Kik it Productions - Computer related stuff ...

Déterminer la taille des sous dossiers (OS GNU/Linux)

Créons une nouvelle commande shell capable de nous informer sur la taille des sous dossiers du dossier courant ou du dossier indiqué en paramètre.
Dans un but pratique et plus spécifique que les commandes df et du on ne souhaite pas fournir d'option de ligne de commande, on souhaite simplement obtenir en sortie une liste des sous dossiers présents et leur taille.

La commande qui va nous faire ca est une boucle :

for el in `ls -1p $1|grep /`; do du -s --block-size=M $1$el; done

En français : Pour chaque dossier contenu dans le dossier $1 (ou courant si absent), affiche la taille en Mo de cet élément.

Pour que cela soit simple et rapide à utiliser on en fera un script :

sudo nano /usr/bin/fu

Ce script doit être exécutable :


sudo chmod +x /usr/bin/fu

Exemples :

fred@homer /home % sudo fu /usr/                                                                                                                        :(
111M	/usr/bin/
1M	    /usr/games/
7M	    /usr/include/
153M	/usr/lib/
1M	    /usr/local/
27M	    /usr/sbin/
197M	/usr/share/
1M	    /usr/src/
1M	    /usr/X11R6/

fred@homer /home % fu           
137M	fred/
7944M	tftpboot/

Quels paquets installez vous juste après une install toute fraîche ?

Juste après :

sudo apt-get install nmap htop iftop zsh dsniff sysvconfig screen tcpick smartmontools

Pas longtemps après :

sudo apt-get install streamripper powertop recode

Quick URL sniffer

urlsnarf est un utilitaire du paquet debian/ubuntu dsniff, c'est un sniffer de requetes web très simple et pratique, une petite commande :


urlsnarf -i eth0

et il écoute sur eth0, décortique les requetes web et affiche : l'IP du client, le mode de la requete GET ou POST, l'url demandée, l'url du referer et le navigateur utilisé.

C'est bien mais avec un peu de couleur c'est mieux :

sudo urlsnarf -n -i eth0 | grep --color -E "^([0-9]{1,3}\.){3}[0-9]{1,3} |(( ftp| https?)://\S+)"

ici on utilise la capacité de grep à colorer les patterns qui matchent et on lui demande de trouver une IP en début de ligne et une requete http, https ou ftp, et quand c'est salient c'est évident ...

Port mirroring sur Cisco 3750 via gtkTerm et commandes IOS

La passerelle de mon réseau n'a pas d'interface graphique, pour sniffer le trafic en direction de ma passerelle web (port 1 sur un cisco 3750) je souhaite mirrorer le trafic réseau du port 1 vers le port de mon sniffer graphique (port 8) pour utiliser etherape principalement.

Démarche : se connecter sur le cisco via le port console grâce au logiciel gtkTerm (que je préfère à minicom) et afficher les "monitor" ...


catalystA con0 is now available


Press RETURN to get started.


catalystA>sho

catalystA>show moni

catalystA>show monitor 

 No SPAN configuration is present in the system. 



catalystA>

Aucun monitor n'est actif, définissons en un pour mirrorer le port 8 sur le port 1 :



catalystA>enable

Password: 

catalystA#conf

catalystA#configure t

catalystA#configure terminal 

Enter configuration commands, one per line.  End with CNTL/Z.

catalystA(config)#moni

catalystA(config)#monitor sess

catalystA(config)#monitor session 1 sou

catalystA(config)#monitor session 1 source gi

catalystA(config)#monitor session 1 source gig ?

  interface  SPAN source interface

  remote     SPAN source Remote

  vlan       SPAN source VLAN



catalystA(config)#monitor session 1 source in

catalystA(config)#monitor session 1 source interface gi

catalystA(config)#monitor session 1 source interface gigabitEthernet 1/0/1

catalystA(config)#monito

catalystA(config)#monitor sessi

catalystA(config)#monitor session 1 des

catalystA(config)#monitor session 1 destination in

catalystA(config)#monitor session 1 destination interface gi

catalystA(config)#monitor session 1 destination interface gigabitEthernet 1/0/8

catalystA(config)#end

catalystA#

catalystA#sho

catalystA#show mon

catalystA#show monitor 

Session 1

---------

Type              : Local Session

Source Ports      :

    Both          : Gi1/0/1


Destination Ports : Gi1/0/8

    Encapsulation : Native

          Ingress : Disabled





catalystA#

résumé de la démarche :
après authentification "enable", on passe en mode configuration "configure terminal" puis on tape les commandes qui définissent le mirroring (les lignes coupées trahissent l'utilisation de la touche Tab pour profiter de l'auto-complétion)

Pour stopper le mirroring :


catalystA(config)#no monitor session 1
catalystA(config)#end

Hardy Heron

Quad Screen Sous Ubuntu

Après quelques jours de recherche, (heureusement pas à temps plein !) mon quad screen fonctionne enfin sous Ubuntu. C'était la dernière raison pour laquelle je restais sous Windows XP... Maintenant je suis 100% libéré, youpi ...

