J'ai installé un petit serveur mail (Imap et Pop) en mode console, ainsi
que Webmin. Tout marche trés bien et je m'amuse maintenant à sécuriser
le tout avec iptables. Mon réseau est 192.168.11.0 et cela fait 2 jours
que je cherche (mal surement). Je m'inspire de 2 sites pour créer des
règles simples, mais à chaque fois, je me retourve avec un serveur
complètement bloqué.
Voici ce que je tape dans l'ordre :
iptables -F
iptables -X
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
iptables -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -o eth0 -s 192.168.11.0/24 -p tcp --dport 10000 -j
ACCEPT
iptables -A OUTPUT -o eth0 -s 192.168.11.0/24 -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -i eth0 -d 192.168.11.0/24 -p tcp --sport 10000 -j
ACCEPT
iptables -A INPUT -i eth0 -d 192.168.11.0./24 -p tcp --sport 143 -j ACCEPT
iptables -A OUTPUT -o eth0 -s 192.168.11.0/24 -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -o eth0 -s 192.168.11.0/24 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -d 192.168.11.0/24 -p tcp --sport 110 -j ACCEPT
iptables -A INPUT -i eth0 -d 192.168.11.0/24 -p tcp --sport 25 -j ACCEPT
Et je me retrouve bloqué, que ce soit avec Webmin
(https://ipdemonserveur:10000) ou même en essayant avec Thunderbird de
me connecter en Imap ou en Pop.
Je dois certainement me planter qq part, mais si qq pouvait me dire ou.....
pourquoi? d'une part, tu es en output. Donc ce sont tes processus locaux qui passent par la. Pourquoi une source en /24? Ensuite, tu dis vouloir utiliser webmin sur ta machine. MAis la tu autorise les paquets a sortir vers des serveurs distants webmin
Les paquets entrants ayant pour destination ton reseau local et en source port 10000 sont acceptes?
Amha, tu inverses les regles:
iptables -A INPUT -i eth0 -p tcp --dport 10000 -s 192.168.11.0/24 -j ACCEPT va autoriser les paquets a entrer sur ton serveur webmin iptables -A OUTPUT -o eth0 -p tcp --sport 1000 -d 192.168.11.0/24 -j ACCEPT
et la tes paquets vont ressortir pour revenir a celui qui les a demandes.
en plus complique, avec le conntrack, tu peux faire: iptables -A OUTPUT -o eth0 -p tcp --sport 10000 -d 192.168.11.0/24 -m state --state ESTABLISHED -j ACCEPT
Je dois certainement me planter qq part, mais si qq pouvait me dire ou.....
pour thunderbird et l'imap (en imaginant que tu veuilles faire depuis le
linux de l'imap): iptables -A OUTPUT -o eth0 -p tcp --dport 143 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT
pense aussi a autoriser le DNS si tu veux sortir sur internet, un peu d'icmp aussi, etc.. -- <CRLF>.<CRLF>
Le 25-09-2006, Corsica Wanadoo <Corsica@laposte.net> a écrit :
iptables -F
iptables -X
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
iptables -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
pourquoi? d'une part, tu es en output. Donc ce sont tes processus locaux
qui passent par la. Pourquoi une source en /24? Ensuite, tu dis vouloir
utiliser webmin sur ta machine. MAis la tu autorise les paquets
a sortir vers des serveurs distants webmin
Les paquets entrants ayant pour destination ton reseau local et en
source port 10000 sont acceptes?
Amha, tu inverses les regles:
iptables -A INPUT -i eth0 -p tcp --dport 10000 -s 192.168.11.0/24 -j
ACCEPT
va autoriser les paquets a entrer sur ton serveur webmin
iptables -A OUTPUT -o eth0 -p tcp --sport 1000 -d 192.168.11.0/24 -j
ACCEPT
et la tes paquets vont ressortir pour revenir a celui qui les a
demandes.
en plus complique, avec le conntrack, tu peux faire:
iptables -A OUTPUT -o eth0 -p tcp --sport 10000 -d 192.168.11.0/24 -m
state --state ESTABLISHED -j ACCEPT
Je dois certainement me planter qq part, mais si qq pouvait me dire ou.....
pour thunderbird et l'imap (en imaginant que tu veuilles faire depuis le
linux de l'imap):
iptables -A OUTPUT -o eth0 -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 143 -m state --state
ESTABLISHED -j ACCEPT
pense aussi a autoriser le DNS si tu veux sortir sur internet, un peu
d'icmp aussi, etc..
--
<CRLF>.<CRLF>
pourquoi? d'une part, tu es en output. Donc ce sont tes processus locaux qui passent par la. Pourquoi une source en /24? Ensuite, tu dis vouloir utiliser webmin sur ta machine. MAis la tu autorise les paquets a sortir vers des serveurs distants webmin
Les paquets entrants ayant pour destination ton reseau local et en source port 10000 sont acceptes?
Amha, tu inverses les regles:
iptables -A INPUT -i eth0 -p tcp --dport 10000 -s 192.168.11.0/24 -j ACCEPT va autoriser les paquets a entrer sur ton serveur webmin iptables -A OUTPUT -o eth0 -p tcp --sport 1000 -d 192.168.11.0/24 -j ACCEPT
et la tes paquets vont ressortir pour revenir a celui qui les a demandes.
en plus complique, avec le conntrack, tu peux faire: iptables -A OUTPUT -o eth0 -p tcp --sport 10000 -d 192.168.11.0/24 -m state --state ESTABLISHED -j ACCEPT
Je dois certainement me planter qq part, mais si qq pouvait me dire ou.....
pour thunderbird et l'imap (en imaginant que tu veuilles faire depuis le
linux de l'imap): iptables -A OUTPUT -o eth0 -p tcp --dport 143 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT
pense aussi a autoriser le DNS si tu veux sortir sur internet, un peu d'icmp aussi, etc.. -- <CRLF>.<CRLF>
Pascal Hambourg
Salut,
iptables -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT iptables -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
sur le lo, tu peux te restreindre a 127.0.0.0/8
Non, car le trafic généré localement à destination de toutes les adresses locales des interfaces de la machine (et pas seulement 127.0.0.0/8) passe aussi par l'interface de loopback. En toute logique il faudrait donc aussi autoriser toutes ces adresses Et puis, quel est l'intérêt de filtrer les adresses sur cette interface sachant que le trafic est forcément local ?
Pour le reste, je suis d'accord : on se demande ce qui doit sortir et ce qui doit entrer. C'est toujours le même problème de balancer un jeu de règles et de demander ce qui ne va pas sans exprimer clairement le besoin.
Salut,
iptables -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
sur le lo, tu peux te restreindre a 127.0.0.0/8
Non, car le trafic généré localement à destination de toutes les
adresses locales des interfaces de la machine (et pas seulement
127.0.0.0/8) passe aussi par l'interface de loopback. En toute logique
il faudrait donc aussi autoriser toutes ces adresses Et puis, quel est
l'intérêt de filtrer les adresses sur cette interface sachant que le
trafic est forcément local ?
Pour le reste, je suis d'accord : on se demande ce qui doit sortir et ce
qui doit entrer. C'est toujours le même problème de balancer un jeu de
règles et de demander ce qui ne va pas sans exprimer clairement le besoin.
iptables -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT iptables -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
sur le lo, tu peux te restreindre a 127.0.0.0/8
Non, car le trafic généré localement à destination de toutes les adresses locales des interfaces de la machine (et pas seulement 127.0.0.0/8) passe aussi par l'interface de loopback. En toute logique il faudrait donc aussi autoriser toutes ces adresses Et puis, quel est l'intérêt de filtrer les adresses sur cette interface sachant que le trafic est forcément local ?
Pour le reste, je suis d'accord : on se demande ce qui doit sortir et ce qui doit entrer. C'est toujours le même problème de balancer un jeu de règles et de demander ce qui ne va pas sans exprimer clairement le besoin.