Bannir une adresse mac sous linux?

Par Tabassor le 16/10/2002 à 19:42:47 (#2347838)

voila, d'ici peu de temps, je compte mettre en oeuvre un petit serveur chez moi, sous linux, connecté de facon permanente à une ligne ADSL (voire SDSL plus tard)
je compte faire fonctionner plusieurs services(au début 1, puis plus quand j'aurai un meilleur ordi) style http, telnet, nwn, irc, counter, etc...

ma question est:
Je risque de rencontrer des problèmes vis à vis des hackers, et je me demandais s'il était possible de bannir une machine remote selon sa mac adresse (en supposant aussi qu'il y ait un moyen pour que je la demande obligatoirement au login... 2 e question, qui en fait devrait etre posée avant la première)

Est-ce possible aussi sous VMS (ca ca m'intéresse moins, mais c'est possible qu'à mon boulot je doive travailler sous vms...)

Merci de vos réponses.

Par Missmite le 16/10/2002 à 20:28:28 (#2348092)

Tu n'as jamais l'adresse mac d'une machine qui n'est pas sur le meme reseau local physique que toi. C'est une des propriétés de IP. Dans ta table arp tu n'auras pas l'adresse mac du destinataire mais l'adresse mac du routeur qui y mene le plus proche de toi (probablement une machine chez wanadoo, tu peux toujours la banir par adresse mac ton internet ne fonctionera plus). Si tu as peur des hackers deja ne lance pas telnet mais ssh, ca sera bien mieux, et ne lance que les services utiles qui te servent. pas de ftp, pas de rlogin, pas de allow list, pas de sendmail (sauf si tu veux vraiment t'en servir) ,pas de finger, pas de smb mappé sur l'exterieur de ton reseau local etc etc etc.

Si tu ne peux rien faire sur les adresses mac, tu peux faire des regles sur les ip, et par exemple n'accepter que les gens venant de wanadoo et autres providers francais qu'utilisent tes amis (ca te fait deja sauter tout les hackers etrangers). Sinon vous utilisez un dyndns et tu fais les match sur les noms d'hotes recupérés sur le dyndns, mais tu risques d'avoir des periodes d'innaccessibilité lorsque tes amis auront rebooté recement et que le dyndns ne sera pas encore remis a jours.

Par Tabassor le 16/10/2002 à 20:33:29 (#2348129)

merci beaucoup... c'est dommage que ce ne soit pas possible mais je pense que ces solutions offrent au moins une bonne alternative au problème.:merci:

Par Katyucha LQCA le 16/10/2002 à 21:05:17 (#2348350)

La commande ipchain permet de couper l'arrivé de paquets d'une adresse ip
je vais rechercher mon vieux scripts en perl qui vérifiait que personne scan tes ports, si une machine scan plus de 5 ports, un coup d'ipchain dans la tronche
*recherche dans les méandres de son disque dur*
en tout cas, c'est pas dur a faire

Par Tabassor le 16/10/2002 à 21:32:30 (#2348524)

le problème avec ipchains, c'est qu'il se base sur l'ip, et la personne en face a vite fait de la masquer(malheureusement).
donc cela ne résout le problème que temporairement.
il est possible de ne pas accepter les IP invalides (je pense mais je ne suis pas sur, je suis encore un novice en réseaux unix) mais cela ne fait aussi que reporter le problème: au pire le pirate peut accepter de donner son ip, et en cas d'ipchains, s'il a une ip dynamique, déco/reco...
autre problème: moi quand j'envoie mon IP, c'est 192.168.0.3... en effet je suis dans un réseau de classe C avec une passerelle vers internet...
ce cas la aussi je ne saurai rien y faire, car je n'aurai pas accès direct a l'ordinateur (en fait je veux plutot dire, j'aurai une ip bidon, et le fw peut possiblement chercher dans mon réseau local après une telle ip, et s'il ne la trouve pas, c'est perdu)
j'avais pensé a l'adresse mac pour cela... mais bon comme l'a dit missmite (je la crois, vu que je ne m'y connais pas... du moins pas encore) les protocoles ne véhiculent pas l'adresse mac sur internet :( c'est bien dommage (d'ailleurs j'aurais du m'en douter, jol aurait beaucoup moins de problèmes pour bannir a vie sinon)
donc je pense que j'aurai 2-3 services publics(style http) et d'autres services privés à la sauce dnsdys...mais la doc sur ipchains m'intéresse quand même :)

Par Missmite le 16/10/2002 à 21:39:04 (#2348567)

Bah de toute facon toutes les regles de securité que je te propose plus haut sont toutes basées sur ipchain ou son remplacement dans les kernels plus recents ipfwadm http://www.fwtk.org/ipfwadm/faq/ipfwadm-faq.html