Voici ma configuration, 2 (vieilles) cartes ATI Radeon dual Head, une AGP et l'autre PCI :

fred@pod ~ % lspci|grep VGA                                                                                                            
01:00.0 VGA compatible controller: ATI Technologies Inc Radeon RV100 QY [Radeon 7000/VE]
02:09.0 VGA compatible controller: ATI Technologies Inc Radeon RV200 QW [Radeon 7500]

J'utilise 3 écrans 19 pouces en 1280x1024 pour "travailler", 2 LCD et un CRT et le quatrième écran est un video projecteur HD Ready 1280*768.

Dans le /etc/X11/xorg.conf se débrouiller pour avoir au moins un écran fonctionnel sur chaque carte graphique, (Ce que l'install de base du système devrait réussir à faire...) on se retrouve donc avec les sorties de chaque carte en mode clone (ou la deuxième head désactivée ...)

Si un écran VGA est connecté sur une prise DVI avec un adaptateur VGA/DVI cela peut empecher xrandr de détecter l'écran et les modes supportés ... Dans la section screen du xorg.conf il faut ajouter :
Option "ConnectorTable" "3,0,0,2,4,1,0,3"

On interroge nos écrans avec xrandr :

fred@pod ~ % xrandr -q
Screen 0: minimum 320 x 200, current 2560 x 1024, maximum 2560 x 1024
VGA-0 connected 1280x1024+0+0 (normal left inverted right) 330mm x 320mm
   1280x1024@60   60.0* 
   1280x1024      60.0  
   1280x960@60    60.0  
   1024x768@60    60.0  
   1024x768       60.0  
   800x600@60     60.3  
   800x600        60.3     56.2  
   800x600@56     56.2  
   640x480@60     60.0  
   640x480        60.0  
DVI-0 connected 1280x1024+1280+0 (normal left inverted right) 330mm x 320mm
   1280x1024      74.9*    75.0     60.0  
   1024x768       84.9     75.1     70.1     60.0  
   800x600        84.9     72.2     75.0     60.3     56.2  
   640x480        84.6     75.0     72.8     60.0  
   720x400        70.1

Cette sortie de commande xrandr -q est valable uniquement pour la carte qui gère l'écran sur lequel on a lancé la commande ... la preuve, la même commande lancée sur l'autre écran (autre carte) :

fred@pod ~ % xrandr -q
Screen 1: minimum 320 x 200, current 2560 x 1024, maximum 2560 x 1024
VGA-0 connected 1280x768+1280+0 (normal left inverted right) 0mm x 0mm
   1280x800       60.0  
   1280x768       60.0* 
   1024x768       60.0  
   800x600        60.3  
   640x480        59.9  
DVI-0 connected 1280x1024+0+0 (normal left inverted right) 355mm x 265mm
   1280x1024      84.8*    75.0  
   1152x870       74.9  
   1024x768       84.9     75.1     70.1  
   832x624        74.6  
   800x600        84.9     75.0  
   640x480        84.6     75.0     60.0  
S-video disconnected (normal left inverted right)

Ca c'est l'astuce qui permet de pas perdre 3 jours ... Car en plus, les deux écrans portent les mêmes noms sur les deux cartes, mais on se rend compte que les modes sont bien différents ...

