Fwd: Shorewall ne bloque pas tous les ports.
Début du message réexpédié : De: Laurent Huet [EMAIL PROTECTED]> Date: 27 avril 2005 18:46:06 GMT+02:00 À: Guy Marcenac [EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. Je n'ai pas l'habitude des listes. Je clique tout simplement sur répondre dans Mail. Je devrais faire autrement ? Laurent Le 27 avr. 05, à 18:24, Guy Marcenac a écrit : Laurent Huet wrote: Pas de trace de pop, imap et nntp dans inetd.conf bonsoir, tu fais la meme erreur que moi dans mon premier post tout à l'heure (désolé), tu ne réponds pas à la liste ;) ton histoire est quand meme bizarre :/ -- guy
Fwd: Shorewall ne bloque pas tous les ports.
Début du message réexpédié : De: Laurent Huet [EMAIL PROTECTED]> Date: 27 avril 2005 18:44:24 GMT+02:00 À: Guy Marcenac [EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. En fait, la machine est sur un réseau local et le serveur web doit être accessible depuis internet, j'ai donc baptisé l'interface net mais je l'aurais baptisée loc le problème serait le même. Ces lignes sont en effet les seules dans /etc/shorewall/policy et /etc/shorewall/rules. Laurent Le 27 avr. 05, à 18:06, Guy Marcenac a écrit : Laurent Huet wrote: En fait, ma machine est un serveur autonome sur un réseau local de classe C et je lance bien Nessus à partir d'une autre machine du même réseau. [] Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en net dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. si tu as une seule interface sur ton fw et que c'est ton interface internet, je ne comprend pas d'où vient l'autre machine, celle qui exécute nessus Je pensais que mes règles ne laisseraient passer que le minimum nécessaire mais je dois me tromper. /etc/shorewall/policy allallDROP est-ce la seule ligne de ton fichier policy ? /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 meme question -- guy
Fwd: Shorewall ne bloque pas tous les ports.
Début du message réexpédié : De: Laurent Huet [EMAIL PROTECTED]> Date: 27 avril 2005 18:18:18 GMT+02:00 À: Guy Marcenac [EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. Pas de trace de pop, imap et nntp dans inetd.conf Laurent Le 27 avr. 05, à 18:09, Guy Marcenac a écrit : Laurent Huet wrote: Comme je l'écris dans mon premier post, ne tournent sur cette machine que un seveur ssh, un serveur smtp configuré en distribution locale uniquement, un serveur ftp et un serveur web sur le port 41210. J'aurais peut-être dû préciser qu'il n'y a ni serveur pop, ni serveur imap, ni serveur nntp. tu as vérifié inetd ? -- guy -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Fwd: Shorewall ne bloque pas tous les ports.
Début du message réexpédié : De: Laurent Huet [EMAIL PROTECTED]> Date: 27 avril 2005 16:52:21 GMT+02:00 À: Yannick Roehlly [EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. C'est vrai que, seule la zone net existant dans mon cas, net all DROP suffirait. Mais comme on dit : Qui peut le plus peut le moins. Et puis ça n'explique pas que ces ports restent visibles. all all DROP ferme bien tout, si je ne m'abuse. Le 27 avr. 05, à 16:37, Yannick Roehlly a écrit : J'avais pas réfléchi à ça... Je te proposais de mettre un net all DROP danc policy parce que c'est ce qui est indiqué dans le fichier par defaut de shorewall. Yannick -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Fwd: Shorewall ne bloque pas tous les ports.
Début du message réexpédié : De: Laurent Huet [EMAIL PROTECTED]> Date: 27 avril 2005 13:12:36 GMT+02:00 À: Troumad [EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. Merci pour le lien. Je vais tester. Le 27 avr. 05, à 10:32, Troumad a écrit : Laurent Huet a écrit : Bonjour à tous, Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en net dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. Je pensais que mes règles ne laisseraient passer que le minimum nécessaire mais je dois me tromper. /etc/shorewall/policy allallDROP /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 Cependant, lorsque je lance un scan avec Nessus, en plus des ports autorisés dans mes règles, les ports 25 110 119 et 143 apparaissent comme ouverts. Dois-je rajouter manuellement les interdictions pour ces ports ? Est-ce dû à une particularité du portage de shorewall sur Debian ? Cela correspond-t'il à un impératif de fonctionnement d'une distribution Debian ? Je sais qu'il existe une liste concernant les firewall sur Debian. Je l'ai parcourue à la recherche d'informations, mais mon Anglais n'est pas suffisamment évolué. C'est pour cette raison que je poste dans la liste française. Merci de m'aider. Bonjour Sur http://troumad.free.fr/Linux/linux.php?page=essai tu as la possibilité de télécharger mon ancienne configuration de shorewall : je suis amintenant directement sous iptable. -- Amicalement vOOotre Troumad Alias Bernard SIAUD mon site : http://troumad.free.fr : ADD maths WEB sectes Pour la liberté http://lea-linux.org http://www.eurolinux.org/index.fr.html N'envoyez que des documents avec des formats ouverts, comme http://fr.openoffice.org
Fwd: Shorewall ne bloque pas tous les ports.
Désolé de ne pas avoir répondu sur la liste, le manque d'habitude certainement. Je pense que le mal est réparé. Bonne soirée à tous. Laurent Début du message réexpédié : De: Guy Marcenac [EMAIL PROTECTED]> Date: 27 avril 2005 19:08:28 GMT+02:00 À: Laurent Huet [EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. Laurent Huet wrote: Je n'ai pas l'habitude des listes. Je clique tout simplement sur répondre dans Mail. Le principe est qu'on répond à la liste, pour l'information de tous, et pour que le sujet soit archivé pour des utilisateurs qui rencontreraient ultérieurement le meme problème. je ne sais pas comment tu fais exactement avec ton client mail, cela dépend du logiciel. en tout cas tu dois avoir la liste debian-user-french@lists.debian.org en destinataire. pour bien faire, il te faudrait reposter les échanges que nous avons déjà eus à la liste je vais le faire pour mon premier message, si tu as le courage, fais le donc pour tes deux réponses ... c'est vraiment mieux pour tout le monde :) -- guy
