Bien qu'ayant configuré mon fw avec succès il y a 6 mois, je voudrais
paufiner quelques trucs, rajouter de la moquette sur le volant, les trucs
habituels quoi...
Et je me heurte à un problème de compréhension tout simple, mais étant
mois-même très simple, je demande votre aide :
Je cherche à bloquer les entrées pop3 sur mon interface externe.
J'ai donc écris ça :
block in log quick on $ext_if proto {udp,tcp} from any to any port pop3
Mais ça ne bloque rien du tout.
Un petit coup de tcpdump me montre que les trames pop3 continuent de
rentrer depuis l'adresse ip distante (mon fai) sur le port pop3 vers mon
client popeur sur le port {insérez ici un numéro quelconque > 1024}
Je croyais que la syntaxe que j'ai proposé ci-dessus permettait de
bloquer une entrée pareille. Mais apparement, pour le bloquer, il faut le
bloquer sur le port de **DESTINATION** ??? (c'est chiant).
Ca voudrait-il alors donc dire qu'on ne peut pas spécifier de règle qui
concerne le numéro de port de l'emetteur quand il est distant ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Benoit Izac
Bonjour,
le 14/08/2003 à 14:45, Nicolas Ecarnot a écrit dans le message :
(Est-ce le bon NG ?)
Oui.
Salut,
Bien qu'ayant configuré mon fw avec succès il y a 6 mois, je voudrais paufiner quelques trucs, rajouter de la moquette sur le volant, les trucs habituels quoi... Et je me heurte à un problème de compréhension tout simple, mais étant mois-même très simple, je demande votre aide :
Je cherche à bloquer les entrées pop3 sur mon interface externe. J'ai donc écris ça : block in log quick on $ext_if proto {udp,tcp} from any to any port pop3 Mais ça ne bloque rien du tout.
Essaye : block in log quick on $ext_if proto {udp,tcp} from any port pop3 to any
-- Benoit Izac
Bonjour,
le 14/08/2003 à 14:45, Nicolas Ecarnot a écrit
dans le message <Xns93D796303C811nicolasusenetecarnot@213.228.0.136> :
(Est-ce le bon NG ?)
Oui.
Salut,
Bien qu'ayant configuré mon fw avec succès il y a 6 mois, je voudrais
paufiner quelques trucs, rajouter de la moquette sur le volant, les
trucs habituels quoi...
Et je me heurte à un problème de compréhension tout simple, mais étant
mois-même très simple, je demande votre aide :
Je cherche à bloquer les entrées pop3 sur mon interface externe.
J'ai donc écris ça :
block in log quick on $ext_if proto {udp,tcp} from any to any port pop3
Mais ça ne bloque rien du tout.
Essaye :
block in log quick on $ext_if proto {udp,tcp} from any port pop3 to any
le 14/08/2003 à 14:45, Nicolas Ecarnot a écrit dans le message :
(Est-ce le bon NG ?)
Oui.
Salut,
Bien qu'ayant configuré mon fw avec succès il y a 6 mois, je voudrais paufiner quelques trucs, rajouter de la moquette sur le volant, les trucs habituels quoi... Et je me heurte à un problème de compréhension tout simple, mais étant mois-même très simple, je demande votre aide :
Je cherche à bloquer les entrées pop3 sur mon interface externe. J'ai donc écris ça : block in log quick on $ext_if proto {udp,tcp} from any to any port pop3 Mais ça ne bloque rien du tout.
Essaye : block in log quick on $ext_if proto {udp,tcp} from any port pop3 to any
-- Benoit Izac
Nicolas Ecarnot
Laurent Cheylus wrote in news::
Tout d'abord, le protocole POP3 fonctionne uniquement en TCP donc tu peux virer le proto UDP dans cette règle.
Ben ça alors ?
$ uname -a OpenBSD serveur.domaine.com 3.2 GENERIC#25 i386 $ grep pop3 /etc/services pop3 110/tcp # POP version 3 pop3 110/udp [... secured pop ...] $
???
Ensuite, quel est le but de cette règle ? Si tu veux bloquer l'accès POP3 distant depuis ton LAN, ce serait mieux d'interdire cela avec un ensemble de règles du genre :
block in log on $ext_if all (bloque toutes connexions entrantes)
pass out on $ext_if inet proto {udp,tcp} from any to any keep state (permet toutes les connexions sortantes avec suivi de connexions)
Oui oui, c'est déjà en place parmi d'autre règles. J'ai simplifié ma question dans ce thread.
Non, c'est possible avec une règle du type :
block in log on $ext_if from any port = PORT_SOURCE to any
Ok super, c'est pile poil ce que je cherchais.
Merci.
-- Nicolas Ecarnot
Laurent Cheylus <foxy@free.fr> wrote in
news:pan.2003.08.15.18.27.03.796826.5087@free.fr:
Tout d'abord, le protocole POP3 fonctionne uniquement en TCP donc tu
peux virer le proto UDP dans cette règle.
Ben ça alors ?
moi@serveur $ uname -a
OpenBSD serveur.domaine.com 3.2 GENERIC#25 i386
moi@serveur $ grep pop3 /etc/services
pop3 110/tcp # POP version 3
pop3 110/udp
[... secured pop ...]
moi@serveur $
???
Ensuite, quel est le but de cette règle ? Si tu veux bloquer l'accès
POP3 distant depuis ton LAN, ce serait mieux d'interdire cela avec un
ensemble de règles du genre :
block in log on $ext_if all (bloque toutes connexions entrantes)
pass out on $ext_if inet proto {udp,tcp} from any to any keep state
(permet toutes les connexions sortantes avec suivi de connexions)
Oui oui, c'est déjà en place parmi d'autre règles. J'ai simplifié ma
question dans ce thread.
Non, c'est possible avec une règle du type :
block in log on $ext_if from any port = PORT_SOURCE to any
Tout d'abord, le protocole POP3 fonctionne uniquement en TCP donc tu peux virer le proto UDP dans cette règle.
Ben ça alors ?
$ uname -a OpenBSD serveur.domaine.com 3.2 GENERIC#25 i386 $ grep pop3 /etc/services pop3 110/tcp # POP version 3 pop3 110/udp [... secured pop ...] $
???
Ensuite, quel est le but de cette règle ? Si tu veux bloquer l'accès POP3 distant depuis ton LAN, ce serait mieux d'interdire cela avec un ensemble de règles du genre :
block in log on $ext_if all (bloque toutes connexions entrantes)
pass out on $ext_if inet proto {udp,tcp} from any to any keep state (permet toutes les connexions sortantes avec suivi de connexions)
Oui oui, c'est déjà en place parmi d'autre règles. J'ai simplifié ma question dans ce thread.
Non, c'est possible avec une règle du type :
block in log on $ext_if from any port = PORT_SOURCE to any
Ok super, c'est pile poil ce que je cherchais.
Merci.
-- Nicolas Ecarnot
F. Senault
On 18 Aug 2003 07:25:36 GMT, Nicolas Ecarnot wrote:
Laurent Cheylus wrote in news::
Tout d'abord, le protocole POP3 fonctionne uniquement en TCP donc tu peux virer le proto UDP dans cette règle.
Ben ça alors ?
$ uname -a OpenBSD serveur.domaine.com 3.2 GENERIC#25 i386 $ grep pop3 /etc/services pop3 110/tcp # POP version 3 pop3 110/udp [... secured pop ...] $
Les plus anciens protocoles "réservent" TCP et UDP, mais ne se servent en fait que d'un des deux. C'est pareil pour SMTP, WWW et NNTP, par exemple.
Fred -- We're sysadmins. To us, data is a protocol-overhead. (Tanuki in the SDM)
On 18 Aug 2003 07:25:36 GMT, Nicolas Ecarnot wrote:
Laurent Cheylus <foxy@free.fr> wrote in
news:pan.2003.08.15.18.27.03.796826.5087@free.fr:
Tout d'abord, le protocole POP3 fonctionne uniquement en TCP donc tu
peux virer le proto UDP dans cette règle.
Ben ça alors ?
moi@serveur $ uname -a
OpenBSD serveur.domaine.com 3.2 GENERIC#25 i386
moi@serveur $ grep pop3 /etc/services
pop3 110/tcp # POP version 3
pop3 110/udp
[... secured pop ...]
moi@serveur $
Les plus anciens protocoles "réservent" TCP et UDP, mais ne se servent
en fait que d'un des deux. C'est pareil pour SMTP, WWW et NNTP, par
exemple.
Fred
--
We're sysadmins. To us, data is a protocol-overhead.
(Tanuki in the SDM)