Dans la section "device" de chaque carte :
Driver "radeon"

Dans chaque section Screen définir un écran virtuel capable d'accueillir la somme des deux écrans en résolution :

	SubSection "Display"
		Depth	16
		Virtual 2560 1024
	EndSubSection

Ensuite sur le premier écran :

xrandr --output "VGA-0" --mode 1280x1024
xrandr --output "DVI-0" --mode 1280x1024 --right-of VGA-0

Puis sur le deuxième écran :

xrandr --output "VGA-0" --mode 1280x768                  
xrandr --output "DVI-0" --mode 1280x1024 --left-of VGA-0

Veiller à bien lancer les commandes sur l'écran géré par la carte à affecter

Quelques détails à régler :
On peut lancer un script contenant les commandes xrandr à lancer au démarrage avec le menu Système/Préférences/Sessions, mais seulement pour l'écran par défaut car pour le deuxième il faudrait lancer le script depuis l'écran concerné ... si vous avez une idée dites moi :)
On ne peut pas faire passer une fenetre d'une carte à l'autre, ca doit etre possible de ne faire qu'un seul bureau des quatre écrans... dites moi comment :)

Pong is back

Il y a bien longtemps, j'ai développé un petit outil "Pong" pour pinguer des centaines de machines rapidement avec une syntaxe courte...
J'ai recodé completement cet utilitaire en python, Pong est donc maintenant multiplateforme (potentiellement, pas testé sous Windows) et multithreads :)

Comment ca marche ? Basiquement, comme ping :
pong 172.16.0.1

Plus spécifiquement :
pong 172.16.50,52,54,60.1-25
cette commande ping 100 machines

Ca donne quoi sur une console ?


mymachine% pong 172.16.52.1-10
IP              MAC                Status  Times (ms)
172.16.52.1     0F:14:2F:3F:37:F0  Up      0.247 1.988
172.16.52.2                        Down
172.16.52.3                        Down
172.16.52.4                        Down
172.16.52.5     00:1F:22:FE:AA:FA  Up      0.263 0.868
172.16.52.6     00:14:2F:3F:46:F9  Up      0.220 0.730
172.16.52.7     00:1F:22:3F:46:F9  Up      0.226 4.058
172.16.52.8     00:14:2F:3F:46:7F  Up      0.238 3.742
172.16.52.9     00:1F:22:3F:68:FF  Up      0.256 2.980
172.16.52.10    00:1F:2F:3F:45:5F  Up      0.250 1.333

Pong Report :       10 IPs Ponged in : 0h 0m 2s 0909ms
                     7 Hosts Up
                     3 Hosts Down
                     0 Hosts Weird

Pong V3.00 est un soft sous licence GPLv3

Voir section downloads un paquet deb pour debian/ubuntu (contenu pong et page de man) et la source python

Memo installation webcam GSPCA

sudo aptitude install module-assistant gspca-source camstream
sudo m-a prepare
sudo m-a a-i gspca
sudo modprobe gspca

camstream

Passerelle Filtrante DansGuardian/Squid (proxy cache transparent)

Objectif

Installer DansGuardian et Squid sur un routeur linux (debian/ubuntu) pour filtrer l’accès au web.

Pourquoi DansGuardian (et pas SquidGuard ) ?

SquidGuard utilise une liste noire de sites interdits qu'il faut tenir à jour. DansGuardian peut lui aussi utiliser des listes noires (sites, mots, extensions ...), mais plus futé, il analyse le contenu des pages et détermine si elles doivent être bloquées en fonction de leur niveau de « naughtiness ».

Installation de Squid

Pour fonctionner, DansGuardian a besoin d'un serveur proxy.

# aptitude install squid

Configuration de Squid

Le fichier de configuration de Squid est énorme mais il s'agit surtout de commentaires, il y a très peu de choses à modifier.

# nano /etc/squid/squid.conf

Rechercher la partie concernant la déclaration des acl (rechercher « acl all ») , ajouter vos subnets réseau :

acl ourLANs src 172.16.0.0/16 172.20.0.0/16

Plus bas, avant la ligne « http_access deny all » ajoutez :

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

http_access allow ourLANs

Redémarrer le Squid pour prendre en compte les modifications :

# /etc/init.d/squid restart

Test de Squid

Pour tester squid, il suffit de configurer un navigateur web pour qu’il l’utilise. Par exemple, pour Firefox, il faut faire :
Menu « Éditions / Préférences » onglet « Avancé », bouton « Paramètres ».
Mettre « AdresseIPPasserelle » dans le champ « Proxy HTTP »
Mettre « 3128 » dans le champ « Port »
Cocher « Utiliser ce serveur proxy pour tous les protocoles »

Si après ce réglage, l’accès web fonctionne toujours c’est que le proxy est opérationnel.

Et normalement en arrêtant le proxy, cela doit bloquer l’accès web :

# /etc/init.d/squid stop

Il faut le démarrer pour refaire fonctionner l’accès au web :

# /etc/init.d/squid start

Installation de DansGuardian

# aptitude install dansguardian

L’installation de « DansGuardian entraîne l’installation de l’antivirus « Clamav ».

