Connexions sortantes au démarrage de Debian

a marqué ce sujet comme résolu.

Bonjour, en observant l’onglet "Sessions" du panel de ma box, j’ai remarqué qu’il y avait 2-3 connexions sortant de mon ordinateur au démarrage de debian, ces sessions ont pour IP le masque de sous réseau (255.255.255.255) et comme port de destination 1124, 3389 et un autre dont je ne me souviens plus. Je n’ai rien trouvé sur internet et les ports m’intriguent car je ne vois pas trop quel service les utiliserait. À peine une minute après les connexions ne réapparaissent plus et tout semble normal. Je suis sous Debian Jessie avec cinnamon d’installé et les outils recommandés installé à l’installation. Je ne crois pas avoir installé de paquet pouvant communiquer avec ces ports. Je voudrais savoir si tout était normal.

Merci d’avance.

+0 -0

Salut,

L’adresse IP 255.255.255.255 n’est pas le masque de sous-réseau (sinon tu n’aurais pas de place pour adresser une machine :p ), mais l’adresse de broadast globale. C’est d’ailleurs assez étrange qu’elle soit employée car, en général, les paquets avec une telle adresses sont ignorés…

Sinon, le port 3389 correspond au service RDP (Remote Desktop Protocol). Pour le 1124 en revanche, je ne sais pas.

Si tu veux avoir plus de détails sur ces connexions, tu peux ajouter deux règles dans iptables pour en savoir plus.

1
2
iptables -A OUTPUT --dport 3389 -j LOG
iptables -A OUTPUT --dport 1124 -j LOG

Si tu veux les bloquer par la même occasion, tu peux ajouter ces deux règles à la suite.

1
2
iptables -A OUTPUT --dport 3389 -j DROP
iptables -A OUTPUT --dport 1124 -j DROP

Normalement, tu trouveras les logs de iptables dans le fichier /var/log/kern.log. A priori, tu peux charger ces règles au démarrage comme ceci (je suis sous OpenBSD, donc je ne peux pas vérifier, si quelqu’un peut confirmer, ce serait sympa ^^ ).

+0 -0

Merci de ta réponse, j’ai redémarré mon ordinateur pour vérifier les ports, cette fois-ci il s’agissait du 1124 et du 3289, j’ai peut-être mal lu la première fois. J’utilise ufw comme firewall, on peut effectuer les logs aussi via celui-ci ou faut-il passer par iptables ?

Je ne connais pas ufw, mais visiblement, la journalisation est activée par défaut. Tu devrais donc obtenir le même résultat avec ces deux règles.

1
2
ufw deny from any to any port 3389
ufw deny from any to any port 1124

Après, il sera peut-être nécessaire d’améliorer la verbosité des logs histoire de savoir par exemple quel(s) processus est(sont) en cause(s).

+0 -0

J’ai ajouté les règles pour obtenir ceci :

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
Status: active
Logging: on (medium)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
3289                       DENY IN     Anywhere
1124                       DENY IN     Anywhere
3289                       DENY IN     Anywhere (v6)
1124                       DENY IN     Anywhere (v6)

1124                       DENY OUT    Anywhere
3289                       DENY OUT    Anywhere
1124                       DENY OUT    Anywhere (v6)
3289                       DENY OUT    Anywhere (v6)

Par contre rien n’est loggé que ce soit dans /var/log/ufw.log ou /var/log/kern.log, pourtant plus aucune trace des sessions sur le panel de la bbox.

+0 -0

Petite question, aurais-tu une imprimante ou autre périphérique de la marque Epson ? Qui aurait pu installer un driver sur ton PC ?

Pourquoi je demande ça ? Car après quelque recherche sur le port 3289 je suis tombé sur cette page qui montre que le port 3289 serait enregistrer par cette entreprise. Après, n’importe qui (logiciel) peut utiliser ce port, donc ce n’est pas très fiable, mais reste une éventuelle piste.

Non je n’ai pas d’imprimante Epson, je vais continuer à surveiller les logs et le panel de la bbox quelque jour voir si ça revient.

EDIT: En me documentant sur les deux ports ils sont tout les deux utiliser par des entreprises associées à des imprimantes, peut-être un driver ou service liés à ça ?

EDIT2: Le seul truc en rapport avec mon problème: https://www.virtualbox.org/ticket/4103 , J’ai cupsd qui tourne en fond dès le démarrage sinon.

+0 -0

En me documentant sur les deux ports ils sont tout les deux utiliser par des entreprises associées à des imprimantes, peut-être un driver ou service liés à ça ?

J’ai cupsd qui tourne en fond dès le démarrage sinon.

Tu peux sûrement désactiver CUPS au démarrage :

1
2
systemctl stop cupsd.service # éteint cups
systemctl disable cupsd.service # désactive cups au démarrage

Enfin je crois que c’est ça la ligne de commande. Redémarre et teste les ports.

Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte