Bonsoir,
Sur mon portable ayant une seul carte ethernet et connécté à l'internet
via un modem cable,
j'ai crée des règles netfilter dans mon fichier my_firewall que j'ai
placé dans /etc/init.d
Ce fichier est lancé au boot de la machine automatiquement:
### Je recommence à partir de zéro
$IPTABLES --flush
$IPTABLES --delete-chain
### Je verouille tout en entrée
iptables --policy INPUT DROP
iptables --policy OUTPUT DROP
### Je fais ce que je veux en loop toujours en entrée
$IPTABLES -A INPUT -i lo -j ACCEPT
### ceux qui se sont déjà manifestés passent sans nouveau control
$IPTABLES --append INPUT --match state --state ESTABLISHED --jump ACCEPT
$IPTABLES --append INPUT --match state --state RELATED --jump ACCEPT
Si je lance nmap:
# nmap -sT -PT 85.27.12.70
PORT STATE SERVICE
25/tcp open smtp
Qu'est ce qui fait que le port 25 soit ouvert (depuis l'internet il est
aussi ouvert)
à partir de http://www.dslreports.com/scan/
Merci
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
deny
Bayrouni a écrit :
Bonsoir, Sur mon portable ayant une seul carte ethernet et connécté à l'internet via un modem cable, j'ai crée des règles netfilter dans mon fichier my_firewall que j'ai placé dans /etc/init.d
Ce fichier est lancé au boot de la machine automatiquement:
### Je recommence à partir de zéro $IPTABLES --flush $IPTABLES --delete-chain
### Je verouille tout en entrée iptables --policy INPUT DROP iptables --policy OUTPUT DROP
### Je fais ce que je veux en loop toujours en entrée $IPTABLES -A INPUT -i lo -j ACCEPT
### ceux qui se sont déjà manifestés passent sans nouveau control $IPTABLES --append INPUT --match state --state ESTABLISHED --jump ACCEPT $IPTABLES --append INPUT --match state --state RELATED --jump ACCEPT
Si je lance nmap: # nmap -sT -PT 85.27.12.70
PORT STATE SERVICE 25/tcp open smtp
Qu'est ce qui fait que le port 25 soit ouvert (depuis l'internet il est aussi ouvert) à partir de http://www.dslreports.com/scan/
Merci
salut un service de courrier (postfix ,sendmail) activé au demarrage ? faire un ps -aux pour pouvoir les processus tournant sur la machine ...
a+
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bayrouni a écrit :
Bonsoir,
Sur mon portable ayant une seul carte ethernet et connécté à
l'internet via un modem cable,
j'ai crée des règles netfilter dans mon fichier my_firewall que j'ai
placé dans /etc/init.d
Ce fichier est lancé au boot de la machine automatiquement:
### Je recommence à partir de zéro
$IPTABLES --flush
$IPTABLES --delete-chain
### Je verouille tout en entrée
iptables --policy INPUT DROP
iptables --policy OUTPUT DROP
### Je fais ce que je veux en loop toujours en entrée
$IPTABLES -A INPUT -i lo -j ACCEPT
### ceux qui se sont déjà manifestés passent sans nouveau control
$IPTABLES --append INPUT --match state --state ESTABLISHED --jump ACCEPT
$IPTABLES --append INPUT --match state --state RELATED --jump ACCEPT
Si je lance nmap:
# nmap -sT -PT 85.27.12.70
PORT STATE SERVICE
25/tcp open smtp
Qu'est ce qui fait que le port 25 soit ouvert (depuis l'internet il
est aussi ouvert)
à partir de http://www.dslreports.com/scan/
Merci
salut
un service de courrier (postfix ,sendmail) activé au demarrage ?
faire un ps -aux pour pouvoir les processus tournant sur la machine ...
