Bonjour les experts. Dans les logs de mon proxy il y a beaucoup de requêtes refusées (normal vu les URL demandées ci-dessous) en provenance d'un ensemble de systèmes dont j'ai l'accès. Les systèmes sont tous sous Linux/Fedora et le proxy est un squid. Voici un petit extrait des logs :
1 2 3 4 5 6 1391149769.412 0 X.X.X.X TCP_DENIED/403 3681 GET http://master_ibis.local/crossdomain.xml - NONE/- text/html 1391149769.444 0 X.X.X.X TCP_DENIED/403 3657 GET http://127.0.0.1/crossdomain.xml - NONE/- text/html 1391149769.464 0 X.X.X.X TCP_DENIED/403 3681 GET http://master_ibis.local/crossdomain.xml - NONE/- text/html 1391149769.560 0 X.X.X.X TCP_DENIED/403 3657 GET http://127.0.0.1/crossdomain.xml - NONE/- text/html 1391149769.651 0 X.X.X.X TCP_DENIED/403 3657 GET http://127.0.0.1/crossdomain.xml - NONE/- text/html 1391149769.682 0 X.X.X.X TCP_DENIED/403 3681 GET http://master_ibis.local/crossdomain.xml - NONE/- text/html Il doit y avoir un problème de config des systèmes en question, et cela génère du trafic, donc de la conso réseau inutile, surtout que ces systèmes sont derrière un routeur 3G. Jusqu'ici je sais qu'il n'y a rien à faire du côté de mes firewal, et le problème réside au niveau des systèmes qui font les requêtes. J'ai mis à chaque fois *X.X.X.X* à la place de l'adresse ip du serveur qui a effectué la requête, pour des question de confidentialité. J'ai fait une analyse côté client et proxy. Et en fait les ports *3681 *et* 3657* sont des pour universellement reconnus et peuvent servir d'attaque. Ils sont par défaut rejetés par les firewall (normalement) . Ils correspondent respectivement aux services/protocoles : 1 2 3 4 [root@hostname~]# less /etc/services | grep 3681 bts-x73 3681/tcp # BTS X73 Port bts-x73 3681/udp # BTS X73 Port et : 1 2 3 4 [root@hostname]# less /etc/services | grep 3657 immedianet-bcn 3657/tcp # ImmediaNet Beacon immedianet-bcn 3657/udp # ImmediaNet Beacon et donc dans mon cas à chaque tentative il y a un accès refusé à ces services. Cependant quand je lance un * tcpdump* sur la bonne interface et chacun de ces ports je ne capture pas de paquet, je vois juste quelques fois un nombre de paquets filtrés mais pas capturés. De même la commande *netstat* ne me donne aucun résultat qui match ces deux ports, de façon à ce que je puisse récupérer le *process ID *et voir le service derrière. Du coup ma question. Comment empêcher à mes machines de tenter ces connexions vers le *proxy*? Dois-je commenter la ligne correspondante dans le fichier */etc/services * par exemple? Comme vous pouvez donc le voir, ces ports et les services associés par défaut sont présents sur tout système. Le truc c'est que mon proxy identifie des connexions initiées par les machines sur ces ports là, pourtant je ne vois aucun service les utilisant sur la machine en question. Je ne sais pas comment le proxy arrive lui à détecter ces tentatives de connexions, je n'aririve pas à les voir passer, ni à identifier le service associé en réalité sur la machine en question( ce sont des ports clients). Pouvez-vous m'aider à lever le mystère s'il vous plaît. Merci beaucoup pour votre aide et éclairage. Cordialement, Eugène NG -- ngont...@epitech.net sympav...@gmail.com ------------------------------------------------------------ *Aux hommes il faut un chef, et au* * chef il faut des hommes!L'habit ne fait pas le moine, mais lorsqu'on te voit on te juge!* --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/