Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2934 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  iptables et outlook

 
 


Dernière réponse
Sujet : iptables et outlook
lolo_067 Hello,  
 
je reviens voir le sujet et je vois que les débats sont animés :)))
 
Bon je vais essayer la dernière suggestion avec la ESTABLISHED,RELATED -d @ip -sport smtp et je vous tiens au courant
 
Merci

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
lolo_067 Hello,  
 
je reviens voir le sujet et je vois que les débats sont animés :)))
 
Bon je vais essayer la dernière suggestion avec la ESTABLISHED,RELATED -d @ip -sport smtp et je vous tiens au courant
 
Merci
tuxbleu

l0ky a écrit :

Ben oui c'est ce que je dit utiliser le statefull de netfilter... [:roane]


 
Dialogue de sourd ?
 
il a dis qui'il avait mis une regle :
 
NEW,ESTABLISHED,RELATED -s @ip -dport smtp
 
moi je lui demande s'il pensé a mettre celle la :
 
ESTABLISHED,RELATED -d @ip -sport smtp
 
Je pratique pas forward sur mon parefeu (il est pas en passerelle mon iptables)
Tous ce que je sais, c'est que pour les regles en INPUT et OUTPUT, ben si on crée pas des règles "symétriques", ben ca marche po.  [:airforceone]

l0ky Ben oui c'est ce que je dit utiliser le statefull de netfilter... [:roane]
tuxbleu

l0ky a écrit :

en fait si tu utilises ta regle -sport smtp -d @ip
tu risques de  permettre à tout le monde de se connecter chez toi. Eux ils se fixent en port source le port 25 (smtp) et tu l'as bien profond...


 
T'es sur que t'abuse pas un peu ?  :pfff:  
Suffit de faire cette regle en RELATED, ESTABLISHED, et de pas mettre NEW  [:airforceone]

l0ky en fait si tu utilises ta regle -sport smtp -d @ip
tu risques de  permettre à tout le monde de se connecter chez toi. Eux ils se fixent en port source le port 25 (smtp) et tu l'as bien profond...
l0ky FORWARD c'est une chaine
filter c'est une table
 
pour faire du statefull il suffit d'utiliser les matches  state ou conntrack avec les états ESTABLISHED et RELATED et NEW dans n'importe quelle chaine de n'importe quelle table.
 
Sans oublier de loader les modules conntrack adequat...a
tuxbleu

l0ky a écrit :

ta technique est dégueulasse, netfilter fait du statefull. autant l'utiliser.


state full pour la table forward alors.
paske pas sur filter.
 
C'était juste un suggestion.  [:airforceone]

l0ky

tuxbleu a écrit :

j'ia parcouru rapidement, alors ptet que c'est deja dis, mais :
 
Tu autorise les connexuion sortantes avec -s @ip et -dport smtp.
t'a pensé aussi a autoriser le retour ?
-sport smtp -d @ip dans une autre regle ? paske sinon, tu pourra te connecter au serveur, mais c'est tout :)


ta technique est dégueulasse, netfilter fait du statefull. autant l'utiliser.
tuxbleu j'ia parcouru rapidement, alors ptet que c'est deja dis, mais :
 
Tu autorise les connexuion sortantes avec -s @ip et -dport smtp.
t'a pensé aussi a autoriser le retour ?
-sport smtp -d @ip dans une autre regle ? paske sinon, tu pourra te connecter au serveur, mais c'est tout :)
lolo_067 bon nouveauté ....
 
J'ai plus de message d'erreur sur le firewall. Mais bon coté client ... J'ai comme msg d'erreur  : erreur socket 11001. Et la j'ai regardé un peu ... c'est le serveur qui n'est pas joignable...
 
Elle est ou mon erreur ? Le fait que je mette que le protocole tcp et pas le udp ?? Mais la messagerie c'est bien en mode connecté non et donc en tcp ?  Je me trompe ?
 
Une solution ??
 
Merci
lolo_067 haaaaaaaaaaa ben si c'est simple ...
C'est clair que ca marche mieux avec un espace...
 
Encore merci pour ces explications et cette aide :)
jaymzwise Mets un espace entre ! et INVALID ;)
lolo_067 j'ai maintenant un bad state : !INVALID
 
jlighty retire le -
"-m state --state"
lolo_067 j'ai essayé mais ca fait pareil ...
jlighty tu as oublié "state"
..... -m state --state .....
lolo_067 hé éh encore moi :))
 
je viens de tester la règle et j'ai un msg d'erreur qui est  :  
 
iptables v1.2.9: Couldn't load match `--state':/lib/iptables/libipt_--state.so: cannot open shared object file: No such file or directory
 
 
Ca veut dire quoi ? et comment le résoudre ?
 
M règle est :  
 
iptables -A FORWARD -p tcp -s 192.168.1.200 --dport smtp -m --state !INVALID -j ACCEPT
 
 
 
Merci
PsYKrO_Fred Surtout n'hesite pas car iptables c'est la galère au début et après c'est du bonheur...
 
Au moins, tu vois la je vais enlever iptables pour avoir un vrai firewall materiel... mais iptables c'est super car j'ai compris comment fonctionner un firewall... et maintenant je suis a l'aise avec n'importe quel firewall ^^
 
n'hesite pas à nous demander...  
 
 
Ah oui un conseil quand tu fais une regle iptables, lit la à voix haute ^-^ ca aide du genre pour cette ligne
 
iptables -A FORWARD -p tcp -s @IP --dport smtp -m -state --state ESTABLISHED -j ACCEPT par exemple  
 
iptables (-t filter >> c'est par default donc pas besoin de le marqué mais si tu fais du nat ou du mangle, tu es obligé de mettre iptables -t nat -A FORWARD .... ou iptables -t mangle -A FORWARD)
 
alors je reprend
 
J'ajoute (-A) à ma config firewall sur la règle FORWARD (Faire suivre) sur le protocole tcp dont l'adresse IP source est @IP en destination du port smtp dont l'état est établie et je l'accepte
 
Il faut tout le temps bien relire c'est regle ^^
lolo_067 ok ok tu as du remarqué que je débutais :)Ton aide m'a été plus que préciseuse et je t'en remercie.
 
Je vais essayer ca
PsYKrO_Fred iptables -A FORWARD -p tcp -s @IP --dport smtp -m -state --state ESTABLISHED -j ACCEPT par exemple
 
les ETATS sont: NEW, ESTABLISHED, RELATED, INVALID (les plus courant)
 
si tu as un une connexion qui doit avoir les 3 premiers ca donne
-m -state --state NEW, ESTABLISHED, RELATED
mais au lieu de taper tout ca  
-m -state --state !INVALID (le "!" ca fait la négation)
 
lolo_067 Comme ca ?
 
iptables -A FORWARD -p tcp -s @IP --dport smtp -j ACCEPT  
iptables -A FORWARD -p tcp -s @IP --dport pop3 -j ACCEPT  
 
Par contre je vois pas sur ESTABLISHED
l0ky non, c'est sur la chaine FORWARD qu'il faut placer ces regles.
restreint également l'interface d'entrée et de sortie
et n'oublie surtout pas la regle ESTABLISHED pour les flux retours.
 
restreint également avec -s @IP
lolo_067 oui je suis tout à fait d'accord avec toi ...
 
Les règles suivantes peuvent correspondre ?
 
iptables -A INPUT -p tcp --dport smtp -j ACCEPT
iptables -A OUTPUT -p tcp --dport pop3 -j ACCEPT  
 
Et pour ne pemettre l'accès à ces services qu'à 1 machines? Si j'ajoute dans les deux règles -s @IP  ca fonctionne ?
 
Merci
l0ky oui mais ca sera beaucoup trop large
match sur l'adresse ip source et les ports en destination (25 pour le smtp et 110 pour le pop3 en sortie)
+ regle established
lolo_067 hello,  
 
Question peut être bête ...
 
j'ai installé un routeur avec des règles iptables. L'OS est mandrake 10.2. Le surf fonctionne sans problème. J'ai un utilisateur qui souhaite consulter son mail sous outlook. Son mail est hébergé chez Wanadoo.
Quelle règle ajouter pour que cette consultation puisse être faite ? Je souhaite que la consultation ne puisse être faite qu'à partir d'un poste dont je connais l'adresse IP. L'option -s @IP est elle suffisante ?
 
Merci

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)