Contenu | Rechercher | Menus

Annonce

Ubuntu 16.04 LTS
Commandez vos DVD et clés USB Ubuntu-fr !

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

#1 Le 19/11/2016, à 13:21

cleart

iptables et icedove [Réglé]

Bonjour,

j'essaye d'installer iptables sur mon raspberry sous mate.

ça fonctionne parfaitement. Tout est accessible sauf icedove.

Plus possible de lire ni d'envoyer de messages. A l'aide smile !!

J'ai traîné sur les forum ...rajouté des lignes mais toujours bloqué.



Je donne mon /etc/init.d/firewall  pour ceux qui y comprenne plus de choses que moi :

#!/bin/sh

### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Démarre les règles iptables
# Description:       Charge la configuration du pare-feu iptables
### END INIT INFO


# Vider les tables actuelles
iptables -t filter -F

# Vider les règles personnelles
iptables -t filter -X

# Interdire toute connexion entrante et sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# ---

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT


# ---

# SSH In
iptables -t filter -A INPUT -p tcp --dport 19715 -j ACCEPT

# SSH Out
iptables -t filter -A OUTPUT -p tcp --dport 19715 -j ACCEPT

# DNS In/Out
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

# NTP Out
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
# HTTP + HTTPS Out
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT

# HTTP + HTTPS In
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT

# Mail SMTP:25
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT

# Mail POP3:110
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT

# Mail IMAP:143
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

# Mail POP3S:995
iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT

# Mail 
iptables -t filter -A OUTPUT -p tcp --dport 993 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT


# VNC
sudo iptables -t filter -A INPUT -p tcp --dport 5900 -j ACCEPT
sudo iptables -t filter -A OUTPUT -p tcp --dport 5900 -j ACCEPT

merci d'avance de cotre éclairage

Thierry


Modération : merci à l'avenir d'utiliser les balises code (explications ici).

Dernière modification par cleart (Le 02/12/2016, à 19:03)

Hors ligne

#2 Le 19/11/2016, à 13:40

cqfd93

Re : iptables et icedove [Réglé]

Bonjour,

Ôte-moi un doute : ton raspberry est bien sous Debian ? Si c'est le cas, un forum Debian (debian-fr, Debian-Facile ou debian-fr.xyz) serait plus indiqué pour cette question.

Hors ligne

#3 Le 19/11/2016, à 17:10

cleart

Re : iptables et icedove [Réglé]

Je suis sous ubuntu depuis des années et j'ai l'habitude de ce forum : ))
j'y ai toujours  trouvé bon accueil et bons conseils.
Après iptables n'existe il pas aussi sous ubuntu ?
je supposais, peut être suis je dans l'erreur que les commandes auraient été les mêmes ... non ???

Hors ligne

#4 Le 19/11/2016, à 17:21

jean-luc5629

Re : iptables et icedove [Réglé]

Salut;
Installes toi iptables-persistent, plutôt que de t'emmerder avec un script au démarrage.

Tu rentres tes règles, et une fois fait :

iptables-save >/etc/iptables/rules.v4
ip6tables-save >/etc/iptables/rules.v6

Et à chaque démarrage elles seront rechargées.

Et si t'en rajoutes ensuite, tu reprends les commandes ci dessus pour les pérenniser.

Pour tout réinitialiser:

netfilter-persistent flush

Enfin, saches qu'iptables est loin d'être une nécessité dans la majorité des cas, car sur DEBIAN, UBUNTU tous les ports inutilisés sont fermés par défaut, et ceux qui sont ouverts, faut bien les laisser ouverts si tu veux disposer de ton service, vérifie plutôt la légitimité de tes ports ouverts, et si t'a un service que tu n'utilises pas, désinstalles le tout simplement !!!

Moi, sur un serveur chez OVH, je n'ai aucune règle de blocages de ports, uniquement quelques règles de blocage d'ip, via ipset.

Changer ton port ssh n'apporte rien en terme de sécurité, banni plutôt la connexion ssh par mot de passe "PasswordAuthentication no" dans ton sshd_config après avoir testé une connexion par clefs.

http://security.stackexchange.com/quest … encryption
http://superuser.com/questions/881063/h … pted-email

Même une clef de 2048, reste inviolable dans un temps raisonnable de moins de 10 ans, et avec des moyens d'attaques disproportionnés, alors si la parano te prend, tu passes en 4096.

Changer le port SSH n'apporte rien à part réduire les logs émanant des robots qui tapent systématiquement sur celui ci.

Dernière modification par jean-luc5629 (Le 19/11/2016, à 17:35)

Hors ligne

#5 Le 02/12/2016, à 19:03

cleart

Re : iptables et icedove [Réglé]

Bon en rajoutant
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT

dans sudo nano /etc/init.d/firewall
ça fonctionne

merci

Hors ligne