Re: port ouvert malgré mes soins

To: debian-user-french <debian-user-french@lists.debian.org>
Subject: Re: port ouvert malgré mes soins
From: Bayrouni <bayrouni@brutele.be>
Date: Thu, 24 Nov 2005 12:03:00 +0100
Message-id: <[🔎] 43859DE4.4070708@brutele.be>
In-reply-to: <[🔎] 43858E62.7070009@brutele.be>
References: <[🔎] 43835E9E.1040001@brutele.be> <[🔎] 438410E1.9080206@monaco.net> <[🔎] 4384BBAC.6020801@brutele.be> <[🔎] 43858E62.7070009@brutele.be>

Bayrouni wrote:

Je précise que la règle
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j

n'est pas du tout necedssaire car le serveur postfix tourbe en local

Merci

#  iptables-save
# Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005
*filter
:INPUT DROP [4:186]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -jACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT

############-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state--state NEW -j ACCEPT-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -jACCEPT

COMMIT
# Completed on Thu Nov 24 10:45:52 2005

Je me réponds à moi-même:

Concernant le problème d'accès vers l'exterieur, la solution etait depermettre aussi des accès vers l'exterieur des requetes dns sur le port 53.Cette règle n'etait pas incluse car ayant un serveur cache dns, j'aioublié que il a tout meme besoin de lancer des requetes vers les autresDNS quand la correspondance n'est pas encore dans le cache.

Concernant le problème de depart à savoir la visibilité du serveur smtpsur le port 25 en local,

j'ai lancer ce testeur
http://probe.hackerwatch.org/probe/probe.asp
et le port 25 ainsi que les autres sont complètement invisibles.

Je continue alors mon tuning

Merci

voici la nouvelle sortie de iptables-save (celle qui resout lesproblèmes precedents):

# iptables-save
# Generated by iptables-save v1.3.3 on Thu Nov 24 11:45:02 2005
*filter
:INPUT DROP [8:384]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED -j ACCEPT
-A OUTPUT -o eth0 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

les 2 règle que je viens d'ajouter
-A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Thu Nov 24 11:45:02 2005

Reply to:

References:
- port ouvert malgré mes soins
  - From: Bayrouni <bayrouni@brutele.be>
- Re: port ouvert malgré mes soins
  - From: deny <deny@monaco.net>
- Re: port ouvert malgré mes soins
  - From: Bayrouni <bayrouni@brutele.be>
- Re: port ouvert malgré mes soins
  - From: Bayrouni <bayrouni@brutele.be>

Prev by Date: Re: [HS] Noyau ou Modules
Next by Date: Re: [HS] Noyau ou Modules
Previous by thread: Re: port ouvert malgré mes soins
Next by thread: Re: port ouvert malgré mes soins
Index(es):
- Date
- Thread