Bonjour à tous,
Je craque, alors je vous demande de l'aide
J'ai configuré exim4 pour envoyer des mails vers l'extérieur, ça ça marche !
Mais que se passe-t-il quand on m'envoie des mails de l'extérieur, ou quand je veux récupérer ceux qui sont sur la mailbox de mon FAI? RIEN !
J'ai Shields-up-é mon adresse publique, et hormis le port 80, qui forwarde en DNAT vers mon serveur web, rien n'est ouvert !? (enfin, si, mais ils ne les voient pas alors que ça fonctionne)
Je vous colle mon script iptables, si vous voulez bien le regarder, et me dire ce que j'ai pu faire de travers, et/ou omettre, pour que les ports 25,110,587 ne soient pas ouvert en réception, malgré les déclarations faites pour qu'ils le soient :
#!/bin/bash
## Includes
source /home/nbah/divR/addrchorion.sh # où l'on récupére l'IP publique dynamique de la passerelle filtrante
IpT=/sbin/iptables
ipcoquille="192.168.1.76" # machine devant le parefeu, que je déguise parfois en Jack Sparrow
## pas de spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $filtre
done
fi
# Effaçage des règles précédentes
$IpT -F
$IpT -X
$IpT -t nat -F
$IpT -t nat -X
# Règles par défaut (refusent tout)
$IpT -P INPUT DROP
$IpT -P FORWARD DROP
$IpT -P OUTPUT DROP
# Pas de ping en entrée sur l'interface rouge
$IpT -A INPUT -i eth0 -p ICMP -j DROP
# ENTRÉES
# *******
## Interface LOCALE virtuelle (loopback)
$IpT -A INPUT -i lo -j ACCEPT
# Interface VERTE
$IpT -A INPUT -i eth1 -s 192.168.2.0/26 -d 192.168.2.1 -j ACCEPT
## Interface ROUGE
### SMTP
$IpT -A INPUT -i eth0 -s 0.0.0.0/0 -p tcp --destination-port 25 -j ACCEPT
### Mails depuis tele2
$IpT -A INPUT -i eth0 -s 212.247.156.12 -j ACCEPT
### DNS
$IpT -A INPUT -i eth0 -p udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
### Connexion vers coquille
$IpT -A INPUT -i eth0 -s $ipcoquille -d $addrchorion -p all -j ACCEPT
## Log
$IpT -A INPUT -i eth0 -p all -j ULOG --ulog-prefix "InPut:"
# Passage de/vers internet
$IpT -A FORWARD -i eth1 -o eth0 -s 192.168.2.0/26 -d 0.0.0.0./0 -j ACCEPT
$IpT -A FORWARD -i eth0 -o eth1 -s 0.0.0.0./0 -d 192.168.2.60 -p tcp --dport 80 -j ACCEPT
$IpT -A FORWARD -i eth0 -o eth1 -s 0.0.0.0./0 -d 192.168.2.0/26 -m state --state RELATED,ESTABLISHED -j ACCEPT
## Log
$IpT -A FORWARD -p all -j ULOG --ulog-prefix "Forward:"
# SORTIES
# *******
## Interface LOCALE virtuelle (loopback)
$IpT -A OUTPUT -o lo -j ACCEPT
## Interface VERTE
$IpT -A OUTPUT -o eth1 -s 192.168.2.1 -d 192.168.2.0/26 -j ACCEPT
## Interface ROUGE
### Mail
$IpT -A OUTPUT -o eth0 -p tcp --dport 587 -j ACCEPT
### DNS
$IpT -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
### Connexion vers coquille
$IpT -A OUTPUT -o eth0 -d $ipcoquille -s $addrchorion -p all -j ACCEPT
## Log
$IpT -A OUTPUT -o eth0 -p all -j ULOG --ulog-prefix "OutPut:"
# Translation d'Adresses Réseau
# *****************************
$IpT -t nat -A PREROUTING -i eth0 -d $addrchorion -p tcp --dport 80 -j DNAT --to 192.168.2.60:80
$IpT -t nat -A PREROUTING -i eth0 -s $ipcoquille -d $addrchorion -p tcp --dport 21 -j DNAT --to 192.168.2.60:21
# Masquage d'Adresses
$IpT -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/26 -j MASQUERADE
Que dire de plus ?
merci de votre attention, et de l'aide, que, j'espère, vous pourrez m'apporter.
Poste le Tuesday 15 July 2008 17:58:32