[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

tcpwrapper

Bonjour, 

J'espère être a propos sur cette liste !

Je met en place des tcpwrappers sur mon serveur perso et j'aimerais connaitre 
vos avis éclairés sur les conf hosts.allow et hosts.deny suivant.

-----------------------------------------------------------------------------------------------
On sait que :
le réseau est d'adresse 192.168.0.0 et le serveur 192.168.0.2
le routeur est sur l'IP 192.168.0.1

le serveur à les ports et les services suivants actif sur le réseau local:
22/tcp    open  ssh
25/tcp    open  smtp
53/tcp    open  domain
80/tcp    open  http
111/tcp   open  rpcbind
113/tcp   open  auth
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
827/tcp   open  unknown
993/tcp   open  imaps
10000/tcp open  snet-sensor-mgmt

depuis l'extérieur (via le routeur, redirection de ports) seul les services 
suivants sont disponibles :
22/tcp    open   ssh
25/tcp    open   smtp
80/tcp    open   http
10000/tcp    open   webmin

-----------------------------------------------------------------------------------------------
Explications :

La seule ligne active de inetd.conf est 
imaps   stream  tcp     nowait  root    /usr/sbin/tcpd  /usr/sbin/imapd

Les utilisateurs passent par un webmail installé sur le serveur lui-meme 
(192.168.0.2 - 127.0.0.1)
pour lire leur mails en 'imaps'.

SMB (139 & 445) n'est pas géré par xinetd !
Serais-ce mieux qu'il le soit ?
Ou vaudrais il mieux qu'il soit filtré dans sa config (allow from dans 
smb.conf) et par un firewall (iptables). ?

SSH n'est pas nom plus géré pas xined !
Si je veux rajouter un déla de connexion a ssh

Je souhaite que seul les utilisateurs du réseau ou du webmail soit authorisés 
à acceder au service 'imaps' de ce serveur.

-----------------------------------------------------------------------------------------------
Soit la configuration suivante :

fichier /etc/hosts.deny
	# on interdit tout et apres on autorise ce qu'on veut
	ALL: ALL
	# fin de fichier


fichier /etc/hosts.allow
	# on autorise tout le réseau local a tout faire
	ALL: LOCAL
	# on autorise le serveur a tout faire
	ALL: localhost
	# on autorise tout le domaine a tout faire
	#ALL: .mondomaine.org
	# on autorise tout le réseau IP 192.168.0.0/24 a tout faire 
	ALL: 192.168.0.
	# on autorise tout le réseau a utiliser imaps
	imaps: 127.0.0.1 192.168.0
	# on envois un mail a root pour les connexion interdites
	ALL : ALL : SPAWN echo "Service %d IP %a Utilisateur %c" | /bin/mail root -s 
"Alerte tcpd" : DENY
	# on interdit tout le reste
	ALL : ALL : DENY
	# fin de fichier

	
Question subsidière bete :
A quel services se rapporte les ports
111/tcp   open  rpcbind
113/tcp   open  auth
?

Merci de votre aide

Philippe AMIOT
Reply to: