Re: port ouvert malgré mes soins

["Pascal@plouf" <pascal.mail@plouf.fr.eu.org>]

Salut,

Bayrouni a écrit :
> j'ai crée des règles netfilter dans  mon fichier my_firewall que j'ai 
> placé dans /etc/init.d

Et tu as bien créé un symlink dans /etc/rcS.d/ et vérifié que les règles 
sont bien chargées ?

> ### Je recommence à partir de zéro
> $IPTABLES --flush
> $IPTABLES --delete-chain
>
> ### Je verouille tout en entrée

Et en sortie aussi visiblement.

> iptables --policy INPUT   DROP
> iptables --policy OUTPUT  DROP
>
> ### Je fais ce que je veux en loop toujours en entrée
> $IPTABLES -A INPUT  -i lo -j ACCEPT
>
> ### ceux qui se sont déjà manifestés passent sans nouveau control
> $IPTABLES --append INPUT --match state --state ESTABLISHED --jump ACCEPT
> $IPTABLES --append INPUT --match state --state RELATED     --jump ACCEPT

Tu peux condenser ces deux règles en une seule avec "--state 
ESTABLISHED,RELATED".

Mais avec ces seules règles ça ne peut pas marcher : il n'y a aucune 
règle pour accepter du trafic sortant.

> Si je lance nmap:
> # nmap -sT -PT 85.27.12.70
>
> PORT   STATE SERVICE
> 25/tcp open  smtp
>
> Qu'est ce qui fait que le port 25 soit ouvert

Depuis la machine elle-même, en supposant qu'une règle accepte le trafic 
sortant : c'est la règle que tu as écrite pour accepter tout ce qui 
entre par l'interface de loopback. Tout ce qui est envoyé par une 
machine à n'importe laquelle de ses propres adresses (et pas seulement 
127.0.0./8) passe par cette interface.

> (depuis l'internet il est aussi ouvert)
> à partir de http://www.dslreports.com/scan/

Ça c'est plus mystérieux. Mais tu ne nous dis pas tout, il y a forcément 
d'autres règles. Vide-nous un iptables-save, ça ira plus vite.