Non non, reste en vie: on a toujours un grand besoin de consommateurs pour relancer la croissance 
EDIT: J’avais oublié de visualiser la deuxième page,
du coup, je répondais au post du 19 Déc 2013 23:23
Cela explique d’où vient ce script. Que contient son fichier de données /etc/default/iptables ?
Au final, il faudra ne laisser qu’un seul script actif, sinon ils vont se mélanger et cela ne donnera rien de bon.
#---------------------------------------------------------------------
# This file is part of iRedMail, which is an open source mail server
# solution for Red Hat(R) Enterprise Linux, CentOS, Debian and Ubuntu.
#
# iRedMail is free software: you can redistribute it and/or modify
# it under the terms of the GNU General Public License as published by
# the Free Software Foundation, either version 3 of the License, or
# (at your option) any later version.
#
# iRedMail is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with iRedMail. If not, see <http://www.gnu.org/licenses/>.
#---------------------------------------------------------------------
#
# Sample iptables rules. It should be localted at:
# /etc/sysconfig/iptables
#
# Shipped within iRedMail project:
# * http://iRedMail.googlecode.com/
#
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
# Keep state.
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Loop device.
-A INPUT -i lo -j ACCEPT
# http, https
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
# smtp, submission
-A INPUT -p tcp --dport 25 -j ACCEPT
-A INPUT -p tcp --dport 587 -j ACCEPT
# pop3, pop3s
-A INPUT -p tcp --dport 110 -j ACCEPT
-A INPUT -p tcp --dport 995 -j ACCEPT
# imap, imaps
-A INPUT -p tcp --dport 143 -j ACCEPT
-A INPUT -p tcp --dport 993 -j ACCEPT
# ssh
-A INPUT -p tcp --dport 666 -j ACCEPT
# Allow PING from remote hosts.
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# ejabberd
#-A INPUT -p tcp --dport 5222 -j ACCEPT
#-A INPUT -p tcp --dport 5223 -j ACCEPT
#-A INPUT -p tcp --dport 5280 -j ACCEPT
# ldap/ldaps
#-A INPUT -p tcp --dport 389 -j ACCEPT
#-A INPUT -p tcp --dport 636 -j ACCEPT
# ftp.
#-A INPUT -p tcp --dport 20 -j ACCEPT
#-A INPUT -p tcp --dport 21 -j ACCEPT
COMMITCe fichier correspond exactement au premier jeu de règles extrait par iptables-save à la date [mono]Sun Dec 15 17:06:25 2013[/mono]. Il ne bloque rien en sortie.
Maintenant tu as les cartes en main, il te faut choisir lequel des deux garder (et éventuellement modifier selon tes besoins) et lequel désactiver.
donc je récapitule…
soit je conserve le “default”, soit le “mon-parefeu” ?
je te remercie au passage Pascal pour ton aide préieuse
Non. Je récapitule.
Il y a actuellement trois scripts de démarrage créant des règles iptables.
- [mono]/etc/init.d/mon_parefeu[/mono]
- provient du forum debian-fr
- actuellement non actif au démarrage
- applique les règles du fichier [mono]/etc/config_parefeu[/mono] (que sauf erreur tu n’as pas fourni donc on ne sait pas ce qu’il contient)
- [mono]/etc/init.d/firewall.sh[/mono]
- provient de Nicolargo
- actuellement actif au démarrage
- applique des règles définies directement dans le script
- autorise les ports TCP 22, 666, 8080 et l’ICMP en entrée
- autorise les ports TCP 80, 443, 993, 465, 443, 25, 8080 et UDP 53, et l’ICMP en sortie
- quelques autorisations redondantes pour des adresses sur des ports déjà autorisés
- bloque tout le reste en entrée
- rejette tout le reste en sortie
- [mono]/etc/init.d/iptables[/mono]
- provient d’iRedMail
- actuellement actif au démarrage
- applique les règles du fichier [mono]/etc/default/iptables[/mono]
- autorise les ports TCP 80, 443, 25, 587, 110, 995, 143, 993, 666 et l’ICMP echo (ping) en entrée
- bloque tout le reste en entrée
- autorise tout en sortie
Comme disait le poète, “il ne doit en rester qu’un”. Lequel, c’est ton choix et rien ne t’empêche de modifier ses règles pour les adapter à tes besoins.
La commande [mono]update-rc.d[/mono] offre deux options pour “désactiver” un script de démarrage :
-
[mono]remove[/mono] qui supprime les liens Sxx et Kxx dans /etc/rc*.d/, normalement après que le script a été supprimé. Tu peux soit supprimer/déplacer le script avant, soit le laisser et utiliser l’option [mono]-f[/mono] pour forcer la suppression des liens. Inconvénient : si le script a été installé par un paquet Debian, alors une mise à jour de ce paquet risque de recréer les liens et réactiver le script. A priori cela ne concerne pas les deux premiers qui ont visiblement été installés manuellement.
-
[mono]disable[/mono] qui transforme les liens Sxx en Kxx dans /etc/rc[2345].d/ ce qui fait qu’ils ne seront pas exécutés au démarrage. Normalement la mise à jour d’un paquet ne modifiera pas les liens existants.
Exemples :
- Suppressions forcée des liens vers le script firewall.sh
- Désactivation du script iptables
- Création des liens pour activation du script mon_parefeu si tu décides de l’utiliser
ok tout s’éclaire, merci Pascal
néanmoins j’ai une question (peut-être idiote) : les ports pour mon ssh sont soit le 22 soit le 666 et je ne les vois pas en sortie sur le script firewall.sh qui me semble le plus approprié… est-ce normal ?
voici ce que j’ai fait et ensuite la commande “iptables-save” avec ufw actif :
[code]root@smtp:~# update-rc.d -f firewall remove
update-rc.d: using dependency based boot sequencing
insserv: script mon_parefeu: service iptables already provided!
root@smtp:~# iptables-save
Generated by iptables-save v1.4.14 on Sun Jan 12 15:16:54 2014
*mangle
:PREROUTING ACCEPT [214107]
:INPUT ACCEPT [201121]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [59670]
:POSTROUTING ACCEPT [56426]
COMMIT
Completed on Sun Jan 12 15:16:54 2014
Generated by iptables-save v1.4.14 on Sun Jan 12 15:16:54 2014
*nat
:PREROUTING ACCEPT [116120]
:INPUT ACCEPT [4868:684481]
:OUTPUT ACCEPT [11999:996693]
:POSTROUTING ACCEPT [9505:713423]
COMMIT
Completed on Sun Jan 12 15:16:54 2014
Generated by iptables-save v1.4.14 on Sun Jan 12 15:16:54 2014
*filter
:INPUT DROP [40:19756]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-dovecot - [0:0]
:fail2ban-postfix - [0:0]
:fail2ban-roundcube - [0:0]
:fail2ban-ssh - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -p tcp -m multiport --dports 80,443,25,587,110,995,143,993,4190 -j fail
2ban-postfix
-A INPUT -p tcp -m multiport --dports 80,443,25,587,110,995,143,993,4190 -j fail
2ban-dovecot
-A INPUT -p tcp -m multiport --dports 80,443,25,587,110,995,143,993,4190 -j fail
2ban-roundcube
-A INPUT -p tcp -m tcp --dport 666 -j fail2ban-ssh
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 666 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d 212.211.132.32/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -d 212.211.132.250/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -d 195.20.242.89/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -j LOG
-A OUTPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A fail2ban-dovecot -j RETURN
-A fail2ban-postfix -j RETURN
-A fail2ban-roundcube -j RETURN
-A fail2ban-ssh -j RETURN
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --lo
g-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-
prefix "[UFW BLOCK] “
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m state --state INVALID -j ufw-logging-deny
-A ufw-before-input -m state --state INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix
”[UFW ALLOW] “
-A ufw-logging-deny -m state --state INVALID -m limit --limit 3/min --limit-burs
t 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix
”[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m state --state NEW -j ACCEPT
-A ufw-track-output -p udp -m state --state NEW -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 631 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 631 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 53 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 53 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 993 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 995 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 22 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 137 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 138 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 139 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 445 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 25 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 443 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 182 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 51234 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 110 -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix “[UFW LIMIT BLOCK]
”
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 51234 -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 110 -j ACCEPT
COMMIT
Completed on Sun Jan 12 15:16:54 2014[/code]
et ufw désactivé :
[code]root@smtp:~# iptables-save
Generated by iptables-save v1.4.14 on Sun Jan 12 15:20:35 2014
*mangle
:PREROUTING ACCEPT [214250]
:INPUT ACCEPT [201262]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [59791]
:POSTROUTING ACCEPT [56546]
COMMIT
Completed on Sun Jan 12 15:20:35 2014
Generated by iptables-save v1.4.14 on Sun Jan 12 15:20:35 2014
*nat
:PREROUTING ACCEPT [116126]
:INPUT ACCEPT [4871:684928]
:OUTPUT ACCEPT [12018:998272]
:POSTROUTING ACCEPT [9523:714762]
COMMIT
Completed on Sun Jan 12 15:20:35 2014
Generated by iptables-save v1.4.14 on Sun Jan 12 15:20:35 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-dovecot - [0:0]
:fail2ban-postfix - [0:0]
:fail2ban-roundcube - [0:0]
:fail2ban-ssh - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
-A INPUT -p tcp -m multiport --dports 80,443,25,587,110,995,143,993,4190 -j fail
2ban-postfix
-A INPUT -p tcp -m multiport --dports 80,443,25,587,110,995,143,993,4190 -j fail
2ban-dovecot
-A INPUT -p tcp -m multiport --dports 80,443,25,587,110,995,143,993,4190 -j fail
2ban-roundcube
-A INPUT -p tcp -m tcp --dport 666 -j fail2ban-ssh
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 666 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d 212.211.132.32/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -d 212.211.132.250/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -d 195.20.242.89/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -j LOG
-A OUTPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A fail2ban-dovecot -j RETURN
-A fail2ban-postfix -j RETURN
-A fail2ban-roundcube -j RETURN
-A fail2ban-ssh -j RETURN
COMMIT
Completed on Sun Jan 12 15:20:35 2014[/code]
Ils sont acceptés en entrée, pour qu’une autre machine puisse s’y connecter. Les ports acceptés en sortie, c’est pour que la machine elle-même puisse se connecter à un autre serveur sur ces ports.
Quel est le but de remettre ufw en service ? Tu n’as pas assez de choix ? Si tu veux tu peux utiliser ufw, mais alors il faut désactiver les trois autres.
en fait je voulais te montrer ce que cela faisait…
je le désactive
mon serveur est principakement fait pour que l’on pioche dedans et non pas pour que celui-ci aille ailleurs (hormis le http, ftp et mail… le net quoi)
quelle est alors la meilleur config a adopter ?
il semble que je n’ai que /etc/init.d/iptables qui fonctionne, c’est ok ?
Je n’ai pas étudié l’usine à gaz générée par ufw dans le détail, mais visiblement les ports autorisés ne correspondent pas à ceux des deux autres scripts. C’est modifiable, je ne sais pas comment ne connaissant pas du tout le fonctionnement d’ufw.
Les jeux de règles générés par les scripts firewall.sh et iptables sont plus ou moins équivalent, et il est facile de les modifier pour ajouter ou supprimer des ports autorisés : directement dans le script pour firewall.sh, et dans le fichier de règles /etc/default/iptables pour l’autre.
D’après la sortie d’iptables-save, il y a encore des règles actives provenant de firewall.sh (celles en OUTPUT concernant security.debian.org).
si je laisse comme ça, ça va ou c’est trop/pas assez sécurisé ?
La dernière sortie d’iptables-save (Sun Jan 12 15:20:35 2014) est une passoire en entrée puisque la politique par défaut de la chaîne INPUT est ACCEPT et il n’y a aucune règle DROP ou REJECT. En sortie c’est mieux, il y a un REJECT à la fin.
Qu’as-tu modifié ? Maintenant on dirait une combinaison des autorisations en entrée de /etc/default/iptables et des autorisations en sortie de /etc/init.d/firewall.sh, avec le LOG+REJECT en sortie.
Par contre tu a écrit que que tu voulais autoriser le FTP en sortie mais il n’y a pas de règle autorisant le port 21. Tu auras aussi besoin que le module [mono]nf_conntrack_ftp[/mono] soit chargé.
le sftp pas le ftp désolé je me suis trompé.
je te repose le iptables-save
[code]root@smtp:~# iptables-save
Generated by iptables-save v1.4.14 on Tue Jan 14 18:07:45 2014
*mangle
:PREROUTING ACCEPT [27142706:40259895403]
:INPUT ACCEPT [27122458:40258871195]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [15594075:751801497]
:POSTROUTING ACCEPT [15589854:751259621]
COMMIT
Completed on Tue Jan 14 18:07:45 2014
Generated by iptables-save v1.4.14 on Tue Jan 14 18:07:45 2014
*nat
:PREROUTING ACCEPT [129350]
:INPUT ACCEPT [10835:2045329]
:OUTPUT ACCEPT [16553:1380286]
:POSTROUTING ACCEPT [13082:981852]
COMMIT
Completed on Tue Jan 14 18:07:45 2014
Generated by iptables-save v1.4.14 on Tue Jan 14 18:07:45 2014
*filter
:INPUT ACCEPT [55200]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-dovecot - [0:0]
:fail2ban-postfix - [0:0]
:fail2ban-roundcube - [0:0]
:fail2ban-ssh - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
-A INPUT -p tcp -m multiport --dports 80,443,25,587,110,995,143,993,4190 -j fail
2ban-postfix
-A INPUT -p tcp -m multiport --dports 80,443,25,587,110,995,143,993,4190 -j fail
2ban-dovecot
-A INPUT -p tcp -m multiport --dports 80,443,25,587,110,995,143,993,4190 -j fail
2ban-roundcube
-A INPUT -p tcp -m tcp --dport 666 -j fail2ban-ssh
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 666 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d 212.211.132.32/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -d 212.211.132.250/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -d 195.20.242.89/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -j LOG
-A OUTPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A fail2ban-dovecot -j RETURN
-A fail2ban-postfix -j RETURN
-A fail2ban-roundcube -j RETURN
-A fail2ban-ssh -j RETURN
COMMIT[/code]
Sauf erreur c’est le même que le précédent, donc mêmes commentaires sur l’absence totale de filtrage en INPUT.
ah mince… il y a un tuto pour savoir comment faire ?
Est ce que je peux restorer à l’initial ? (sauf évidemment si c’est un script) et ensuite remettre des regle ou fonctionner simplement avec UFW (via interface) et désactiver ce fichier ?
je suis pardu, je ne sas pas rechercher ce que je veux sur google… (la honte)
Tu peux tout faire. Il faut juste que tu décides ce que tu veux faire. J’ai expliqué les différentes possibilités, mais tu continues à tourner en rond. Décide-toi !
En attendant, je jette l’éponge.