Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 26/04/2014, à 15:10

zoup

Iptables et Postfix [Résolu]

Bonjour,

J'ai un serveur Postfix qui fonctionne normalement (envois/réception), suite à des soucis d'attaque sur mon serv j'ai rajouté des règles Iptables.
Ces règles bloques le traffic de postfix malgré l'ouverture du port 25.
Sans firewall le smtp marche, avec non, sans la ligne $IPT -A INPUT -i eth0 -p all -j DROP  il fonctionne vu qu'on ne drop pas les paquets arrivés jusque là.
Je me doute que mon erreur viens d'une certaine chronologie des choses.
Merci à vous par avance, voici mes règles ci-dessous (c'est un petit script pour lancer toutes les règles en une fois)

#!/bin/sh
# chkconfig: 3 21 91
# description: Firewall

IPT=/sbin/iptables

case "$1" in
start)
#Je n'ai pas indiqué mon bloc d'exceptions
##########################################DROP
$IPT -A INPUT -i eth0 -p icmp -j DROP
$IPT -N SYN-LIMIT
$IPT -A SYN-LIMIT -m hashlimit --hashlimit 50/second --hashlimit-mode srcip --hashlimit-name SYN-LIMIT -j RETURN
$IPT -A SYN-LIMIT -j DROP
$IPT -A INPUT -i eth0 -p udp -m limit --limit 10/s -j ACCEPT
# FIN FLOOD UDP
#########################################FIN DROP
#########################################SERVEURS DIVERS
#SERV SMTP
$IPT -A INPUT  -i eth0 -p tcp --dport 25 -j ACCEPT
#SERV WEB
$IPT -I INPUT -i eth0 -p tcp --dport 80 --syn -j SYN-LIMIT
$IPT -I INPUT -i eth0 -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT --reject-with tcp-reset
$IPT -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
#SERV DNS
$IPT -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
#########################################FIN SERVEURS DIVERS
$IPT -A INPUT -i eth0 -p all -j DROP
exit 0
;;

stop)
$IPT -F INPUT
$IPT -X INPUT
exit 0
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop}"
exit 1
;;
esac

Dernière modification par zoup (Le 26/04/2014, à 22:50)

Hors ligne

#2 Le 26/04/2014, à 15:43

pires57

Re : Iptables et Postfix [Résolu]

bonjour, j'ai mieux a te proposer pour solutionner ton problème, jette donc un coup d'oeil du coté fail2ban , il permettra de faire ce que tu souhaites en appliquant différent filtre et niveau de jail en fonction de ce que tu lui paramètres.

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#3 Le 26/04/2014, à 16:30

zoup

Re : Iptables et Postfix [Résolu]

Merci, je possède effectivement déjà fail2ban qui gère surtout les petites choses, tels que les erreurs identifications ssh  , postfix  , w00tw00t, les tentatives sur certaines pages de gestion sql etc .. Il applique des bannissements d'ip par iptables etc ...

Néanmoins je pense (je peux me tromper) qu'il est préférable de dégrossir le trafic pour alléger les logs pour que fail2ban soit efficace, c'est pour cela que je voulais déjà restreindre les accès, ne laisser que les ports utiles ouverts ou filtrés.
Il me semblait que pour toute la partie DDos fail2ban avait certaines limites. tongue

Hors ligne

#4 Le 26/04/2014, à 16:52

mytux

Re : Iptables et Postfix [Résolu]

#!/bin/bash

echo "
#!/bin/sh
### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:
# Required-Stop:
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Launch firewall
# Description:       Clean iptables rules then reload iptables
### END INIT INFO
. /lib/lsb/init-functions
case \"\$1\" in
    start)
        log_action_msg \"Starting Basic Firewall\"
        iptables -F
        iptables -Z
        iptables -X
        iptables-restore < /etc/firewall.rules
        ip6tables-restore < /etc/firewall6.rules
        ;;
    restart)
        log_action_msg \"Clean up rules\"
        iptables -F
        iptables -Z
        iptables -X
        log_action_msg \"Starting Basic Firewall\"
        iptables-restore < /etc/firewall.rules
        ip6tables-restore < /etc/firewall6.rules
        ;;
    status)
        iptables -L -n -v
        ;;
    stop)
        iptables -F
        iptables -Z
        iptables -X
	iptables -P INPUT ACCEPT
	iptables -P OUTPUT ACCEPT
	iptables -P FORWARD ACCEPT
        log_action_msg \"Stopping Basic Firewall\"
        ;;
    *)
        echo 'Syntax: /etc/init.d/firewall.sh {start|restart|status|stop}'
        exit 1
        ;;
esac

exit 0

" > /etc/init.d/firewall.sh

echo "
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

# DROP des flags TCP/IP
-A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP
-A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -f -j LOG --log-prefix \"[#1 iptables fragments : ]\"
-A INPUT -f -j DROP

# DROP des connexions non initialisées par notre machine
-A INPUT -m state --state INVALID -j DROP

# Autorisation de la boucle locale
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

# Autorisation des connexions initialisées par notre machine
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autorisation du réseau local
-A INPUT -s 192.168.1.0/24 -j ACCEPT
-A OUTPUT -d 192.168.1.0/24 -j ACCEPT
COMMIT

" > /etc/firewall.rules

echo "
# DROP du trafic IPV6
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT

" > /etc/firewall6.rules

chmod +x /etc/init.d/firewall.sh

/etc/init.d/firewall.sh start
update-rc.d firewall.sh defaults

iptables -L -n -v
ls /etc/rc*.d/ | grep firewall.sh

exit 0

Dernière modification par mytux (Le 10/08/2014, à 11:21)

Hors ligne

#5 Le 26/04/2014, à 17:59

pires57

Re : Iptables et Postfix [Résolu]

Néanmoins je pense (je peux me tromper) qu'il est préférable de dégrossir le trafic pour alléger les logs pour que fail2ban soit efficace, c'est pour cela que je voulais déjà restreindre les accès, ne laisser que les ports utiles ouverts ou filtrés.

pas forcément, tu n'es pas obliger de garder les logs indéfiniment

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#6 Le 26/04/2014, à 18:13

zoup

Re : Iptables et Postfix [Résolu]

Effectivement je n'ai peu être pas assez creusé le sujet de fail2ban pires57. J'aimerais néanmoins comprendre mon erreur pour ne pas le refaire dans une autre utilisation d'iptables big_smile

Hors ligne

#7 Le 26/04/2014, à 19:43

pires57

Re : Iptables et Postfix [Résolu]

le pirate qui va t'attaquer ne vas pas envoyé une requête tout les deux mois, il va le faire a intervalle régulier et c'est la que fail2ban entre en action, quand tu regardes son fonctionnement tu le comprends bien, fail2ban analyse les logs et en fonction des regex prends un décision. par exemple , il va analyser le trafic sur une heure pour une regex donnée, ce qui c'est passé avant il ne s'en occupera pas.

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#8 Le 26/04/2014, à 22:48

zoup

Re : Iptables et Postfix [Résolu]

bon je me répond moi même ^^

il me fallait rajouter au début  

$IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Afin d'autoriser les connexions déjà établies, c'était tout bête. Merci à vous pour les réponses, bonne soirée @++

Hors ligne

Pages : 1