port ouvert malgré mes soins

Bayrouni a écrit :

Bonsoir,
Sur mon portable ayant une seul carte ethernet et connécté à
l'internet via un modem cable,
j'ai crée des règles netfilter dans mon fichier my_firewall que j'ai
placé dans /etc/init.d

Ce fichier est lancé au boot de la machine automatiquement:


### Je recommence à partir de zéro
$IPTABLES --flush
$IPTABLES --delete-chain

### Je verouille tout en entrée
iptables --policy INPUT DROP
iptables --policy OUTPUT DROP

### Je fais ce que je veux en loop toujours en entrée
$IPTABLES -A INPUT -i lo -j ACCEPT


### ceux qui se sont déjà manifestés passent sans nouveau control
$IPTABLES --append INPUT --match state --state ESTABLISHED --jump ACCEPT
$IPTABLES --append INPUT --match state --state RELATED --jump ACCEPT


Si je lance nmap:
# nmap -sT -PT 85.27.12.70

PORT STATE SERVICE
25/tcp open smtp

Qu'est ce qui fait que le port 25 soit ouvert (depuis l'internet il
est aussi ouvert)
à partir de http://www.dslreports.com/scan/

Merci

salut
un service de courrier (postfix ,sendmail) activé au demarrage ?
faire un ps -aux pour pouvoir les processus tournant sur la machine ...

a+


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

deny wrote:

salut
un service de courrier (postfix ,sendmail) activé au demarrage ?
faire un ps -aux pour pouvoir les processus tournant sur la machine ...

a+

Oui, en effet
J'ai oublié de signalé que postfix tourne sur mon portable.
C e que je ne comprends pas c'est le fait que ce service est visible
depuis l'exterieur.

Donc après le verrouillage INPUT et OUTPUT en DROP, j'ai permis des
OUTPUT vers l'ext sur le port 80, ainsi que certains autres services
vers l'ext, mais tout est resté verouillé de l'ext verts mon portable
(iptables --policy INPUT DROP )
Merci pour une idée
Bayrouni


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Salut,

Bayrouni a écrit :

j'ai crée des règles netfilter dans mon fichier my_firewall que j'ai
placé dans /etc/init.d

Et tu as bien créé un symlink dans /etc/rcS.d/ et vérifié que les règles
sont bien chargées ?

### Je recommence à partir de zéro
$IPTABLES --flush
$IPTABLES --delete-chain

### Je verouille tout en entrée

Et en sortie aussi visiblement.

iptables --policy INPUT DROP
iptables --policy OUTPUT DROP

### Je fais ce que je veux en loop toujours en entrée
$IPTABLES -A INPUT -i lo -j ACCEPT

### ceux qui se sont déjà manifestés passent sans nouveau control
$IPTABLES --append INPUT --match state --state ESTABLISHED --jump ACCEPT
$IPTABLES --append INPUT --match state --state RELATED --jump ACCEPT

Tu peux condenser ces deux règles en une seule avec "--state
ESTABLISHED,RELATED".

Mais avec ces seules règles ça ne peut pas marcher : il n'y a aucune
règle pour accepter du trafic sortant.

Si je lance nmap:
# nmap -sT -PT 85.27.12.70

PORT STATE SERVICE
25/tcp open smtp

Qu'est ce qui fait que le port 25 soit ouvert

Depuis la machine elle-même, en supposant qu'une règle accepte le trafic
sortant : c'est la règle que tu as écrite pour accepter tout ce qui
entre par l'interface de loopback. Tout ce qui est envoyé par une
machine à n'importe laquelle de ses propres adresses (et pas seulement
127.0.0./8) passe par cette interface.

