Re: Shorewall ne bloque pas tous les ports.
> >> Pourquoi Nessus, lancé à partir d'une autre machine du réseau, voit-il > >> les ports 110, 119, 143 et 25 ouverts ? il y'a une raison logique que j'expliquerai plus tard mais avant j'aimerais que tu utilises nmap pour scanner la machine et que tu nous poste le résultat la commande suivante en tant que root (l'éxécution de la commande peut prendre un peu de temps 20/30 minutes) : "nmap -sU -sT -P0 -O addresse_ip" M. -- Emmanuel Bouthenot (aka Kolter) MAIL : free.fr / kolter (at) GPG : 0x414EC36E WWW : http://kolter.free.fr JABBER : amessage.de / kolter (at)
Re: Shorewall ne bloque pas tous les ports.
Le 2/05/05 15:32, « Xavier Poinsard » <[EMAIL PROTECTED]> a écrit : > Laurent Huet wrote: >> Ok, j'explique. >> >> Le serveur est sur un réseau local avec IP en 192.168.0.X >> Ce réseau est derrière un routeur Linksys WRT54G (soit dit en passant, >> les meilleurs firwares ne sont pas ceux que l'on paye). >> Pour être sûr de ne laisser passer que du traffic vers le serveur web, >> le serveur ftp et le serveur ssh, j'ai installé shorewall sur mon >> serveur. Il parrait qu'il simplifie la configuration d'iptables. >> Ce serveur n'a qu'une interface eth0 sur le réseau local. Je l'ai >> déclarée en net dans /etc/shorewall/interfaces mais j'aurais aussi bien >> pu la déclarer en loc. Je ne pense pas que ça aurait changé grand chose. >> Pourquoi, alors que j'interdit tout traffic dans les deux sens dans >> policy avec >> allallDROP >> et que j'autorise explicitement dans rules le trafic entrant vers les >> ports 21, 22 et 41210 avec >> ACCEPTnetfwtcp21,22,41210 >> et tout le traffic sortant du serveur avec >> ACCEPTfwnetall >> Pourquoi Nessus, lancé à partir d'une autre machine du réseau, voit-il >> les ports 110, 119, 143 et 25 ouverts ? >> >> Ca m'intrigue >> > > Le contenu de ton fichier /etc/shorewall/interfaces ? > Le resultat de iptables -L ? > > > Bonjour, Je joints un fichier contenant ma config shorewall ainsi qu'une sortie de iptables -L. A savoir que je n'ai jamais édité les règles iptables à la main, donc les seules modifications apportées à la config d'origine n'auront pu être faites que par shorewall. Je ne vois d'ailleurs aucune référence aux ports 25,110,119 et 143 et aux protocoles qu'ils représentent dans cette sortie iptables. Salutations Laurent Sortie Iptables.txt Description: Binary data fichiers config.txt Description: Binary data
Re: Shorewall ne bloque pas tous les ports.
Laurent Huet wrote: > Ok, j'explique. > > Le serveur est sur un réseau local avec IP en 192.168.0.X > Ce réseau est derrière un routeur Linksys WRT54G (soit dit en passant, > les meilleurs firwares ne sont pas ceux que l'on paye). > Pour être sûr de ne laisser passer que du traffic vers le serveur web, > le serveur ftp et le serveur ssh, j'ai installé shorewall sur mon > serveur. Il parrait qu'il simplifie la configuration d'iptables. > Ce serveur n'a qu'une interface eth0 sur le réseau local. Je l'ai > déclarée en net dans /etc/shorewall/interfaces mais j'aurais aussi bien > pu la déclarer en loc. Je ne pense pas que ça aurait changé grand chose. > Pourquoi, alors que j'interdit tout traffic dans les deux sens dans > policy avec > allallDROP > et que j'autorise explicitement dans rules le trafic entrant vers les > ports 21, 22 et 41210 avec > ACCEPTnetfwtcp21,22,41210 > et tout le traffic sortant du serveur avec > ACCEPTfwnetall > Pourquoi Nessus, lancé à partir d'une autre machine du réseau, voit-il > les ports 110, 119, 143 et 25 ouverts ? > > Ca m'intrigue > Le contenu de ton fichier /etc/shorewall/interfaces ? Le resultat de iptables -L ? -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
Pourquoi Nessus, lancé à partir d'une autre machine du réseau, voit-il les ports 110, 119, 143 et 25 ouverts ? Ca m'intrigue salut 110 et 25 il s'agit des ports d'un serveur de courrier : pop3 et smtp il te faudrait verifier qu'aucun serveur de mail ne tourne sur ta becane pour recevoir tes mails depuis ton fai ,par exemple ,tu n'as nul besoin d'avoir ces ports ouverts . 119 correspond a nntp ,donc un serveur de news , est ce que tu l'utilises ? et 143 a imap ,qu'on utilise avec un serveur de courrier maintenant que tu sais a quoi ces ports correpondent (ils sont listés dans /etc/services) a toi de creer une regle iptables pour les fermer ,ou bien de desactiver les executables correspondants a+ -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Fwd: Shorewall ne bloque pas tous les ports.
Désolé de ne pas avoir répondu sur la liste, le manque d'habitude certainement. Je pense que le mal est réparé. Bonne soirée à tous. Laurent Début du message réexpédié : De: Guy Marcenac <[EMAIL PROTECTED]> Date: 27 avril 2005 19:08:28 GMT+02:00 À: Laurent Huet <[EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. Laurent Huet wrote: Je n'ai pas l'habitude des listes. Je clique tout simplement sur répondre dans Mail. Le principe est qu'on répond à la liste, pour l'information de tous, et pour que le sujet soit archivé pour des utilisateurs qui rencontreraient ultérieurement le meme problème. je ne sais pas comment tu fais exactement avec ton client mail, cela dépend du logiciel. en tout cas tu dois avoir la liste debian-user-french@lists.debian.org en destinataire. pour bien faire, il te faudrait reposter les échanges que nous avons déjà eus à la liste je vais le faire pour mon premier message, si tu as le courage, fais le donc pour tes deux réponses ... c'est vraiment mieux pour tout le monde :) -- guy
Fwd: Shorewall ne bloque pas tous les ports.
Début du message réexpédié : De: Laurent Huet <[EMAIL PROTECTED]> Date: 27 avril 2005 13:12:36 GMT+02:00 À: Troumad <[EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. Merci pour le lien. Je vais tester. Le 27 avr. 05, à 10:32, Troumad a écrit : Laurent Huet a écrit : Bonjour à tous, Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en "net" dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. Je pensais que mes règles ne laisseraient passer que le minimum nécessaire mais je dois me tromper. /etc/shorewall/policy allallDROP /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 Cependant, lorsque je lance un scan avec Nessus, en plus des ports autorisés dans mes règles, les ports 25 110 119 et 143 apparaissent comme ouverts. Dois-je rajouter manuellement les interdictions pour ces ports ? Est-ce dû à une particularité du portage de shorewall sur Debian ? Cela correspond-t'il à un impératif de fonctionnement d'une distribution Debian ? Je sais qu'il existe une liste concernant les firewall sur Debian. Je l'ai parcourue à la recherche d'informations, mais mon Anglais n'est pas suffisamment évolué. C'est pour cette raison que je poste dans la liste française. Merci de m'aider. Bonjour Sur http://troumad.free.fr/Linux/linux.php?page=essai tu as la possibilité de télécharger mon ancienne configuration de shorewall : je suis amintenant directement sous iptable. -- Amicalement vOOotre Troumad Alias Bernard SIAUD mon site : http://troumad.free.fr : AD&D maths WEB sectes Pour la liberté http://lea-linux.org http://www.eurolinux.org/index.fr.html N'envoyez que des documents avec des formats ouverts, comme http://fr.openoffice.org
Fwd: Shorewall ne bloque pas tous les ports.
Début du message réexpédié : De: Laurent Huet <[EMAIL PROTECTED]> Date: 27 avril 2005 16:52:21 GMT+02:00 À: Yannick Roehlly <[EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. C'est vrai que, seule la zone net existant dans mon cas, net all DROP suffirait. Mais comme on dit : "Qui peut le plus peut le moins". Et puis ça n'explique pas que ces ports restent visibles. all all DROP ferme bien tout, si je ne m'abuse. Le 27 avr. 05, à 16:37, Yannick Roehlly a écrit : J'avais pas réfléchi à ça... Je te proposais de mettre un "net all DROP" danc policy parce que c'est ce qui est indiqué dans le fichier par defaut de shorewall. Yannick -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Fwd: Shorewall ne bloque pas tous les ports.
Début du message réexpédié : De: Laurent Huet <[EMAIL PROTECTED]> Date: 27 avril 2005 18:18:18 GMT+02:00 À: Guy Marcenac <[EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. Pas de trace de pop, imap et nntp dans inetd.conf Laurent Le 27 avr. 05, à 18:09, Guy Marcenac a écrit : Laurent Huet wrote: Comme je l'écris dans mon premier post, ne tournent sur cette machine que un seveur ssh, un serveur smtp configuré en distribution locale uniquement, un serveur ftp et un serveur web sur le port 41210. J'aurais peut-être dû préciser qu'il n'y a ni serveur pop, ni serveur imap, ni serveur nntp. tu as vérifié inetd ? -- guy -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Fwd: Shorewall ne bloque pas tous les ports.
Début du message réexpédié : De: Laurent Huet <[EMAIL PROTECTED]> Date: 27 avril 2005 18:44:24 GMT+02:00 À: Guy Marcenac <[EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. En fait, la machine est sur un réseau local et le serveur web doit être accessible depuis internet, j'ai donc baptisé l'interface net mais je l'aurais baptisée loc le problème serait le même. Ces lignes sont en effet les seules dans /etc/shorewall/policy et /etc/shorewall/rules. Laurent Le 27 avr. 05, à 18:06, Guy Marcenac a écrit : Laurent Huet wrote: En fait, ma machine est un serveur autonome sur un réseau local de classe C et je lance bien Nessus à partir d'une autre machine du même réseau. [] Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en "net" dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. si tu as une seule interface sur ton fw et que c'est ton interface internet, je ne comprend pas d'où vient l'autre machine, celle qui exécute nessus Je pensais que mes règles ne laisseraient passer que le minimum nécessaire mais je dois me tromper. /etc/shorewall/policy allallDROP est-ce la seule ligne de ton fichier policy ? /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 meme question -- guy
Fwd: Shorewall ne bloque pas tous les ports.
Début du message réexpédié : De: Laurent Huet <[EMAIL PROTECTED]> Date: 27 avril 2005 18:46:06 GMT+02:00 À: Guy Marcenac <[EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. Je n'ai pas l'habitude des listes. Je clique tout simplement sur répondre dans Mail. Je devrais faire autrement ? Laurent Le 27 avr. 05, à 18:24, Guy Marcenac a écrit : Laurent Huet wrote: Pas de trace de pop, imap et nntp dans inetd.conf bonsoir, tu fais la meme erreur que moi dans mon premier post tout à l'heure (désolé), tu ne réponds pas à la liste ;) ton histoire est quand meme bizarre :/ -- guy
Re: Shorewall ne bloque pas tous les ports.
Ok, j'explique. Le serveur est sur un réseau local avec IP en 192.168.0.X Ce réseau est derrière un routeur Linksys WRT54G (soit dit en passant, les meilleurs firwares ne sont pas ceux que l'on paye). Pour être sûr de ne laisser passer que du traffic vers le serveur web, le serveur ftp et le serveur ssh, j'ai installé shorewall sur mon serveur. Il parrait qu'il simplifie la configuration d'iptables. Ce serveur n'a qu'une interface eth0 sur le réseau local. Je l'ai déclarée en net dans /etc/shorewall/interfaces mais j'aurais aussi bien pu la déclarer en loc. Je ne pense pas que ça aurait changé grand chose. Pourquoi, alors que j'interdit tout traffic dans les deux sens dans policy avec all all DROP et que j'autorise explicitement dans rules le trafic entrant vers les ports 21, 22 et 41210 avec ACCEPT net fw tcp 21,22,41210 et tout le traffic sortant du serveur avec ACCEPT fw net all Pourquoi Nessus, lancé à partir d'une autre machine du réseau, voit-il les ports 110, 119, 143 et 25 ouverts ? Ca m'intrigue Laurent Le 27 avr. 05, à 19:12, Guy Marcenac a écrit : Laurent Huet wrote: En fait, ma machine est un serveur autonome sur un réseau local de classe C et je lance bien Nessus à partir d'une autre machine du même réseau. [] Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en "net" dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. si tu as une seule interface sur ton fw et que c'est ton interface internet, je ne comprend pas d'où vient l'autre machine, celle qui exécute nessus /etc/shorewall/policy allallDROP est-ce la seule ligne de ton fichier policy ? /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 meme question -- guy -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
Laurent Huet wrote: > En fait, ma machine est un serveur autonome sur un réseau local de > classe C et je lance bien Nessus à partir d'une autre machine du même > réseau. [] >>> Mon soucis est le suivant : j'ai installé shorewall sur une Debian >>> Sarge munie d'une seule interface Ethernet (eth0 configurée en "net" >>> dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en >>> distribution locale uniquement, Apache écoutant sur le port 41210, un >>> serveur ftp et un serveur ssh. >>> si tu as une seule interface sur ton fw et que c'est ton interface internet, je ne comprend pas d'où vient l'autre machine, celle qui exécute nessus >>> /etc/shorewall/policy >>> >>> allallDROP >>> est-ce la seule ligne de ton fichier policy ? >>> /etc/shorewall/rules >>> >>> ACCEPTfwnetall >>> ACCEPTnetfwtcp21,22,41210 >>> meme question -- guy -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
A partir du serveur, connexion refusée sur les ports 110, 119 et 143 et connexion possible sur le port 25 (c'est normal, il y a Exim). A partir d'une autre machine du réseau, connexion impossible sur les ports 110, 119, 143 et 25. Apparemment, ces ports ne sont pas accessibles alors comment se fait-il que Nessus les voit ouverts ? Laurent Le 27 avr. 05, à 17:36, daniel huhardeaux a écrit : Laurent Huet a écrit : Comme je l'écris dans mon premier post, ne tournent sur cette machine que un seveur ssh, un serveur smtp configuré en distribution locale uniquement, un serveur ftp et un serveur web sur le port 41210. J'aurais peut-être dû préciser qu'il n'y a ni serveur pop, ni serveur imap, ni serveur nntp. Quand à tout fermer je le fais par : allallDROP dans /etc/shorewall/policy. et ouvrir le strict nécessaire, je le fais par : ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 dans /etc/shorewall/rules Comme dit dans mon premier post. Malgré cela, les ports 25,110,119 et 143 apparaissent comme ouverts lors d'un scan de Nessus à partir d'une autre machine du même segment de réseau. Je précise que ce serveur est un serveur autonome et non une passerelle. Merci quand même de prendre le temps de répondre à ma question. Comme dis dans un mail précédent ;-) que donne telnet sur les ports en question? Aussi bien à partir de la machine que d'une autre machine du réseau [...] -- Daniel Huhardeaux __ _ _ __ __ __ enum+48 32 285 5276 /_ _// _ // _ //_ _// __ // / iaxtel +1 700 849 6983 / / / // // // / / / / /_/ // / sip:101 h323:121 @voip./_/ //// /_/ /_/ /_//_/.com -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
Laurent Huet wrote: Comme je l'écris dans mon premier post, ne tournent sur cette machine que un seveur ssh, un serveur smtp configuré en distribution locale uniquement, un serveur ftp et un serveur web sur le port 41210. J'aurais peut-être dû préciser qu'il n'y a ni serveur pop, ni serveur imap, ni serveur nntp. tu as vérifié inetd ? -- guy -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
Laurent Huet a écrit : Comme je l'écris dans mon premier post, ne tournent sur cette machine que un seveur ssh, un serveur smtp configuré en distribution locale uniquement, un serveur ftp et un serveur web sur le port 41210. J'aurais peut-être dû préciser qu'il n'y a ni serveur pop, ni serveur imap, ni serveur nntp. Quand à tout fermer je le fais par : allallDROP dans /etc/shorewall/policy. et ouvrir le strict nécessaire, je le fais par : ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 dans /etc/shorewall/rules Comme dit dans mon premier post. Malgré cela, les ports 25,110,119 et 143 apparaissent comme ouverts lors d'un scan de Nessus à partir d'une autre machine du même segment de réseau. Je précise que ce serveur est un serveur autonome et non une passerelle. Merci quand même de prendre le temps de répondre à ma question. Comme dis dans un mail précédent ;-) que donne telnet sur les ports en question? Aussi bien à partir de la machine que d'une autre machine du réseau [...] -- Daniel Huhardeaux __ _ _ __ __ __ enum+48 32 285 5276 /_ _// _ // _ //_ _// __ // / iaxtel +1 700 849 6983 / / / // // // / / / / /_/ // / sip:101 h323:121 @voip./_/ //// /_/ /_/ /_//_/.com -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
Laurent Huet wrote: > Quand à tout fermer je le fais par : > > allallDROP > > dans /etc/shorewall/policy. > J'avais pas réfléchi à ça... Je te proposais de mettre un "net all DROP" danc policy parce que c'est ce qui est indiqué dans le fichier par defaut de shorewall. Yannick -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
Comme je l'écris dans mon premier post, ne tournent sur cette machine que un seveur ssh, un serveur smtp configuré en distribution locale uniquement, un serveur ftp et un serveur web sur le port 41210. J'aurais peut-être dû préciser qu'il n'y a ni serveur pop, ni serveur imap, ni serveur nntp. Quand à tout fermer je le fais par : all all DROP dans /etc/shorewall/policy. et ouvrir le strict nécessaire, je le fais par : ACCEPT fw net all ACCEPT net fw tcp 21,22,41210 dans /etc/shorewall/rules Comme dit dans mon premier post. Malgré cela, les ports 25,110,119 et 143 apparaissent comme ouverts lors d'un scan de Nessus à partir d'une autre machine du même segment de réseau. Je précise que ce serveur est un serveur autonome et non une passerelle. Merci quand même de prendre le temps de répondre à ma question. Le 27 avr. 05, à 13:24, daniel huhardeaux a écrit : Laurent Huet a écrit : En fait, ma machine est un serveur autonome sur un réseau local de classe C et je lance bien Nessus à partir d'une autre machine du même réseau. Par contre, je me pose la question suivante : l'installation d'une distribution Debian Sarge établit t'elle des règles iptables ouvrant ces ports par défaut ? Si oui, shorewall estime t'il que, ces règles existant déjà, il ne doit pas y toucher ? Le 27 avr. 05, à 10:41, daniel huhardeaux a écrit : Laurent Huet a écrit : Bonjour à tous, Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en "net" dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. Je pensais que mes règles ne laisseraient passer que le minimum nécessaire mais je dois me tromper. /etc/shorewall/policy allallDROP /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 Cependant, lorsque je lance un scan