a+
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Bonsoir, Sur mon portable ayant une seul carte ethernet et connécté à l'internet via un modem cable, j'ai crée des règles netfilter dans mon fichier my_firewall que j'ai placé dans /etc/init.d
Ce fichier est lancé au boot de la machine automatiquement:
### Je recommence à partir de zéro $IPTABLES --flush $IPTABLES --delete-chain
### Je verouille tout en entrée iptables --policy INPUT DROP iptables --policy OUTPUT DROP
### Je fais ce que je veux en loop toujours en entrée $IPTABLES -A INPUT -i lo -j ACCEPT
### ceux qui se sont déjà manifestés passent sans nouveau control $IPTABLES --append INPUT --match state --state ESTABLISHED --jump ACCEPT $IPTABLES --append INPUT --match state --state RELATED --jump ACCEPT
Si je lance nmap: # nmap -sT -PT 85.27.12.70
PORT STATE SERVICE 25/tcp open smtp
Qu'est ce qui fait que le port 25 soit ouvert (depuis l'internet il est aussi ouvert) à partir de http://www.dslreports.com/scan/
Merci
salut un service de courrier (postfix ,sendmail) activé au demarrage ? faire un ps -aux pour pouvoir les processus tournant sur la machine ...
a+
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bayrouni
deny wrote:
salut un service de courrier (postfix ,sendmail) activé au demarrage ? faire un ps -aux pour pouvoir les processus tournant sur la machine ...
a+
Oui, en effet J'ai oublié de signalé que postfix tourne sur mon portable. C e que je ne comprends pas c'est le fait que ce service est visible depuis l'exterieur.
Donc après le verrouillage INPUT et OUTPUT en DROP, j'ai permis des OUTPUT vers l'ext sur le port 80, ainsi que certains autres services vers l'ext, mais tout est resté verouillé de l'ext verts mon portable (iptables --policy INPUT DROP ) Merci pour une idée Bayrouni
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
deny wrote:
salut
un service de courrier (postfix ,sendmail) activé au demarrage ?
faire un ps -aux pour pouvoir les processus tournant sur la machine ...
a+
Oui, en effet
J'ai oublié de signalé que postfix tourne sur mon portable.
C e que je ne comprends pas c'est le fait que ce service est visible
depuis l'exterieur.
Donc après le verrouillage INPUT et OUTPUT en DROP, j'ai permis des
OUTPUT vers l'ext sur le port 80, ainsi que certains autres services
vers l'ext, mais tout est resté verouillé de l'ext verts mon portable
(iptables --policy INPUT DROP )
Merci pour une idée
Bayrouni
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
salut un service de courrier (postfix ,sendmail) activé au demarrage ? faire un ps -aux pour pouvoir les processus tournant sur la machine ...
a+
Oui, en effet J'ai oublié de signalé que postfix tourne sur mon portable. C e que je ne comprends pas c'est le fait que ce service est visible depuis l'exterieur.
Donc après le verrouillage INPUT et OUTPUT en DROP, j'ai permis des OUTPUT vers l'ext sur le port 80, ainsi que certains autres services vers l'ext, mais tout est resté verouillé de l'ext verts mon portable (iptables --policy INPUT DROP ) Merci pour une idée Bayrouni
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal
Salut,
Bayrouni a écrit :
j'ai crée des règles netfilter dans mon fichier my_firewall que j'ai placé dans /etc/init.d
Et tu as bien créé un symlink dans /etc/rcS.d/ et vérifié que les règles sont bien chargées ?
### Je recommence à partir de zéro $IPTABLES --flush $IPTABLES --delete-chain
### Je verouille tout en entrée
Et en sortie aussi visiblement.
iptables --policy INPUT DROP iptables --policy OUTPUT DROP
### Je fais ce que je veux en loop toujours en entrée $IPTABLES -A INPUT -i lo -j ACCEPT
### ceux qui se sont déjà manifestés passent sans nouveau control $IPTABLES --append INPUT --match state --state ESTABLISHED --jump ACCEPT $IPTABLES --append INPUT --match state --state RELATED --jump ACCEPT
Tu peux condenser ces deux règles en une seule avec "--state ESTABLISHED,RELATED".
Mais avec ces seules règles ça ne peut pas marcher : il n'y a aucune règle pour accepter du trafic sortant.
Si je lance nmap: # nmap -sT -PT 85.27.12.70
PORT STATE SERVICE 25/tcp open smtp
Qu'est ce qui fait que le port 25 soit ouvert
Depuis la machine elle-même, en supposant qu'une règle accepte le trafic sortant : c'est la règle que tu as écrite pour accepter tout ce qui entre par l'interface de loopback. Tout ce qui est envoyé par une machine à n'importe laquelle de ses propres adresses (et pas seulement 127.0.0./8) passe par cette interface.
(depuis l'internet il est aussi ouvert) à partir de http://www.dslreports.com/scan/
Ça c'est plus mystérieux. Mais tu ne nous dis pas tout, il y a forcément d'autres règles. Vide-nous un iptables-save, ça ira plus vite.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
Bayrouni a écrit :
j'ai crée des règles netfilter dans mon fichier my_firewall que j'ai
placé dans /etc/init.d
Et tu as bien créé un symlink dans /etc/rcS.d/ et vérifié que les règles
sont bien chargées ?
### Je recommence à partir de zéro
$IPTABLES --flush
$IPTABLES --delete-chain
### Je verouille tout en entrée
Et en sortie aussi visiblement.
iptables --policy INPUT DROP
iptables --policy OUTPUT DROP
### Je fais ce que je veux en loop toujours en entrée
$IPTABLES -A INPUT -i lo -j ACCEPT
### ceux qui se sont déjà manifestés passent sans nouveau control
$IPTABLES --append INPUT --match state --state ESTABLISHED --jump ACCEPT
$IPTABLES --append INPUT --match state --state RELATED --jump ACCEPT
Tu peux condenser ces deux règles en une seule avec "--state
ESTABLISHED,RELATED".
Mais avec ces seules règles ça ne peut pas marcher : il n'y a aucune
règle pour accepter du trafic sortant.
Si je lance nmap:
# nmap -sT -PT 85.27.12.70
PORT STATE SERVICE
25/tcp open smtp
Qu'est ce qui fait que le port 25 soit ouvert
Depuis la machine elle-même, en supposant qu'une règle accepte le trafic
sortant : c'est la règle que tu as écrite pour accepter tout ce qui
entre par l'interface de loopback. Tout ce qui est envoyé par une
machine à n'importe laquelle de ses propres adresses (et pas seulement
127.0.0./8) passe par cette interface.
(depuis l'internet il est aussi ouvert)
à partir de http://www.dslreports.com/scan/
Ça c'est plus mystérieux. Mais tu ne nous dis pas tout, il y a forcément
d'autres règles. Vide-nous un iptables-save, ça ira plus vite.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
j'ai crée des règles netfilter dans mon fichier my_firewall que j'ai placé dans /etc/init.d
Et tu as bien créé un symlink dans /etc/rcS.d/ et vérifié que les règles sont bien chargées ?
### Je recommence à partir de zéro $IPTABLES --flush $IPTABLES --delete-chain
### Je verouille tout en entrée
Et en sortie aussi visiblement.
iptables --policy INPUT DROP iptables --policy OUTPUT DROP
### Je fais ce que je veux en loop toujours en entrée $IPTABLES -A INPUT -i lo -j ACCEPT
### ceux qui se sont déjà manifestés passent sans nouveau control $IPTABLES --append INPUT --match state --state ESTABLISHED --jump ACCEPT $IPTABLES --append INPUT --match state --state RELATED --jump ACCEPT
Tu peux condenser ces deux règles en une seule avec "--state ESTABLISHED,RELATED".
Mais avec ces seules règles ça ne peut pas marcher : il n'y a aucune règle pour accepter du trafic sortant.
Si je lance nmap: # nmap -sT -PT 85.27.12.70
PORT STATE SERVICE 25/tcp open smtp
Qu'est ce qui fait que le port 25 soit ouvert
Depuis la machine elle-même, en supposant qu'une règle accepte le trafic sortant : c'est la règle que tu as écrite pour accepter tout ce qui entre par l'interface de loopback. Tout ce qui est envoyé par une machine à n'importe laquelle de ses propres adresses (et pas seulement 127.0.0./8) passe par cette interface.
(depuis l'internet il est aussi ouvert) à partir de http://www.dslreports.com/scan/
Ça c'est plus mystérieux. Mais tu ne nous dis pas tout, il y a forcément d'autres règles. Vide-nous un iptables-save, ça ira plus vite.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bayrouni
Je précise que la règle -A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j
n'est pas du tout necedssaire car le serveur postfix tourbe en local
Merci
# iptables-save # Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005 *filter :INPUT DROP [4:186] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT ############-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT COMMIT # Completed on Thu Nov 24 10:45:52 2005
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Je précise que la règle
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j
n'est pas du tout necedssaire car le serveur postfix tourbe en local
Merci
# iptables-save
# Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005
*filter
:INPUT DROP [4:186]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
############-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state
NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Thu Nov 24 10:45:52 2005
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je précise que la règle -A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j
n'est pas du tout necedssaire car le serveur postfix tourbe en local
Merci
# iptables-save # Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005 *filter :INPUT DROP [4:186] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT ############-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT COMMIT # Completed on Thu Nov 24 10:45:52 2005
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bayrouni
Bonjour,
Ci-dessys, vous trouverez la sortie de iptabels-save. Dans un premier temps, je voudrais juste permettre l'accès au serveur web et le aussi au serveur pop de mon FAI. Mais avec ces règles je ne peux pas envoyer des mail vil le SMTP qui est installé sur cette meme machine, ni en recdevoir, ni meme se connecter à un site web securisé ou non.
Merci d'avance pour une piste. J'ajjouterai des règles à fur et à mesur que je puisse progresser.
voici la sortie de iptables-save: (comme l'indique cette sortie, le firewall tourne bel et bien dès le boot car ajouté avec la commandde update-rc my_firewll defaults)
# iptables-save # Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005 *filter :INPUT DROP [4:186] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT COMMIT # Completed on Thu Nov 24 10:45:52 2005
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonjour,
Ci-dessys, vous trouverez la sortie de iptabels-save.
Dans un premier temps, je voudrais juste permettre l'accès au serveur
web et le aussi au serveur pop de mon FAI.
Mais avec ces règles je ne peux pas envoyer des mail vil le SMTP qui est
installé sur cette meme machine, ni en recdevoir, ni meme se connecter à
un site web securisé ou non.
Merci d'avance pour une piste.
J'ajjouterai des règles à fur et à mesur que je puisse progresser.
voici la sortie de iptables-save: (comme l'indique cette sortie, le
firewall tourne bel et bien dès le boot car ajouté avec la commandde
update-rc my_firewll defaults)
# iptables-save
# Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005
*filter
:INPUT DROP [4:186]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Thu Nov 24 10:45:52 2005
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Ci-dessys, vous trouverez la sortie de iptabels-save. Dans un premier temps, je voudrais juste permettre l'accès au serveur web et le aussi au serveur pop de mon FAI. Mais avec ces règles je ne peux pas envoyer des mail vil le SMTP qui est installé sur cette meme machine, ni en recdevoir, ni meme se connecter à un site web securisé ou non.
Merci d'avance pour une piste. J'ajjouterai des règles à fur et à mesur que je puisse progresser.
voici la sortie de iptables-save: (comme l'indique cette sortie, le firewall tourne bel et bien dès le boot car ajouté avec la commandde update-rc my_firewll defaults)
# iptables-save # Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005 *filter :INPUT DROP [4:186] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT COMMIT # Completed on Thu Nov 24 10:45:52 2005
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal
Bayrouni a écrit :
Ci-dessys, vous trouverez la sortie de iptabels-save. Dans un premier temps, je voudrais juste permettre l'accès au serveur web et le aussi au serveur pop de mon FAI.
À tous les serveurs web ou au serveur web de ton FAI seulement, ce qui me semble un peu restrictif ?
Mais avec ces règles je ne peux pas envoyer des mail vil le SMTP qui est installé sur cette meme machine, ni en recdevoir, ni meme se connecter à un site web securisé ou non.
Il n'y a pas de règle pour autoriser les requêtes DNS (TCP et UDP 53) à sortir, ça doit empêcher toute résolution de nom.
# iptables-save # Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005 *filter :INPUT DROP [4:186] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT
Les deux dernières règles autorisent les connexions à n'importe quel serveur SMTP ou POP3 et pas seulement à ceux de ton FAI (il faudrait spécifier l'adresse de destination). Est-ce bien ce que tu souhaites ?
En tout cas, je ne vois rien dans la chaîne INPUT qui puisse expliquer qu'un port quelconque soit vu ouvert de l'extérieur. Par contre que tout soit ouvert en local est normal.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bayrouni a écrit :
Ci-dessys, vous trouverez la sortie de iptabels-save.
Dans un premier temps, je voudrais juste permettre l'accès au serveur
web et le aussi au serveur pop de mon FAI.
À tous les serveurs web ou au serveur web de ton FAI seulement, ce qui
me semble un peu restrictif ?
Mais avec ces règles je ne peux pas envoyer des mail vil le SMTP qui est
installé sur cette meme machine, ni en recdevoir, ni meme se connecter à
un site web securisé ou non.
Il n'y a pas de règle pour autoriser les requêtes DNS (TCP et UDP 53) à
sortir, ça doit empêcher toute résolution de nom.
# iptables-save
# Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005
*filter
:INPUT DROP [4:186]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT
Les deux dernières règles autorisent les connexions à n'importe quel
serveur SMTP ou POP3 et pas seulement à ceux de ton FAI (il faudrait
spécifier l'adresse de destination). Est-ce bien ce que tu souhaites ?
En tout cas, je ne vois rien dans la chaîne INPUT qui puisse expliquer
qu'un port quelconque soit vu ouvert de l'extérieur. Par contre que tout
soit ouvert en local est normal.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Ci-dessys, vous trouverez la sortie de iptabels-save. Dans un premier temps, je voudrais juste permettre l'accès au serveur web et le aussi au serveur pop de mon FAI.
À tous les serveurs web ou au serveur web de ton FAI seulement, ce qui me semble un peu restrictif ?
Mais avec ces règles je ne peux pas envoyer des mail vil le SMTP qui est installé sur cette meme machine, ni en recdevoir, ni meme se connecter à un site web securisé ou non.
Il n'y a pas de règle pour autoriser les requêtes DNS (TCP et UDP 53) à sortir, ça doit empêcher toute résolution de nom.
# iptables-save # Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005 *filter :INPUT DROP [4:186] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT
Les deux dernières règles autorisent les connexions à n'importe quel serveur SMTP ou POP3 et pas seulement à ceux de ton FAI (il faudrait spécifier l'adresse de destination). Est-ce bien ce que tu souhaites ?
En tout cas, je ne vois rien dans la chaîne INPUT qui puisse expliquer qu'un port quelconque soit vu ouvert de l'extérieur. Par contre que tout soit ouvert en local est normal.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bayrouni
Bayrouni wrote:
Je précise que la règle -A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j
n'est pas du tout necedssaire car le serveur postfix tourbe en local
Merci
# iptables-save # Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005 *filter :INPUT DROP [4:186] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT ############-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT COMMIT # Completed on Thu Nov 24 10:45:52 2005
Je me réponds à moi-même:
Concernant le problème d'accès vers l'exterieur, la solution etait de permettre aussi des accès vers l'exterieur des requetes dns sur le port 53. Cette règle n'etait pas incluse car ayant un serveur cache dns, j'ai oublié que il a tout meme besoin de lancer des requetes vers les autres DNS quand la correspondance n'est pas encore dans le cache.
Concernant le problème de depart à savoir la visibilité du serveur smtp sur le port 25 en local, j'ai lancer ce testeur http://probe.hackerwatch.org/probe/probe.asp et le port 25 ainsi que les autres sont complètement invisibles.
Je continue alors mon tuning
Merci
voici la nouvelle sortie de iptables-save (celle qui resout les problèmes precedents): # iptables-save # Generated by iptables-save v1.3.3 on Thu Nov 24 11:45:02 2005 *filter :INPUT DROP [8:384] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT -A INPUT -i eth0 -m state --state RELATED -j ACCEPT -A OUTPUT -o eth0 -m state --state RELATED -j ACCEPT -A OUTPUT -o eth0 -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT
les 2 règle que je viens d'ajouter -A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT COMMIT # Completed on Thu Nov 24 11:45:02 2005
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bayrouni wrote:
Je précise que la règle
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j
n'est pas du tout necedssaire car le serveur postfix tourbe en local
Merci
# iptables-save
# Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005
*filter
:INPUT DROP [4:186]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j
ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
############-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state
--state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j
ACCEPT
COMMIT
# Completed on Thu Nov 24 10:45:52 2005
Je me réponds à moi-même:
Concernant le problème d'accès vers l'exterieur, la solution etait de
permettre aussi des accès vers l'exterieur des requetes dns sur le port 53.
Cette règle n'etait pas incluse car ayant un serveur cache dns, j'ai
oublié que il a tout meme besoin de lancer des requetes vers les autres
DNS quand la correspondance n'est pas encore dans le cache.
Concernant le problème de depart à savoir la visibilité du serveur smtp
sur le port 25 en local,
j'ai lancer ce testeur
http://probe.hackerwatch.org/probe/probe.asp
et le port 25 ainsi que les autres sont complètement invisibles.
Je continue alors mon tuning
Merci
voici la nouvelle sortie de iptables-save (celle qui resout les
problèmes precedents):
# iptables-save
# Generated by iptables-save v1.3.3 on Thu Nov 24 11:45:02 2005
*filter
:INPUT DROP [8:384]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED -j ACCEPT
-A OUTPUT -o eth0 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
les 2 règle que je viens d'ajouter
-A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Thu Nov 24 11:45:02 2005
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je précise que la règle -A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j
n'est pas du tout necedssaire car le serveur postfix tourbe en local
Merci
# iptables-save # Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005 *filter :INPUT DROP [4:186] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT ############-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT COMMIT # Completed on Thu Nov 24 10:45:52 2005
Je me réponds à moi-même:
Concernant le problème d'accès vers l'exterieur, la solution etait de permettre aussi des accès vers l'exterieur des requetes dns sur le port 53. Cette règle n'etait pas incluse car ayant un serveur cache dns, j'ai oublié que il a tout meme besoin de lancer des requetes vers les autres DNS quand la correspondance n'est pas encore dans le cache.
Concernant le problème de depart à savoir la visibilité du serveur smtp sur le port 25 en local, j'ai lancer ce testeur http://probe.hackerwatch.org/probe/probe.asp et le port 25 ainsi que les autres sont complètement invisibles.
Je continue alors mon tuning
Merci
voici la nouvelle sortie de iptables-save (celle qui resout les problèmes precedents): # iptables-save # Generated by iptables-save v1.3.3 on Thu Nov 24 11:45:02 2005 *filter :INPUT DROP [8:384] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT -A INPUT -i eth0 -m state --state RELATED -j ACCEPT -A OUTPUT -o eth0 -m state --state RELATED -j ACCEPT -A OUTPUT -o eth0 -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT
les 2 règle que je viens d'ajouter -A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT COMMIT # Completed on Thu Nov 24 11:45:02 2005
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal
Bayrouni a écrit :
Je précise que la règle -A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j
n'est pas du tout necessaire car le serveur postfix tourbe en local
Je veux bien que tu aies un MTA qui tourne en local, mais c'est comme le cache DNS : si le port TCP 25 n'est pas ouvert en sortie, il ne pourra pas contacter les autres MTA pour leur délivrer tes mails.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bayrouni a écrit :
Je précise que la règle
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j
n'est pas du tout necessaire car le serveur postfix tourbe en local
Je veux bien que tu aies un MTA qui tourne en local, mais c'est comme le
cache DNS : si le port TCP 25 n'est pas ouvert en sortie, il ne pourra
pas contacter les autres MTA pour leur délivrer tes mails.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je précise que la règle -A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j
n'est pas du tout necessaire car le serveur postfix tourbe en local
Je veux bien que tu aies un MTA qui tourne en local, mais c'est comme le cache DNS : si le port TCP 25 n'est pas ouvert en sortie, il ne pourra pas contacter les autres MTA pour leur délivrer tes mails.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact