Re: portmap/nfs et iptables...

[Franck Joncourt <franck.joncourt@wanadoo.fr>]

On Mon, Mar 19, 2007 at 03:43:36PM +0100, fred wrote:
> fred <fredantispam@free.fr> a écrit :
> 
> > ### redirection vers l'extérieur
> > ${IPT} -A POSTROUTING -t nat -o ${IF_NET} -j SNAT --to ${ADDR_GATEWAY_NET}
> > ${IPT} -A POSTROUTING -t nat -o ${IF_NET} -j MASQUERADE

Les deux regles sont similaires. Mais, on preferera utiliser la cible SNAT
lorsque l'adresse ip de la machine est fixe car cela consomme moins de
ressources.

> >
> > ### règles pour le LAN 
> > ## on accepte les connexions en tant que serveur
> > ${IPT} -A INPUT -p TCP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 111 -j ACCEPT  # rpcbind/portmapper
> > ${IPT} -A INPUT -p UDP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 111 -j ACCEPT  # rpcbind/portmapper
> > ${IPT} -A INPUT -p TCP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 2049 -j ACCEPT # nfs
> > ${IPT} -A INPUT -p UDP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 2049 -j ACCEPT # nfs
> 

En plus de ce que Remi t'a donner comme informations pour fixer les ports
pour le NFS, j'ajouterais ces ports dans le fichier /etc/services pour
pouvoir plus facilement regarder mes regles quand je fais un iptables -L
-v :

->>
# Local services
rpc.statd-bc    32765/tcp                       # RPC statd broadcast
rpc.statd-bc    32765/udp                       # RPC statd broadcast
rpc.statd       32766/tcp                       # RPC statd listen
rpc.statd       32766/udp                       # RPC statd listen
rpc.mountd      32767/tcp                       # RPC mountd
rpc.mountd      32767/udp                       # RPC mountd
rpc.lockd       32768/tcp                       # RPC lockd/nlockmgr
rpc.lockd       32768/udp                       # RPC lockd/nlockmgr
rpc.quotad      32769/tcp                       # RPC quotad
rpc.quotad      32769/udp                       # RPC quotad
<<-

> Je loggue dans ce qui est accepté et réfusé dans les règles ci-dessus.
> 
> Par exemple, si je fais un telnet sur le port 25, celui est normalement refusé.
> 
> Or rien dans les logs (syslog ou dmesg ou messages) ne m'indique que
> cette connexion a été refusée (non plus si une connexion a été accepté).

Hormis le fait que, comme serge la mentionne, aucun traffic n'est
redirigé vers les chaines LOG_ACCEPT et LOG_DROP, je te conseillerais de
ne pas tout logguer si tu ne veux pas en avoir des tonnes en cas
d'attaque 8p!

Tu peux utiliser un IDS pour détecter les intrusions.


-- 
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

Attachment: signature.asc
Description: Digital signature