Probleme acces serveur par nom d'hote

mlki · Février 21, 2016, 2:22am

Hypothèse : la résolution de nom se faisait peut-être par Netbios (si samba est installé sur le serveur) qui n’est pas autorisé dans le jeu de règles.[/quote]

Merci de ta réponse
En effet j’ai samba.
J’ai ouvert les ports de samba et tenus compte de tes remarques sur icmp.
Samba n’est toujours pas accessible, je vais chercher d’ou sa vient ^^

### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start daemon firewall.
# Description:       Enable service firewall.
### END INIT INFO

#!/bin/sh

# Vider les tables actuelles
iptables -t filter -F

# Vider les regles personnelles
iptables -t filter -X

# Interdire toute connexion entrante et sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# ---

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# ICMP (Ping)
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT


# SSH
iptables -t filter -A INPUT -p tcp --dport 1234 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 1234 -j ACCEPT



# DNS
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

# NTP
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT

#HTTPS
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT


# Mail SMTP:25
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT

#Mail IMAP:993
iptables -t filter -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 993 -j ACCEPT

#SAMBA
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 135 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 135 -j ACCEPT
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A OUTPUT -p udp --sport 137 -j ACCEPT
iptables -A INPUT -p tcp --dport 445 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 445 -j ACCEPT

PascalHambourg · Février 21, 2016, 2:22am

Il y a une erreur de copier-coller sur la règle ICMP (deux fois INPUT).

Concernant samba, il manque le port 138 mais Netbios name service utilise le port 137 (essentiellement UDP, rarement TCP). Par contre je me demande si la règle dans OUTPUT basée sur le port source est suffisante, il faudrait peut-être ajouter une règle avec le port 137 en destination.

mlki · Février 21, 2016, 2:22am

[quote=“PascalHambourg”]Il y a une erreur de copier-coller sur la règle ICMP (deux fois INPUT).

Concernant samba, il manque le port 138 mais Netbios name service utilise le port 137 (essentiellement UDP, rarement TCP). Par contre je me demande si la règle dans OUTPUT basée sur le port source est suffisante, il faudrait peut-être ajouter une règle avec le port 137 en destination.[/quote]

Merci pour tout, ça marche
Voici mon fichier

### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start daemon firewall.
# Description:       Enable service firewall.
### END INIT INFO

#!/bin/sh

# Vider les tables actuelles
iptables -t filter -F

# Vider les regles personnelles
iptables -t filter -X

# Interdire toute connexion entrante et sortante 
iptables -t filter -P INPUT DROP 
iptables -t filter -P FORWARD DROP 
iptables -t filter -P OUTPUT DROP 
 
# --- 
 
# Ne pas casser les connexions etablies 
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
 
# Autoriser loopback 
iptables -t filter -A INPUT -i lo -j ACCEPT 
iptables -t filter -A OUTPUT -o lo -j ACCEPT 
 
# ICMP (Ping) 
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT 
 
 
# SSH  
iptables -t filter -A INPUT -p tcp --dport 1234 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 1234 -j ACCEPT 
 
 
 
# DNS  
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT 
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT 
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT 
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT 
 
# NTP  
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT 

# HTTP  
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT 
 
#HTTPS  
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT  
 

# Mail SMTP:25 
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT 
iptables -t filter -A INPUT -p tcp --dport 465 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT 

#Mail IMAP:993
iptables -t filter -A INPUT -p tcp --dport 993 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 993 -j ACCEPT 

#SAMBA
iptables -A INPUT -p tcp --dport 135 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 135 -j ACCEPT 

iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A OUTPUT -p udp --sport 137 -j ACCEPT 

iptables -A INPUT -p tcp --dport 137 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 137 -j ACCEPT

iptables -A INPUT -p udp --dport 138 -j ACCEPT
iptables -A OUTPUT -p udp --dport 138 -j ACCEPT

iptables -A INPUT -p tcp --dport 138 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 138 -j ACCEPT

iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 139 -j ACCEPT 
 
iptables -A INPUT -p tcp --dport 445 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 445 -j ACCEPT 

#ZARAFA
iptables -A INPUT -p tcp --dport 8080  -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8080  -j ACCEPT
iptables -A INPUT -p tcp --dport 8443  -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8443  -j ACCEPT

PascalHambourg · Février 21, 2016, 2:22am

Ce sont donc les règles autorisant le port 137 en TCP qui ont permis la résolution de nom ? Bah, je n’ai jamais bien compris le fonctionnement de Netbios sur TCP/IP…

mlki · Février 21, 2016, 2:22am

Je te reconfirme çela demain ^^