Léa-Linux & amis :   LinuxFR   GCU-Squad   GNU
Conversation precedente ou suivante
Les sections > Les forums de cette section > Les messages de ce forum > Ce thread >
port 25 fermé, alors qu'il est déclaré ouvert

Bonjour à tous,

Je craque, alors je vous demande de l'aide

J'ai configuré exim4 pour envoyer des mails vers l'extérieur, ça ça marche !

Mais que se passe-t-il quand on m'envoie des mails de l'extérieur, ou quand je veux récupérer ceux qui sont sur la mailbox de mon FAI? RIEN !

J'ai Shields-up-é mon adresse publique, et hormis le port 80, qui forwarde en DNAT vers mon serveur web, rien n'est ouvert !? (enfin, si, mais ils ne les voient pas alors que ça fonctionne)

Je vous colle mon script iptables, si vous voulez bien le regarder, et me dire ce que j'ai pu faire de travers, et/ou omettre, pour que les ports 25,110,587 ne soient pas ouvert en réception, malgré les déclarations faites pour qu'ils le soient : 
#!/bin/bash

## Includes
source /home/nbah/divR/addrchorion.sh # où l'on récupére l'IP publique dynamique de la passerelle filtrante

IpT=/sbin/iptables
ipcoquille="192.168.1.76" # machine devant le parefeu, que je déguise parfois en Jack Sparrow

## pas de spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
        for filtre in /proc/sys/net/ipv4/conf/*/rp_filter; do
        echo 1 > $filtre
        done
fi

# Effaçage des règles précédentes
$IpT -F
$IpT -X
$IpT -t nat -F
$IpT -t nat -X

# Règles par défaut (refusent tout)
$IpT -P INPUT DROP
$IpT -P FORWARD DROP
$IpT -P OUTPUT DROP

# Pas de ping en entrée sur l'interface rouge
$IpT -A INPUT -i eth0 -p ICMP -j DROP

# ENTRÉES
# *******
## Interface LOCALE virtuelle (loopback)
$IpT -A INPUT -i lo -j ACCEPT

# Interface VERTE
$IpT -A INPUT -i eth1 -s 192.168.2.0/26 -d 192.168.2.1 -j  ACCEPT

## Interface ROUGE
### SMTP
$IpT -A INPUT -i eth0 -s 0.0.0.0/0 -p tcp --destination-port 25 -j ACCEPT
### Mails depuis tele2
$IpT -A INPUT -i eth0 -s 212.247.156.12 -j ACCEPT

### DNS
$IpT -A INPUT -i eth0 -p udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT

### Connexion vers coquille
$IpT -A INPUT -i eth0 -s $ipcoquille -d $addrchorion -p all -j ACCEPT

## Log
$IpT -A INPUT -i eth0 -p all -j ULOG --ulog-prefix "InPut:"

# Passage de/vers internet
$IpT -A FORWARD -i eth1 -o eth0 -s 192.168.2.0/26 -d 0.0.0.0./0 -j ACCEPT
$IpT -A FORWARD -i eth0 -o eth1 -s 0.0.0.0./0 -d 192.168.2.60 -p tcp --dport 80 -j ACCEPT
$IpT -A FORWARD -i eth0 -o eth1 -s 0.0.0.0./0 -d 192.168.2.0/26 -m state --state RELATED,ESTABLISHED -j ACCEPT

## Log
$IpT -A FORWARD -p all -j ULOG --ulog-prefix "Forward:"


# SORTIES
# *******
## Interface LOCALE virtuelle (loopback)
$IpT -A OUTPUT -o lo -j ACCEPT

## Interface VERTE
$IpT -A OUTPUT -o eth1 -s 192.168.2.1 -d 192.168.2.0/26 -j ACCEPT

## Interface ROUGE
### Mail
$IpT -A OUTPUT -o eth0 -p tcp --dport 587 -j ACCEPT

### DNS
$IpT -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT

### Connexion vers coquille
$IpT -A OUTPUT -o eth0 -d $ipcoquille -s $addrchorion -p all -j ACCEPT

## Log
$IpT -A OUTPUT -o eth0 -p all -j ULOG --ulog-prefix "OutPut:"

# Translation d'Adresses Réseau
# *****************************
$IpT -t nat -A PREROUTING -i eth0 -d $addrchorion -p tcp --dport 80 -j DNAT --to 192.168.2.60:80
$IpT -t nat -A PREROUTING -i eth0 -s $ipcoquille -d $addrchorion -p tcp --dport 21 -j DNAT --to 192.168.2.60:21

# Masquage d'Adresses
$IpT -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/26 -j MASQUERADE
Que dire de plus ?

merci de votre attention, et de l'aide, que, j'espère, vous pourrez m'apporter.

Poste le Tuesday 15 July 2008 17:58:32
Répondre     Citer    
Résolu: port 25 fermé, alors qu'il est déclaré ouvert

Et bien voilà !

Je croyais avoir fait tout ce qu'il était sensé de faire, alors j'ai inconsidérément ouvert le port 25 dans tous les sens :
$IpT -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
$IpT -A INPUT -i eth0 -p tcp --sport 25 -j ACCEPT

$IpT -A OUTPUT -o eth0 -p tcp --dport 25 -j ACCEPT
$IpT -A OUTPUT -o eth0 -p tcp --sport 25 -j ACCEPT
Le port 25 est désormais grand ouvert, mais je ne m'explique pas pourquoi cela ne marchait pas avec la configuration précédente : les paquets constituants les mails arrivent (=> INPUT ?) sur le port 25 (port sur lequel arrivent les paquets => --dport ?) de l'interface "extérieure" (eth0) de ma machine.

Bon, je vais re-re-relire la doc d'iptables, et affiner tout ça, pour ne garder que ce qui est vraiment utile (ça me parait redondant (non, pas comme le fenouil)).

Voilà, encore une boîte à lettre fonctionnelle (1b_cil@crétin.fr) à spammer.
Hmm! c'est à s'pâmer! ^^

Merci Lea d'être là. Rien que le fait d'en parler, parfois...

Poste le Wednesday 16 July 2008 02:34:26
Répondre     Citer    
Résolu: port 25 fermé, alors qu'il est déclaré ouvert

Après quelques tests, je me suis arrêté sur ce réglage : 

$IpT -A  INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
$IpT -A OUTPUT -o eth0 -p tcp --sport 25 -j ACCEPT

Voilà, c'est tout, je crois.

Poste le Wednesday 16 July 2008 08:13:12
Répondre     Citer    

Veuillez vous authentifier auparavant pour commenter.

 

Moi !
General
Ce forum !
port 25 fermé, alors qu'il est déclaré ouvert
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.

Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons