Parefeu et fonction mail()

Support Debian
#1

Hey,
J’ai une question et un problème :

  • Pour un serveur web, peut-on dire qu’un parefeu est utile ? Je veux dire, une fois la Debian installé avec Apache et un FTP over SSL, ça sert à rien de bloquer des ports non écoutés non ?

  • PB : j’ai configuré mon parefeu avec UFW, mais la fonction mail() de PHP ne parvient pas à m’envoyer un email, alors que lorsque le parefeu est désactivé, tout fonctionnne… J’aimerais garder la config de mon parefeu.

Merci d’avance pour votre aide :slight_smile:

#2

Un pare-feu peut constituer une seconde ligne de défense en cas d’erreur de configuration (activation d’un service non désiré), de compromission modérée (sans escalade de privilège, sinon l’attaquant peut désactiver le pare-feu) pour empêcher un processus compromis d’envoyer ou recevoir des communications sur n’importe quel port, ou pour restreindre les accès (listes noires ou blanches).

L’envoi de mail par SMTP nécessite de pouvoir faire des requêtes DNS (port 53 UDP et TCP) aux adresses indiquées dans /etc/resolv.conf et des connexions SMTP/Submission (port 25 ou 425 TCP) à un relais (smarthost) spécifié dans la configuration de PHP ou du MTA local si PHP l’utilise, ou du MX du domaine destinataire si le MTA local n’utilise pas de smarthost. Ces flux sont-ils autorisés dans ton pare-feu ?

#3

Ah mais oui ! Le 53 !
Je vais rééessayer… What an idiot…

Parefeu :
Ouais, d’accord. Mais en soi, si on sait se servir de sa machine (ne pas faire tourner des services useless), un parefeu est donc pas très utile… C’est verrouiller des ports non-écoutés… C’est juste une sécurité en plus qui peut servir si on pense ne pas avoir le contrôle ?

#4

It works !
J’y avais vraiment pas pensé, au port 53 xD

Merci beaucoup x)

#5

C’est fou comme les gens ont toujours tendance à oublier les protocoles d’infrastructure comme ICMP, DNS, DHCP ou NDP dans leurs règles de filtrage.

Il n’y a pas que l’administrateur ou l’utilisateur qui est faillible. Les développeurs aussi, donc parfois les logiciels ont des failles de sécurité. Quand on est victime d’un 0-day, on est bien content d’avoir mis ceinture et bretelles avec un pare-feu pour limiter les dégâts.

#6

Non non, habituellement je prends toujours soin d’y réfléchir, mais là j’étais plus concentré de façon idiote sur "Mais j’ai activé le 25 et ça fonctionne pas :’( "…

Yep, true