Configuration de DansGuardian

DansGuardian utilise plusieurs fichiers de configuration situés dans « /etc/dansguardian ».

Configuration de « /etc/dansguardian/dansguardian.conf »

Pour activer la configuration, il faut commenter ou supprimer cette ligne :

#UNCONFIGURED

La ligne suivante permet d’indiquer le port utilisé par le proxy squid :

proxyport = 3128

Cette ligne permet d’avoir les messages en français en cas de blocage des sites :

language = 'french'

Cette ligne permet de désactiver l’antivirus :

virusscan = off

Configuration de « /etc/dansguardian/dansguardian1.conf »

La ligne suivante permet de paramétrer le filtrage en fonction de l’âge des personnes concernées :

naughtynesslimit = 150

La valeur par défaut de « 50 » donne un filtrage très dur et peu de sites sont accessibles. Plus cette valeur est élevée et plus le filtrage est faible.

Cette ligne permet de désactiver l’antivirus :

virusscan = off

Configuration du fichier /etc/dansguardian/bannedextensionlist

Ce fichier permet de définir des types de fichiers qui seront interdits de télécharger. Par défaut, la liste est très restrictive. il faut donc commenter les types de fichiers que vous souhaitez autoriser.

Configuration du fichier /etc/dansguardian/bannedmimetypelist

Là encore il s’agit de restreindre des types de fichiers.

#application/gzip #application/x-gzip #application/zip

Configuration du fichier /etc/dansguardian/bannedregexpurllist

L’ajout de cette ligne à la fin du fichier permet de bloquer la plupart des sites français de rencontres en ligne :

Configuration du fichier /etc/dansguardian/phraselists/pornography/weighted_french

Il est possible d’ajouter des mots ou des listes de mots dans ce fichier, avec des coefficients positifs (mauvais mot) ou négatifs (bons mots) :

< tchat ><20> < t'chat ><20>

Prise en compte des modifications dans la configuration de DansGuardian

Pour prendre en compte les modifications, il faut relancer DansGuardian :

# /etc/init.d/dansguardian restart

Test de DansGuardian

Pour tester « DansGuardian », il suffit de configurer un navigateur web pour qu’il l’utilise. Par exemple, pour Firefox, il faut faire :
Menu « Éditions / Préférences » onglet « Avancé », bouton « Paramètres ».
Mettre « AdresseIPPasserelle » dans le champ « Proxy HTTP »
Mettre « 8080 » dans le champ « Port » (et non plus « 3128 » qui est le port utilisé par le proxy)
Cocher « Utiliser ce serveur proxy pour tous les protocoles »

Test du filtrage

Dans Firefox, allez sur www.google.fr et faites une recherche sur « gros seins ». Les sites retournés par cette recherche devraient être bloqués et la page d’avertissement : /etc/dansguardian/languages/french/template.html s’affiche à la place.

Faites maintenant une recherche sur « grosseur seins ». Les pages retournées ne sont pas bloquées, elles offrent des informations sur le dépistage du cancer du sein ...

Configuration d’iptables pour rendre DansGuardian incontournable

Avec la configuration précédente, il suffit de désactiver le proxy dans le navigateur pour accéder au web sans filtrage. Pour remédier à ce problème, il faut configurer iptables pour rediriger toutes requête web vers DansGuardian, on rend ainsi le proxy « transparent ». Pour cela, il suffit d’ajouter cette ligne à la configuration de votre parefeu :

iptables -t nat -A PREROUTING -i ! $ext_if -p tcp --dport 80 -j REDIRECT --to-port 8080

Ou mieux, pour empecher les clients de passer directement par le proxy squid sur le port 3128 en évitant DansGuardian en configurant leur navigateur :
iptables -t nat -A PREROUTING -i ! $ext_if -p tcp -m multiport --dport 80,3128 -j REDIRECT --to-port 8080

Il faut également configurer le mode transparent dans /etc/squid/squid.conf :

http_port 3128 transparent

always_direct allow all

Utilisation des listes noires de SquidGuard

Vous trouverez sur ce site, des listes noires régulièrement actualisées pour SquidGuard :
http://cri.univ-tlse1.fr/documentations/cache/squidguard.html

Adresse du fichier blacklists : ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz à décompresser dans :

# mkdir /etc/dansguardian/blacklists

Les blacklists sont disponibles individuellement, pour la blacklist « Adult » par exemple :

wget ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/adult.tar.gz

`Créer un script pour Automatiser la mise à jour des blacklists`

#!/bin/bash cd /etc/dansguardian/blacklists wget ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz tar -xvzf blacklists.tar.gz -C /etc/dansguardian/blacklists /etc/init.d/dansguardian restart Ajouter les chemins d'accès aux blacklists que vous souhaitez utiliser dans /etc/dansguardian/bannedsitelist .Include /etc/dansguardian/blacklists/blacklists/adult/domains ... .Include /etc/dansguardian/blacklists/blacklists/warez/domains Pour prendre en compte les modifications, redémarrer DansGuardian : # /etc/init.d/dansguardian restart Pour tester que la liste est bien opérationnelle, il faut tester l’un des sites proposés dans le fichier « domains » la mention « Site Interdit » est utilisée si le blocage est lié à la présence de l'url dans une blacklist, sinon la mention « Limite de ponderation depassee » est utilisée... on peut aussi regarder les logs : # nano /var/log/dansguardian/access.log 2007.2.17 11:49:44 - 127.0.0.1 votresite.com *DENIED* Site interdit: votresite.com GET 0 Monitorer l'activité du proxy avec SARG (log analyser pour squid et dansguardian) # aptidude update # aptitude install sarg # nano /etc/squid/sarg.conf dans la config de SARG /etc/squid/sarg.conf mettre le log de dansguardian à la place de celui de squid : access_log /var/log/dansguardian/access.log report_type topusers topsites sites_users users_sites date_time denied auth_failures site_user_time_date downloads denied dans /etc/dansguardian/dansguardian.conf mettre : loglevel = 3 logfile format = 3 Sources : http://www.deckle.co.za/squid-users-guide/Transparent_Caching/Proxy http://www.coagul.org/article.php3?id_article=570 http://www.coagul.org/article.php3?id_article=184

Port Knocking : Toc Toc c'est moi laisse moi faire du ssh Avoir ssh sur ses serveurs c'est vraiment sympa pour les administrer à distance mais devoir laisser son port ssh accessible 24/7 pour notre petit confort c'est pas top niveau sécurité ... On peut tenter de verrouiller les accès au port ssh histoire de pas se faire brute forcer son mot de passe avec quelque chose de ce style : iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP ce qui aura pour effet d'ignorer les requêtes arrivant à un rythme supérieur à 3 par minute. C'est pas mal déjà, mais en ce moment la mode est au port Knocking, et c'est pas si compliqué... Il suffit de 10 lignes dans iptables pour établir un port Knocking de trois "tocs" afin d'ouvrir le port ssh si les bons ports ont été "Knockés" (et dans le bon ordre :) Le principe Avant de pouvoir utiliser le port 22 on doit le débloquer en contactant des ports précis dans un ordre précis, ce qui constitue la "clef" pour ouvrir notre port 22. Dans notre exemple la clef est 103 202 301, si on contacte ces ports dans cet ordre, le port 22 sera ouvert pendant 5 secondes, juste le temps pour nous de faire une connexion ssh qui sera maintenue au delà de 5 secondes grâce aux règles qui acceptent les connexions ESTABLISHED. Le script iptables -N Step2 iptables -A Step2 -m recent --name Key1 --remove iptables -A Step2 -m recent --name Key2 --set iptables -N Step3 iptables -A Step3 -m recent --name Key2 --remove iptables -A Step3 -m recent --name Key3 --set iptables -A INPUT -p tcp --dport 103 -m recent --set --name Key1 iptables -A INPUT -p tcp --dport 202 -m recent --rcheck --name Key1 -j Step2 iptables -A INPUT -p tcp --dport 301 -m recent --rcheck --name Key2 -j Step3 iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 5 --name Key3 -j ACCEPT Les explications On utilise ici le module "recent" d'iptables : iptables -m recent --help recent v1.2.11 options: [!] --set Add source address to list, always matches. [!] --rcheck Match if source address in list. [!] --update Match if source address in list, also update last-seen time. [!] --remove Match if source address in list, also removes that address from list. --seconds seconds For check and update commands above. Specifies that the match will only occur if source address last seen within the last 'seconds' seconds. --name name Name of the recent list to be used. DEFAULT used if none given. --rsource Match/Save the source address of each packet in the recent list table (default). --rdest Match/Save the destination address of each packet in the recent list table. ipt_recent v0.3.1: Stephen Frost <sfrost@snowman.net>. http://snowman.net/projects/ipt_recent/ Ce module permet de créer des listes dans lesquelles on va pouvoir lire/enregistrer des IPs ... On créer deux chaînes, Step2 et Step3, pour vérifier que la séquence des tocs sur nos ports est bien respectée : iptables -N Step2 iptables -A Step2 -m recent --name Key1 --remove iptables -A Step2 -m recent --name Key2 --set ici, lorsque le paquet traverse Step2, on ajoute l'adresse source du paquet qui est précédemment passé par le port 103 dans la liste "Key2" et on la retire de "Key1" iptables -N Step3 iptables -A Step3 -m recent --name Key2 --remove iptables -A Step3 -m recent --name Key3 --set ici, lorsque le paquet traverse Step3, on ajoute l'adresse source du paquet qui est précédemment passé par le port 202 dans la liste "Key3" et on la retire de "Key2" la ligne : iptables -A INPUT -p tcp --dport 103 -m recent --set --name Key1 ajoute l'adresse source d'un paquet qui arriverait sur le port 103 dans la liste "Key1" la ligne : iptables -A INPUT -p tcp --dport 202 -m recent --rcheck --name Key1 -j Step2 ajoute l'adresse source d'un paquet qui arriverait sur le port 202 et dont l'adresse source serait dans "Key1" dans la liste "Key2" (cela se produit en traversant la chaîne "Step2") la ligne : iptables -A INPUT -p tcp --dport 301 -m recent --rcheck --name Key2 -j Step3 ajoute l'adresse source d'un paquet qui arriverait sur le port 301 et dont l'adresse source serait dans "Key2" dans la liste "Key3" (cela se produit en traversant la chaîne "Step3") Enfin, la ligne suivante laisse passer les paquets à destination du port 22 dont l'adresse source est dans la liste "Key3" depuis moins de 5 secondes : iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 5 --name Key3 -j ACCEPT Un script de test complet pour un serveur pourrait être : #On fait le ménage iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X #On est pas causant par défaut iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #On accepte de parler et d'entendre les réponses à nos questions iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state NEW,ESTABLISHED -j ACCEPT #On met en place un port Knocking afin d'ouvrir le port ssh 5 secondes iptables -N Step2 iptables -A Step2 -m recent --name Key1 --remove iptables -A Step2 -m recent --name Key2 --set iptables -N Step3 iptables -A Step3 -m recent --name Key2 --remove iptables -A Step3 -m recent --name Key3 --set iptables -A INPUT -p tcp --dport 103 -m recent --set --name Key1 iptables -A INPUT -p tcp --dport 202 -m recent --rcheck --name Key1 -j Step2 iptables -A INPUT -p tcp --dport 301 -m recent --rcheck --name Key2 -j Step3 iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 5 --name Key3 -j ACCEPT Bon maintenant qu'on a la partie serveur, voyons la partie client : Il faut faire toc toc sur les ports 103 puis 202 puis 301, certains conseillent d'utiliser telnet avec des commandes du style : $> alias toc='telnet ip_address' $> toc 103 ; toc 202 ; toc 301 ; ssh ip_address puis Ctrl-C 3 fois pour killer les telnets et retomber sur la commande ssh il m'a semblé que telnet introduisait trop de latence et que globalement ca marchait pas. Je préfère utiliser un petit script "knock" du style : nmap -PA103,202,301 -r -M1 $1 ssh $1 Explications : pour être certain que nmap contacte les ports dans l'ordre indiqué on ajoute "-r" et on fixe le maximum de sockets à 1 avec "-M1" pour être bien certain qu'il fera chaque toc l'un après l'autre. Finalement sous GNU/Linux on contacte notre serveur ssh avec la commande : #./knock ip_address et sous Windows ca marche aussi didon : il nous faut nmap pour win32 : http://www.insecure.org/nmap/download.html et winpcap : http://www.winpcap.org/install/default.htm on met putty dans le dossier d'nmap ... plus l'équivalent de notre petit script : ----knock.bat---- set IP=%1 if %1.==. set /p IP=Adresse IP ? nmap -p103,202,301 -r --host_timeout 2000 %IP% putty %IP% ----------------- Et voilà Youpi notre port ssh est joignable 5 secondes après 3 tocs secrets et fermé le reste du temps, quel bonheur cet iptables ;)