Erreur dans mon firewall

Empêchant l'envoi de mail

Le problème exposé dans ce sujet a été résolu.

Bonsoir,

J'ai besoin de conseils quand à mon firewall.

Je pars du principe que je bloque tout, et je ne laisse que ce dont j'ai besoin. Avant que je l'applique, nmap me retourne :

1
2
3
4
5
6
7
Host is up (0.036s latency).
Not shown: 996 closed ports
PORT    STATE    SERVICE
25/tcp  filtered smtp
22/tcp  open     ssh
139/tcp open     netbios-ssn
445/tcp open     microsoft-ds

Après que je l'applique, nmap me retourne qu'il ne peut pas afficher mes ports ouvert et me conseil les options -Pn, nmap -Pn fonctionne et me retourne :

1
2
3
4
5
Host is up (0.037s latency).
Not shown: 998 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
465/tcp closed smtps

Je ne vois pas le port 25 ouvert (et je pense que c'est pour ça que je ne peux pas envoyer de mail avec nullmailer (bien que j'utilise une adresse gmail en smtps soit le port 465…).

Quelqu'un à une idée de pourquoi ma règle iptables ne fonctionne pas ?

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
#!/bin/sh

# On oublie toute ancienne configuration.
iptables -t filter -F
iptables -t filter -X

# On bloque tout.
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# On ne ferme pas les connexions deja etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# On autorise le loopback
iptables -t filter -A INPUT -i lo -j ACCEPT 
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# Tout est bloque, nous somme sur une base saine

# On autorise le ping
iptables -t filter -A INPUT -p icmp -j ACCEPT 
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# On autorise ssh
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT 

# On autorise les mails
# smtp
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
# smtp ssl
iptables -t filter -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT

+0 -0

C'est beaucoup plus simple que ça…

Mon firewall bloquait tout, même la résolution DNS sur le port 53…

Du coups, impossible de se connecter à smtp.gmail.com puisqu'il ne savait pas à quelle machine ça correspondait…

D'ailleurs, les majs étaient aussi impossible due au blocage du port 80 sortant.

Ceci fait, ça donne le firewall totalement fermé, protégé et opérationnel suivant :

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
#!/bin/sh                                                                                                                                                                                                           
#Made by Kr0stAr for #halyrn

#### Initialisation {{{ ####
# On oublie toute ancienne configuration.
iptables -t filter -F
iptables -t filter -X

# On bloque tout.                                                                                                                                                                                                   
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# On ne ferme pas les connexions deja etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# On autorise le loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
#### Initialisation }}} ####                                                                                                                                                                                        

#### Un peu de securite {{{ ####
# Limiter le SYN FLOOD                                                                                                                                                                                              
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT

# Bloquer le scan de port                                                                                                                                                                                           
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#### Un peu de securite }}} ####                                                                                                                                                                                    

#### Services utilise a ouvrir {{{ ####
# ping I/O                                                                                                                                                                                                          
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# http /O
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT

# ssh I/O
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT

# resolution DNS /O
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT

# ssmtp /O
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT
#### Services utilise a ouvrir }}} ####
+0 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte