Iptables - ouvrir le port SMTP SSL 465

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Iptables - ouvrir le port SMTP SSL 465

yoshi42

Bonjour à tous,

Il y a quelques temps, j'avais récupérer un script pour définir les règles IPTABLES au démarrage de ma passerelle.
Ce script fonctionne bien, mais je dois avouer que j'ai toujours quelques difficultés à chaque fois que je dois le modifier. Je n'ai pas une très bonne maitrise des commandes Iptables
Voici les règles après éxécution du script:

Code :

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpt:ftp
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpts:55536:55663
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain logdeny (0 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level warning prefix "PYX-firewall:"
DROP all -- anywhere anywhere

La sécurité semble bonne avec la politique DROP par défaut pour INPUT et FORWARD.
Si je veux communiquer depuis mon réseau local avec un serveur SMTP distant, je pensais qu'il suffisait d' ouvrir le trafic sortant sur le port 465:

Code :

iptables -A OUTPUT -p tcp -dport 465 -j ACCEPT

Or ma politique par défaut c'est d'accepter tout le trafic sortant. Cette règle est donc inutile.
En revanche faut il ouvrir un port particulier sur le serveur dans le cadre de cette communication SMTP SSL?

Merci pour votre aide

Message cité 1 fois

Publicité

o'gure

Modérateur
Multi grognon de B_L

yoshi42 a écrit :

Bonjour à tous,

Il y a quelques temps, j'avais récupérer un script pour définir les règles IPTABLES au démarrage de ma passerelle.
Ce script fonctionne bien, mais je dois avouer que j'ai toujours quelques difficultés à chaque fois que je dois le modifier. Je n'ai pas une très bonne maitrise des commandes Iptables
Voici les règles après éxécution du script:

Code :

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpt:ftp
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpts:55536:55663
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain logdeny (0 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level warning prefix "PYX-firewall:"
DROP all -- anywhere anywhere

La sécurité semble bonne avec la politique DROP par défaut pour INPUT et FORWARD.

Heu... ta policy pour FORWARD est à DROP mais la dernière règle est un accept all peu importe l'origine/destination/port d'entrée/sortie...
Utilise la commande iptables -L -v -n pour voir la quantité de traffic ayant matché chaque règle et la policy par défaut. Tu verras normalement 0 pour ta policy à DROP pour le forward.

yoshi42 a écrit :

Si je veux communiquer depuis mon réseau local avec un serveur SMTP distant, je pensais qu'il suffisait d' ouvrir le trafic sortant sur le port 465:

Code :

iptables -A OUTPUT -p tcp -dport 465 -j ACCEPT

Non. INPUT et OUTPUT concerne uniquement le traffic qui est à destination de ta passerelle (INPUT) et généré par ta passerelle (OUTPUT).
Pour ce qui vient du réseau au local vers Internet, c'est sur la chaine FORWARD qu'il faut taper.

yoshi42 a écrit :

Dans ton cas non. tout est ouvert en forward/transit par ta passerelle.
Après décrit mieux ton architecture réseau, box, routeur, où est fait le NAT, etc...

Message édité par o'gure le 16-01-2014 à 08:11:53

---------------
Relax. Take a deep breath !

yoshi42

Bonjour o'gure

Merci pour ta réponse.
Je joins le script que j'utilise pour définir les règles au démarrage
J'avais commenté le fichier pour que ce soit plus clair.

Code :

PYXrouteur=192.168.0.1 #Adresse locale de la passerelle
PYXrouteur_ext=XX.XXX.XX.XXX #Adresse externe de la passerelle (IP fixe)
PYXNETWORK=192.168.0.0/24
FIREWALL=$PYXrouteur
WEB=$PYXrouteur #mettre "" si aucun serveur web
FTP=192.168.0.2
INTERNE="bridge_local" #interface ves le reseau a proteger
EXTERNE="eth_adsl" #interface vers internet (ADSL)
IPTABLES=/sbin/iptables
mode=$1
case "$mode" in
'start')
echo "******* PYXNETWORK FIREWALL ********"
#On efface toutes les regles existantes
for table in filter nat mangle raw;
do
$IPTABLES -t $table -F
$IPTABLES -t $table -X
done
##Politique par defaut
$IPTABLES -t filter -P INPUT DROP
$IPTABLES -t filter -P FORWARD DROP
$IPTABLES -t filter -P OUTPUT ACCEPT
##On accepte tout ce qui vient du reseau interne
$IPTABLES -t filter -A INPUT -s $PYXNETWORK -i $INTERNE -j ACCEPT
$IPTABLES -t filter -A FORWARD -s $PYXNETWORK -i $INTERNE -j ACCEPT
##On accepte les nouvelles connexions liées aux connexions établies
$IPTABLES -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#On accepte la demande de connexion ssh
$IPTABLES -A INPUT -p tcp --destination-port ssh -j ACCEPT
#Gestion serveur web
if [ -n "$WEB" ]
then
echo ""
echo "Section WEB :"
if [ $FIREWALL != $WEB ] #si le serveur web n'est pas sur la passerelle
then
#On pense a activer le port forwarding de la passerelle vers notre serveur
$IPTABLES -t filter -A FORWARD -d $WEB -p tcp --dport 80 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp -d $PYXrouteur_ext --dport http -j DNAT --to $WEB:80
$IPTABLES -t filter -A FORWARD -d $WEB -p tcp --dport 443 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp -d $PYXROUTEUR_ext --dport https -j DNAT --to $WEB:443
echo " Forwarding WWW sur $WEB: [OK]"
else
#On accepte les requetes HTTP entrantes sur le port 80
$IPTABLES -t filter -A INPUT -p tcp --destination-port www -j ACCEPT
echo " Port WWW ouvert: [OK]"
#On accepte les requetes HTTPS entrantes sur le port 443
$IPTABLES -t filter -A INPUT -p tcp --destination-port https -j ACCEPT
echo " Port HTTPS ouvert : [OK]"
fi
fi
#Gestion serveur FTP
if [ -n "$FTP:" ]
then
echo ""
echo "Section FTP :"
if [ $FIREWALL != $FTP ] #si le serveur FTP n'est pas sur la passerelle
then
#On pense a activer le port forwarding de la passerelle vers notre serveur
$IPTABLES -t filter -A FORWARD -d $FTP -p tcp --dport 21 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp -d $PYXrouteur_ext --dport ftp -j DNAT --to $FTP:21
echo " Forwarding FTP sur $FTP: [OK]"
#Forward des ports pour le mode passif du FTP
$IPTABLES -t filter -A FORWARD -d $FTP -p tcp --dport 55536:55663 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp -d $PYXrouteur_ext --dport 55536:55663 -j DNAT --to $FTP
echo " FTP mode passif activec - Forwarding des ports 55536:55663: [OK]"
else
$IPTABLES -t filter -A INPUT -p tcp --destination-port ftp -j ACCEPT
echo " Port FTP ouvert : [OK]"
$IPTABLES -t filter -A INPUT -p tcp --dport 55536:55663 -j ACCEPT
echo " FTP mode passif active"
fi
fi
#On refuse et on entre dans le journal tout ce qui est entrant et qui n'est pas speifie
$IPTABLES -N logdeny
$IPTABLES -t filter -A logdeny -j LOG --log-prefix "PYX-firewall:"
$IPTABLES -t filter -A logdeny -j DROP
#On active la conversion d'adresse reseau et l'IP forwarding
if [ -n "$INTERNE" ]
then
echo 1 > /proc/sys/net/ipv4/ip_forward
# On accepte les paquets entre internet et le reseau local si:
# - Connexion existante
# - Initatiation d'une nouvelle connexion par un membre du reseau local
$IPTABLES -t filter -A FORWARD -i $EXTERNE -o $INTERNE -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t filter -A FORWARD -i $INTERNE -o $EXTERNE -j ACCEPT
if [ $EXTERNE = eth_adsl ]
then
#On convertit toute adresse IP sortante en l'IP externe du firewall (ici dynamique)
$IPTABLES -t nat -A POSTROUTING -s $PYXNETWORK -o $EXTERNE -j MASQUERADE
else
#On convertit toute adresse IP sortante en l'IP externe du firewall (ici fixe)
$IPTABLES -t nat -A POSTROUTING -s $PYXNETWORK -o $EXTERNE -j SNAT --to $FIREWALL
fi
fi
echo ""
echo "Firewall initialise [OK]"
;;
'stop')
#echo 0 > /proc/sys/net/ipv4/ip_forward
for table in filter nat mangle raw; do
$IPTABLES -t $table -F
$IPTABLES -t $table -X
done
$IPTABLES -t filter -P INPUT ACCEPT
$IPTABLES -t filter -P FORWARD ACCEPT
$IPTABLES -t filter -P OUTPUT ACCEPT
echo ""
echo "Attention : Firewall desactive!"
;;
*)
echo "usage $0 start|stop"
;;
esac

Voici le résultat de la commande iptables -L -v -n

Code :

Chain INPUT (policy DROP 1144 packets, 65532 bytes)
pkts bytes target prot opt in out source destination
7525 1107K ACCEPT all -- bridge_local * 192.168.0.0/24 0.0.0.0/0
5202 2877K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
80 4620 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
59 3336 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
Chain FORWARD (policy DROP 53 packets, 17470 bytes)
pkts bytes target prot opt in out source destination
867K 86M ACCEPT all -- bridge_local * 192.168.0.0/24 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.2 tcp dpt:21
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.2 tcp dpts:55536:55663
1186K 1583M ACCEPT all -- eth_adsl bridge_local 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- bridge_local eth_adsl 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 7582 packets, 1007K bytes)
pkts bytes target prot opt in out source destination
Chain logdeny (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix "PYX-firewall:"
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Citation :

ta policy pour FORWARD est à DROP mais la dernière règle est un accept all peu importe l'origine/destination/port d'entrée/sortie

C'est vrai que la dernière règle de FORWARD est en opposition avec la politique par défaut.... Mais je ne pige pas d'où vient cette règle.
Si tu jettes un oeil au script, je ne vois pas la commande à l'origine de cette règle.

Pour ce qui concerne la connexion au serveur SMTP SSL (à travers le port 465).:
Il me faut juste accepter de faire transiter les paquets arrivants sur le port 465 de la passerelle et provenant du réseau local, c'est bien ça?
Avec la commande que tu m'as donné, on voit bien que dans mon cas le forward du réseau local vers l'extérieur ne se fait pas

Code :

0 0 ACCEPT all -- bridge_local eth_adsl 0.0.0.0/0 0.0.0.0/0

Merci pour ton aide

o'gure

Modérateur
Multi grognon de B_L

Pas eu le temps de tout lire ton scrip mais, juste une question : tu as bien vérifié que ton script active le routage (ip_forward) ?

Message cité 1 fois
Message édité par o'gure le 16-01-2014 à 15:39:02

---------------
Relax. Take a deep breath !

yoshi42

o'gure a écrit :

Pas eu le temps de tout lire ton scrip mais, juste une question : tu as bien vérifié que ton script active le routage (ip_forward) ?

Affirmatif

Code :

#On active la conversion d'adresse reseau et l'IP forwarding
if [ -n "$INTERNE" ]
then
echo 1 > /proc/sys/net/ipv4/ip_forward

la commande : cat /proc/sys/net/ipv4/ip_forward affiche bien "1"

Message édité par yoshi42 le 16-01-2014 à 16:24:53

FORUM HardWare.fr

Linux et OS Alternatifs

réseaux et sécurité

Iptables - ouvrir le port SMTP SSL 465

Sujets relatifs
iptables (fonctionne sur port 26457 mais pas sur 80)	IPTABLES pour ICMP
Gestion port réseau sur Debian	[Résolu] Problème réseau avec iptables, route et virtualbox
Auth failure avec smtp	Redirection sous apache : http vers https + port spécifique
pop et smtp via tunnel ssh/ proxy	redirection basique de port local
Impossible d'ouvrir une session (SAMBA-LDAP)
Plus de sujets relatifs à : Iptables - ouvrir le port SMTP SSL 465

Page générée en 0.124 secondes