(depuis l'internet il est aussi ouvert)
à partir de http://www.dslreports.com/scan/

Ça c'est plus mystérieux. Mais tu ne nous dis pas tout, il y a forcément
d'autres règles. Vide-nous un iptables-save, ça ira plus vite.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Je précise que la règle
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j

n'est pas du tout necedssaire car le serveur postfix tourbe en local

Merci

# iptables-save
# Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005
*filter
:INPUT DROP [4:186]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
############-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state
NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Thu Nov 24 10:45:52 2005



--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonjour,

Ci-dessys, vous trouverez la sortie de iptabels-save.
Dans un premier temps, je voudrais juste permettre l'accès au serveur
web et le aussi au serveur pop de mon FAI.
Mais avec ces règles je ne peux pas envoyer des mail vil le SMTP qui est
installé sur cette meme machine, ni en recdevoir, ni meme se connecter à
un site web securisé ou non.

Merci d'avance pour une piste.
J'ajjouterai des règles à fur et à mesur que je puisse progresser.

voici la sortie de iptables-save: (comme l'indique cette sortie, le
firewall tourne bel et bien dès le boot car ajouté avec la commandde
update-rc my_firewll defaults)




# iptables-save
# Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005
*filter
:INPUT DROP [4:186]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Thu Nov 24 10:45:52 2005


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bayrouni a écrit :

Ci-dessys, vous trouverez la sortie de iptabels-save.
Dans un premier temps, je voudrais juste permettre l'accès au serveur
web et le aussi au serveur pop de mon FAI.

À tous les serveurs web ou au serveur web de ton FAI seulement, ce qui
me semble un peu restrictif ?

Mais avec ces règles je ne peux pas envoyer des mail vil le SMTP qui est
installé sur cette meme machine, ni en recdevoir, ni meme se connecter à
un site web securisé ou non.

Il n'y a pas de règle pour autoriser les requêtes DNS (TCP et UDP 53) à
sortir, ça doit empêcher toute résolution de nom.

# iptables-save
# Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005
*filter
:INPUT DROP [4:186]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT

Les deux dernières règles autorisent les connexions à n'importe quel
serveur SMTP ou POP3 et pas seulement à ceux de ton FAI (il faudrait
spécifier l'adresse de destination). Est-ce bien ce que tu souhaites ?

En tout cas, je ne vois rien dans la chaîne INPUT qui puisse expliquer
qu'un port quelconque soit vu ouvert de l'extérieur. Par contre que tout
soit ouvert en local est normal.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bayrouni wrote:

Je précise que la règle
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j

n'est pas du tout necedssaire car le serveur postfix tourbe en local

Merci

# iptables-save
# Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005
*filter
:INPUT DROP [4:186]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j
ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
############-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state
--state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j
ACCEPT
COMMIT
# Completed on Thu Nov 24 10:45:52 2005

Je me réponds à moi-même:

Concernant le problème d'accès vers l'exterieur, la solution etait de
permettre aussi des accès vers l'exterieur des requetes dns sur le port 53.
Cette règle n'etait pas incluse car ayant un serveur cache dns, j'ai
oublié que il a tout meme besoin de lancer des requetes vers les autres
DNS quand la correspondance n'est pas encore dans le cache.


Concernant le problème de depart à savoir la visibilité du serveur smtp
sur le port 25 en local,
j'ai lancer ce testeur
http://probe.hackerwatch.org/probe/probe.asp
et le port 25 ainsi que les autres sont complètement invisibles.

Je continue alors mon tuning

Merci

voici la nouvelle sortie de iptables-save (celle qui resout les
problèmes precedents):
# iptables-save
# Generated by iptables-save v1.3.3 on Thu Nov 24 11:45:02 2005
*filter
:INPUT DROP [8:384]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED -j ACCEPT
-A OUTPUT -o eth0 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

les 2 règle que je viens d'ajouter
-A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Thu Nov 24 11:45:02 2005


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bayrouni a écrit :

Je précise que la règle
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j

n'est pas du tout necessaire car le serveur postfix tourbe en local

Je veux bien que tu aies un MTA qui tourne en local, mais c'est comme le
cache DNS : si le port TCP 25 n'est pas ouvert en sortie, il ne pourra
pas contacter les autres MTA pour leur délivrer tes mails.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org