Re: nmap scan
Le mercredi 08 octobre 2003, JusTiCe8 a écrit...
> >>iptables -A INPUT -i ppp0 -p tcp -s smtp.club-internet.fr --sport 25
> >>--dport 1024: -m state \
> >>--state RELATED,ESTABLISHED -j LOG_ACCEPT
> Tu semble bien connaître la config d'iptables
Euh...
> pourrais tu s'il te plait préciser un peu en quoi la règle donnée est
> éronnée ?
erronée je ne sais pas.
je l'interprète ainsi (avec mes mots à moi):
vérifiant les paquets tcp sur l'interface ppp0 en INPUT qui proviennent
de smtp.club-internet.fr du port 25 (ce serait bien redondant ça je
pense), à destination d'un port non privé sup à 1024, correspondant à
une connexion déjà établie et les envoyer sur la chaine LOG_ACCEPT (qui
doit loger et accepter je suppose)
Mais la demande était sur un scan nmap que j'ai supposé être fait sur la
machine de celui qui a fait la règle. Ce scan a trouvé un port 25 ouvert
sur _cette_ machine.
Il n'y a pas de rapport entre un paquet qui arrive d'un serveur smtp
distant (donc d'un port 25 tcp, en INPUT et vers un port sup à 1024) et
le serveur smtp local.
Si tu veux bloquer toute demande de connexion sur le port 25 de la
machine protégée, tu DROP les paquets SYN à destination de ce port, ou
tu vérifie en INPUT que les demandes _vers_ ce port font partie d'une
connexion déjà établie. Si tu veux empêcher les paquets de sortir tu
DROP les paquets _provenant_ de ce port par exemple.
Si tu ne te sers pas du serveur smtp pour recevoir des messages de
l'extérieur tu peux désactiver le démon smtp. Enfin avec Postfix on peut,
et c'est plus simple.
Mais si tu veux agir sur ton propre port 25 tu dois établir des règles
qui y font référence.
--
Jean-Michel
N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Reply to: