Re: Règle de Firewall
voici, la doc que j'ai réalisé sur ucspi-tcp
1.1 ucspi-tcp-0.88 = Unix Client Server Program Interface Tcp
1.1.1 pré-install
ð post-install : définir le répertoire d'accueil
o modifier le fichier /opt/src/ucspi-tcp/ucspi-tcp -0.88/conf-home et
écrire /opt/ucspi-tcp à la place du répertoire indiqué.
1.1.2 Compiler ucspi-tcp
ð Compiler ucspi-tcp à partir du répertoire où la source est présente
o make
o make setup check
1.1.3 Configuration du port smtp
ð Configuration du port smtp avec ucspi-tcp
o Générer un fichier .cdb
§ Créer le fichier /data/mail/etc/relaying
· Ce fichier va nous permettre de spécifier les adresses qui pourront
se connecter sur le port smtp, voici la syntaxe
· < adresse IP > :allow,RELAYCLIENT=" "
:allow
§ executer /opt/ucspi-tcp/bin/tcprules pour qu'il génère le fichier
/data/mail//etc/relaying.cdb
· /opt/ucspi-tcp/bin/tcprules /data/mail/etc/relaying.cdb
/data/mail/etc/relaying.tmp < /data/mail/etc/relaying
o lancer tcpserver sur le port smtp
§
opt/ucspi-tcp/bin/tcpserver -R -x/data/mail/etc/relaying.cdb -u10002 -g1
0001 0 smtp /var/qmail/bin/qmail-smtpd &
§ avec 10002, l'ID de l'utilisateur qmaild et 10001, l'ID du groupe
nofiles
o vérifier les règles de tcpserver
§ définir la variable d'environnement TCPREMOTEIP avec la commande
export TCPREMOTEHOST=< adresse IP >
§ exécuter la commande /opt/ucspi-tcp/bin/tcprulescheck
§ /opt/ucspi-tcp/bin/tcprulescheck /data/mail/etc/relaying.cdb
o ainsi, les modifications des règles doivent placé dans le fichier
/data/mail/etc/relaying suivie de l'exécution de la commande tcprules
Voilà, le relaying est paramétré. mais il faudra les scripts de demarage et
d'arret de l'ecoute du port smtp.
de plus, il faut désactiver l'ecoute du port smtp dans inetd.conf
je suis à ta disposition, pour toute question,
moi aussi, j'ai galérer avec ucspi-tcp mais avec apres coup on se rend
compte que tous est ecris dans le RTFM ;-)
bonne soirée
----- Original Message -----
From: "Yanick Lefebvre" <info@saturne.infographix.ca>
To: "kamel" <kamel.latrach@libertysurf.fr>
Sent: Wednesday, November 07, 2001 6:48 PM
Subject: Re: Règle de Firewall
Il est déja installer mais je ne sais pas comment faire l'utilisation ainsi
que de configurer le fichier de config. merci de ton aide !
At 18:38 2001-11-07 +0100, you wrote:
>le seul vraie moyen, c'est d'utiliser ucspi
>qui te permet d'eviter les pb de spam
>
>installe-le, dis moi quelles sont les réseaux authoriser et je te fais ton
>fichier de confier et les commandes pour mettre en place l'ecoute du port
>smtp
>
>voila.
>
>PS: quel est ton serveur de mail, moi je travail avec qmail et no
>problemo!!!
>
>----- Original Message -----
>From: "Yanick Lefebvre" <info@saturne.infographix.ca>
>To: <debian-french@lists.debian.org>
>Sent: Wednesday, November 07, 2001 6:03 PM
>Subject: Règle de Firewall
>
>
>Salut a tous,
>
>Je fais parvenir ce message car j'ai un tous petit probleme a regler
>aujourd'hui. Je suis a la recherche d'une regle de Firewall qui me
>permetterais de controler l'acces a notre port (25) SMTP.
>
>Depuis quelques temps, il y a une personne qui se sert de notre smtp
>serveur pour faire du SPAM. Alors avec la regle mise en place, un probleme
>se cause.
>
>Le probleme, est que, nous sommes incapable de sortir et de recevoir du
>courrier electronique. La seule facon que j'ai trouver pour avoir acces a
>nos courrier electronique, c'est d'authoriser certaine classe IP a avoir
>acces au SMTP serveur.
>
>Mais, c'est beaucoup trop long et compliquer de proceder ainsi. Alors
>voici ce que j'aimerais avoir :
>
>Une regle qui me permetterais de donner acces INPUT au port 25 mais de ne
>pas pouvoir s'en servir comme OUTPUT (Outgoing) sauf sur certain classe IP
>authorisé de s'en servir.
>
>Pour votre renseignement je me sert de EXIM comme SMTP . Merci a l'avance.
>
>
>
>--
>To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
>with a subject of "unsubscribe". Trouble? Contact
>listmaster@lists.debian.org
>
>
>
>--
>To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
>with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
>
Reply to: