Discussion :

[debPG43]

Bonjour, (plutôt bonsoir)
j'ai des logs étranges sous pf, par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
- rule 10/0(match): block out on ale0:web.fr.58566 > ftp.beastie.tdk.net.ftp: [|tcp]
- rule 10/0(match): block out on ale0:web.fr.59452 > ring.yokohama.riken.jp.http: [|tcp]

Pourtant je suis jamais allé à Amsterdam (enfin si pour goutter les fromages) ou au Japon. Bon j'ai bien un frangin qui s'appelle jp !!!

Non, je déconne mais je comprends pas bien. Si quelqu'un a une idée pour un jeune debutant, je suis preneur.Merci

[tonton fred]

Salut,

Tu peux poster ca?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

pfctl -sr

C'est histoire de voir a quoi correspond la regle 10

[debPG43]

Salut et merci de t'intéressé à mon pb

résultat pfctl -sr

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
scrub in all fragment reassemble
block drop in log quick on ale0 inet from 127.0.0.1 to any
block drop in log quick inet from 0.0.0.0 to any
pass in log quick on ale0 inet6 proto tcp from any to fe80::224:8cff:fe48:47a5 port = http flags S/FSRA keep state
pass in log quick on ale0 inet proto tcp from any to 192.168.0.10 port = http flags S/FSRA keep state
pass out log quick on ale0 inet6 proto udp from fe80::224:8cff:fe48:47a5 to any port = domain keep state
pass out log quick on ale0 inet proto udp from 192.168.0.10 to any port = domain keep state
pass out log quick on ale0 inet6 proto tcp from fe80::224:8cff:fe48:47a5 to any port = smtp flags S/SA keep state
pass out log quick on ale0 inet proto tcp from 192.168.0.10 to any port = smtp flags S/SA keep state
pass in log quick on ale0 inet6 proto tcp from fe80::224:8cff:fe48:47a5 to any port = smtp flags S/SA keep state
pass in log quick on ale0 inet proto tcp from 192.168.0.10 to any port = smtp flags S/SA keep state
block drop log all

mon pf.conf, bon je pense que ça revient un peu au même mais je le met quand même (si t'as d'ailleurs il est pas top n'hésite pas à me le dire)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
ext_if = "ale0"
set skip on lo0
scrub in all
antispoof log quick for ext_if inet
block in quick log on $ext_if from 127.0.0.1
block in quick log from 0.0.0.0
pass in quick log on $ext_if proto tcp from any to $ext_if port 80 flags S/SFRA keep state
pass out quick log on $ext_if proto udp from $ext_if to any port domain keep state
pass out quick log on $ext_if proto tcp from $ext_if to any port smtp keep state
pass in quick log on $ext_if proto tcp from $ext_if to any port smtp keep state
block log all

En fait, je m'inquiète qu'il y est des tentatives de connexion sortantes sur de tel serveur alors que j'ai juste un serveur web avec apache2,php,mysql et ssmtp (seul port 80 ouvert d'après sockstat -4)

[tonton fred]

Tu peux remplacer

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

block log all

par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

block log (user) all

pour avoir l'UID du process qui essaye de se connecter.

[debPG43]

Ok merci, je connaissais pas.
J'ai mis en place et je posterai le résultat.
Résultat d'un top:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
 
  PID USERNAME    THR PRI NICE   SIZE    RES STATE  C   TIME   WCPU COMMAND
67691 root          1  44    0 35532K  6452K select 1 362:35  0.00% gkrellm
67571 root          1  44    0   315M   282M select 0 143:52  0.00% Xorg
  500 _pflogd       1 -58    0  6888K  1556K bpf    1   1:33  0.00% pflogd
67690 root          1 -58    0  9456K  3512K bpf    1   0:31  0.00% tcpdump
 1088 root          1   8    0  6748K  1432K nanslp 0   0:18  0.00% cron
67644 root          1  44    0  5692K  1264K select 1   0:08  0.00% syslogd
 1082 smmsp         1  20    0 10700K  3828K pause  1   0:02  0.00% sendmail
67579 root          1  44    0 34264K  6832K select 0   0:01  0.00% xterm
 8869 root          1  44    0 81320K 14264K select 0   0:01  0.00% httpd
67576 root          1  44    0 34264K  6140K select 0   0:01  0.00% xterm
67455 root          1  44    0  6820K  1248K select 0   0:00  0.00% moused
67588 root          1  20    0 10108K  2948K pause  0   0:00  0.00% csh
67577 root          1  44    0 22124K  4208K select 1   0:00  0.00% twm
 1287 _dhcp         1  44    0  4608K  1460K select 1   0:00  0.00% dhclient
  879 root          1  68    0  2180K   640K select 0   0:00  0.00% devd
 8875 www           1   4    0 82344K 15676K accept 1   0:00  0.00% httpd
 9146 www           1   4    0 82344K 15736K accept 1   0:00  0.00% httpd
 8905 www           1   4    0 82344K 15524K accept 1   0:00  0.00% httpd

je connais pas devd et j'ai rien trouvé dessus.

[tonton fred]

je connais pas devd et j'ai rien trouvé dessus.

man devd ne t'a pas donne la reponse ?

[debPG43]

Oui merci (on voit vite les adepte de windows). Je suis vraiment une chèvre. En plus pour les logs, cela doit être du à la dernière fois ou j'ai fais une maj sur php et les connections ftp ont été bloqué. Faut vraiment que j'arrête. Désolé et encore merci. Bon j'aurais appris les logs du pid et si j'en ai chelou je le posterai.