMule et lowID

          Posté par  . Évalué à 1.

          oui, si possible complètement aléatoirement pour que l'on ne puisse pas rédiger de doc expliquant comment l'empecher ;)
    • [^] # Re: aMule et lowID

      Posté par  . Évalué à 1.

      Si, si j'ai envie de lire la doc. Mais pas tout de suite. Et la je voulais une solution de suite.
      C't'emmerdant de lire une doc juste pour un point précis. On finis par plus savoir ce qu'on voulait faire.
      • [^] # Re: aMule et lowID

        Posté par  . Évalué à 2.

        Mais pas tout de suite

        Ben si, le truc c'est de lire la doc avant d'utiliser le soft donc 'de suite', donc t'avais pas envie de lire la doc :p
      • [^] # Re: aMule et lowID

        Posté par  . Évalué à 6.

        C'est vrai, tu risque d'apprendre un tas de trucs intéressants que tu ne soupçonnais pas...

        C'est dangereux les docs, on se méfie jamais assez !
        • [^] # Re: aMule et lowID

          Posté par  . Évalué à 1.

          Surtout doc justice, il peut faire des atemi et il connait le cri paralysant!
          KIAIIIIIIIII!!!
          Merde! mon cla
  • # Re: aMule et lowID

    Posté par  (site web personnel) . Évalué à 2.

    et si ca interesse quelqu'un, j'avais trouvé ca pour mldonkey car le monsieur n'est pas content avec les regles utilisés pour *mule

    # Mldonkey #
    $iptables -A INPUT -i ppp0 -p tcp ! --syn -j ACCEPT
    $iptables -A INPUT -i ppp0 -p tcp -m multiport --dports 4662,18491 --syn -j ACCEPT
    $iptables -A INPUT -i ppp0 -p udp -m multiport --dports 4666,18491 -j ACCEPT
    $iptables -A INPUT -i eth0 -p tcp --dport 4080 -j ACCEPT

    J'en profite pour poser une question: y'a t'il aucun danger a accepter toute les connexion n'ayant pas le SYN bit?
    • [^] # Re: aMule et lowID

      Posté par  . Évalué à 2.

      Pour MLdonkey, c'est pas tout à fait exact (surtout que MLdonkey gère plusieurs réseaux (eDonkey, BitTorrent, Overnet, Gnutella etc...))

      Je te conseil d'aller voir ici, http://mldonkey.berlios.de/modules.php?name=Wiki&pagename=WhatF(...)

      Sinon, pour le SYN bit, je ne sais pas trop. Pour ma part, j'accepte juste les connections déjà établies et 'RELATED'

      # On accepte ce qui provient d'une connection déjà établie
      iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

      Je dirais, sans trop être certain, que c'est une meilleur politique de sécurité que de n'accepter que les paquets qu'on estime comme valabe plutôt que de supprimer ceux qu'on pense être 'mauvais' (parce qu'on peut oublier de supprimer un certain type de mauvais paquets sans s'en rendre compte, alors que si on oublie d'accepter un certain type de paquets valables, on le verra, puisque le 'service/application' associé ne marchera pas).
      Puis sinon j'ai vu qu'il existait un état INVALID pour certain paquets et je me demande si mettre tout les paquets sauf les NEW n'accepterait pas les paquets INVALID...

      C'est comme ça que je vois les choses donc je ne suis pas sûr que ça soit juste, donc n'hésitez pas à me corriger si je me trompe.
  • # Re: aMule et lowID

    Posté par  . Évalué à 2.

    http://linuxfr.org/comments/363299.html(...) :

    iptables -t nat -A PREROUTING -d 82.67.66.128 -p tcp --dport 1024: -j DNAT --to-destination 192.168.0.253
    • [^] # Re: aMule et lowID

      Posté par  . Évalué à 1.

      Y'a-t-il un interprète dans la salle ?
      • [^] # Re: aMule et lowID

        Posté par  . Évalué à 2.

        iptables -t nat -A PREROUTING -d -p tcp --dport -j DNAT --to-destination

        Cette commande permet d'envoyer tout ce que recoit le routeur sur la machine derière le routeur dont l'ip est . Cela concerne les ports décrit par :
        1024: pour tous les ports > 1024
        4665:4675 pour les ports entre 4665 et 4675

        correspond à l'adresse allouée par le FAI.

        Je pense que c'est un peu plus clair comme ca.

        Ph Husson est horrifié parce que j'envois tous les ports > 1024 (donc bcp) vers une machine à l'intérieur du LAN.
        Lorsqu'on ne connait pas la machine ce n'est vraiement pas ce qu'il faut faire. Si on sait ce qu'il y a d'installer dessus, perso je préfére comme ca si ca peut m'éviter des problèmes de NAT... (la machine qui est en LAN avant été exposé à l'internet sans firewall avant)
      • [^] # Re: aMule et lowID

        Posté par  . Évalué à 2.

        Deuxième édition :

        iptables -t nat -A PREROUTING -d [ipexterieure] -p tcp --dport [plageports] -j DNAT --to-destination [iplan]

        Cette commande permet d'envoyer tout ce que recoit le routeur sur la machine derière le routeur dont l'ip est [iplan]. Cela concerne les ports décrit par [plageports] :
        1024: pour tous les ports > 1024
        4665:4675 pour les ports entre 4665 et 4675

        [ipexterieure] correspond à l'adresse allouée par le FAI.
        • [^] # Re: aMule et lowID

          Posté par  (site web personnel, Mastodon) . Évalué à 1.

          > iptables -t nat -A PREROUTING -d [ipexterieure] -p tcp --dport [plageports] -j DNAT --to-destination [iplan]
          Est-ce indispensable de rajouter un truc comme ceci :
          iptables -A FORWARD -p tcp -d [iplan] --dport [plageports] -j ACCEPT
          (c'est la règle qui suit la ligne du haut pour chaque port que je redirige)
          C'est un script quelconque (trouvé sur freshmeat) qui a créé mes règles iptables...
    • [^] # Re: aMule et lowID

      Posté par  (site web personnel) . Évalué à 3.

      euh non franchement sans moi ca
      paske envoyer tout les ports superieurs au port 1024 sur une machine du lan
      tres peu pour moi
  • # Re: aMule et lowID

    Posté par  (site web personnel) . Évalué à 1.

    Bonjour,

    je suis l'auteur de la doc en question. C'est vrai qu'elle est longue à lire, mais elle a avant tout été écrite pour les personnes n'ayant pas un niveau de connaissance important dans le domain de la sécurité informatique sous Linux. Elle se veut aussi progréssive dans les difficultées, mais rien ne t'empêche de sauter les 2 premiers chapitres.

    Pour ce qui est de ton script, voici quelques commentaires :
    - Tu n'initialises pas les cibles par défaut des chaines de la table "FILTER". Donc par défaut, tu laisses tout entrer. C'est une erreur très grave.
    - Si ta machine est connectée à un réseau local, la ligne "--state NEW -j DROP" interdira aux autres machines de se connecter à la tienne
    - La seul protection que tu utilises est de filtrer les connexion NEW et INVALID. C'est très insuffisant.

    Bref, même si effectivement ton firewall laisse passer tes connexions amule, il n'est techniquement pas très sécurisé.

    Demain (mardi), va sur le site http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/(...) . Je mettrai en ligne ce soir une nouvelle version de ce script de configuration de Netfilter, qui sera plus efficace que ce que tu proposes. Une des nouvelles fontionnalité est le support de xMule, qui est semblable à aMule.
    • [^] # Re: aMule et lowID

      Posté par  . Évalué à 1.

      Et bien félicitations, j'ai lu ta doc hier et je dois dire qu'elle est très intéressante et m'a appris beaucoup de choses sur la sécurité sur Linux. Je salue en particulier l'effort qui a été fait pour que les personnes qui n'entendent pas grand chose à ce sujet puissent comprendre (même si j'ai pas tout compris)
      Je ne manquerai pas de regarder demain ton site.
      Sinon pour le script que j'ai mis, c'est vrai que j'en avais pas une très grande confiance, c'est pour ca que je l'ai montré à tout le monde, ça me permet d'avoir des avis éclairés.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.