[iptables] thunderbird ne peut faire son boulot (résolu)

kira · Message par **kira** » sam. 27 août 2016, 15:50

Bonjour,

J'ai ceci comme config pour iptables :

Chain INPUT (policy DROP 40 packets, 2556 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2252  201K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:53 ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       192.168.0.0/24       0.0.0.0/0           
 5344 4615K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport sports 80,443,8000 ctstate RELATED,ESTABLISHED
  510 27508 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 8881,6881 ctstate NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 110,995 ctstate NEW,RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 336 packets, 31748 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2274  148K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53 ctstate NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            192.168.0.0/24      
 5465  737K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443,8000 ctstate NEW,RELATED,ESTABLISHED
  510 27108 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
  114  6840 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 8881,6881 ctstate NEW,RELATED,ESTABLISHED
   42  2520 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 110,995 ctstate NEW,RELATED,ESTABLISHED

Mais je n'arrive guère à recevoir ni à envoyer des mails. Je ne comprends pas.

Merci pour votre aide !

Message par **benjarobin** » sam. 27 août 2016, 16:25

Bonjour,
Tu sais que ta configuration, en voulant bien faire, est bien moins sécurisé que tout ouvrir en sortie ?
Pourquoi tu ouvres comme cela en entrée des ports qui ne devraient pas être ouverts ? Tu as un serveur Web et un serveur DNS ?

Voir ce sujet : viewtopic.php?p=135940#p135940

kira · Message par **kira** » sam. 27 août 2016, 20:25

Bonsoir,

Du coup, je me suis inspiré de ton lien. J'ai désormais ceci comme config iptables :

Code : Tout sélectionner

Chain INPUT (policy DROP 2 packets, 64 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    4   200 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  wlp3s0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
  416  101K ACCEPT     all  --  wlp3s0 *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    4   200 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      wlp3s0  0.0.0.0/0            0.0.0.0/0            tcp spt:80
  471 58558 ACCEPT     all  --  *      wlp3s0  0.0.0.0/0            0.0.0.0/0            ! ctstate INVALID

Merci.

Message par **benjarobin** » sam. 27 août 2016, 21:07

Tu as un serveur web que tu veux joindre depuis l'extérieur ? Car si c'est le cas tu as une configuration correcte, sinon tu as des règles en trop

kira · Message par **kira** » dim. 28 août 2016, 15:41

Non, effectivement.

Mais est-ce que là c'est bon ?

Code : Tout sélectionner

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
  527  632K ACCEPT     all  --  wlp3s0 *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
  361 24578 ACCEPT     all  --  *      wlp3s0  0.0.0.0/0            0.0.0.0/0            ! ctstate INVALID

Message par **benjarobin** » dim. 28 août 2016, 16:17

Là c'est bon, tu as un truc basique, sans aucun trou. En effet cela ne fait pas beaucoup de règles, mais c'est efficace.
Après oui tu peux filtrer d'avantage en spécifiant les ports de sortie, mais c'est uniquement pour le cas où tu ne fait pas confiance aux programmes installés. Mais comme je part du principe qu'un programme malicieux arrivera toujours à sortir, soit via le port 80 ou 443 que tu dois ouvrir obligatoirement si tu veux aller sur une page Web.

Arch Linux

Archlinux.fr [Forums]

[iptables] thunderbird ne peut faire son boulot (résolu)

[iptables] thunderbird ne peut faire son boulot (résolu)

Re: [iptables] thunderbird ne peut faire son boulot

Re: [iptables] thunderbird ne peut faire son boulot

Re: [iptables] thunderbird ne peut faire son boulot (résolu)

Re: [iptables] thunderbird ne peut faire son boulot (résolu)

Re: [iptables] thunderbird ne peut faire son boulot (résolu)