Re: Shorewall ne bloque pas tous les ports.

[daniel huhardeaux <no-spam@tootai.net>]

Laurent Huet a écrit :

> Bonjour à tous,
>
> Mon soucis est le suivant : j'ai installé shorewall sur une Debian 
> Sarge munie d'une seule interface Ethernet (eth0 configurée en "net" 
> dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en 
> distribution locale uniquement, Apache écoutant sur le port 41210, un 
> serveur ftp et un serveur ssh.
>
> Je pensais que mes règles ne laisseraient passer que le minimum 
> nécessaire mais je dois me tromper.
>
> /etc/shorewall/policy
>
> all        all        DROP
>
> /etc/shorewall/rules
>
> ACCEPT        fw        net        all
> ACCEPT        net        fw        tcp        21,22,41210
>
> Cependant, lorsque je lance un scan avec Nessus, en plus des ports 
> autorisés dans mes règles, les ports 25 110 119 et 143 apparaissent 
> comme ouverts.
>
> Dois-je rajouter manuellement les interdictions pour ces ports ?
> Est-ce dû à une particularité du portage de shorewall sur Debian ?
> Cela correspond-t'il à un impératif de fonctionnement d'une 
> distribution Debian ?
>
> Je sais qu'il existe une liste concernant les firewall sur Debian. Je 
> l'ai parcourue à la recherche d'informations, mais mon Anglais n'est 
> pas suffisamment évolué. C'est pour cette raison que je poste dans la 
> liste française.
>
> Merci de m'aider.

Je suppose que tu exécutes Nessus à partir de la machine que tu veux 
scanner? C'est logique qu'il trouve des ports ouverts, ce sont ceux qui 
le sont en local (telnet localhost 110 par ex.). Lance le test à partir 
d'une machine à l'extèrieur du réseau.

--
Daniel  Huhardeaux       ______ _____ _____ ______ ______ __
enum    +48 32 285 5276 /_   _// _  // _  //_   _// __  // /
iaxtel  +1 700 849 6983  / /  / // // // /  / /  / /_/ // /
sip:101 h323:121  @voip./_/  /____//____/  /_/  /_/ /_//_/.com