Bayrouni wrote:
Je précise que la règle
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j
n'est pas du tout necedssaire car le serveur postfix tourbe en local
Merci
# iptables-save
# Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005
*filter
:INPUT DROP [4:186]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j
ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
############-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state
--state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j
ACCEPT
COMMIT
# Completed on Thu Nov 24 10:45:52 2005
Je me réponds à moi-même:
Concernant le problème d'accès vers l'exterieur, la solution etait de
permettre aussi des accès vers l'exterieur des requetes dns sur le port 53.
Cette règle n'etait pas incluse car ayant un serveur cache dns, j'ai
oublié que il a tout meme besoin de lancer des requetes vers les autres
DNS quand la correspondance n'est pas encore dans le cache.
Concernant le problème de depart à savoir la visibilité du serveur smtp
sur le port 25 en local,
j'ai lancer ce testeur
http://probe.hackerwatch.org/probe/probe.asp
et le port 25 ainsi que les autres sont complètement invisibles.
Je continue alors mon tuning
Merci
voici la nouvelle sortie de iptables-save (celle qui resout les
problèmes precedents):
# iptables-save
# Generated by iptables-save v1.3.3 on Thu Nov 24 11:45:02 2005
*filter
:INPUT DROP [8:384]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED -j ACCEPT
-A OUTPUT -o eth0 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
les 2 règle que je viens d'ajouter
-A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Thu Nov 24 11:45:02 2005
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