avec Nessus, en plus des ports autorisés dans mes règles, les ports 25 110 119 et 143 apparaissent comme ouverts. Dois-je rajouter manuellement les interdictions pour ces ports ? Est-ce dû à une particularité du portage de shorewall sur Debian ? Cela correspond-t'il à un impératif de fonctionnement d'une distribution Debian ? Je sais qu'il existe une liste concernant les firewall sur Debian. Je l'ai parcourue à la recherche d'informations, mais mon Anglais n'est pas suffisamment évolué. C'est pour cette raison que je poste dans la liste française. Merci de m'aider. Je suppose que tu exécutes Nessus à partir de la machine que tu veux scanner? C'est logique qu'il trouve des ports ouverts, ce sont ceux qui le sont en local (telnet localhost 110 par ex.). Lance le test à partir d'une machine à l'extèrieur du réseau. Si ces ports sont ouverts c'est que des services tournent (25 smtp 110 pop ...) Si ces services ne servent à rien, tu les ferment (pour smtp mauvaise idée). Sinon, comme il t'a été dit dans un précédent mail, tu fermes tout et n'ouvre que ce dont tu as besoin. -- Daniel Huhardeaux __ _ _ __ __ __ enum+48 32 285 5276 /_ _// _ // _ //_ _// __ // / iaxtel +1 700 849 6983 / / / // // // / / / / /_/ // / sip:101 h323:121 @voip./_/ //// /_/ /_/ /_//_/.com -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
Laurent Huet a écrit : En fait, ma machine est un serveur autonome sur un réseau local de classe C et je lance bien Nessus à partir d'une autre machine du même réseau. Par contre, je me pose la question suivante : l'installation d'une distribution Debian Sarge établit t'elle des règles iptables ouvrant ces ports par défaut ? Si oui, shorewall estime t'il que, ces règles existant déjà, il ne doit pas y toucher ? Le 27 avr. 05, à 10:41, daniel huhardeaux a écrit : Laurent Huet a écrit : Bonjour à tous, Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en "net" dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. Je pensais que mes règles ne laisseraient passer que le minimum nécessaire mais je dois me tromper. /etc/shorewall/policy allallDROP /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 Cependant, lorsque je lance un scan avec Nessus, en plus des ports autorisés dans mes règles, les ports 25 110 119 et 143 apparaissent comme ouverts. Dois-je rajouter manuellement les interdictions pour ces ports ? Est-ce dû à une particularité du portage de shorewall sur Debian ? Cela correspond-t'il à un impératif de fonctionnement d'une distribution Debian ? Je sais qu'il existe une liste concernant les firewall sur Debian. Je l'ai parcourue à la recherche d'informations, mais mon Anglais n'est pas suffisamment évolué. C'est pour cette raison que je poste dans la liste française. Merci de m'aider. Je suppose que tu exécutes Nessus à partir de la machine que tu veux scanner? C'est logique qu'il trouve des ports ouverts, ce sont ceux qui le sont en local (telnet localhost 110 par ex.). Lance le test à partir d'une machine à l'extèrieur du réseau. Si ces ports sont ouverts c'est que des services tournent (25 smtp 110 pop ...) Si ces services ne servent à rien, tu les ferment (pour smtp mauvaise idée). Sinon, comme il t'a été dit dans un précédent mail, tu fermes tout et n'ouvre que ce dont tu as besoin. -- Daniel Huhardeaux __ _ _ __ __ __ enum+48 32 285 5276 /_ _// _ // _ //_ _// __ // / iaxtel +1 700 849 6983 / / / // // // / / / / /_/ // / sip:101 h323:121 @voip./_/ //// /_/ /_/ /_//_/.com -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
En fait, ma machine est un serveur autonome sur un réseau local de classe C et je lance bien Nessus à partir d'une autre machine du même réseau. Par contre, je me pose la question suivante : l'installation d'une distribution Debian Sarge établit t'elle des règles iptables ouvrant ces ports par défaut ? Si oui, shorewall estime t'il que, ces règles existant déjà, il ne doit pas y toucher ? Le 27 avr. 05, à 10:41, daniel huhardeaux a écrit : Laurent Huet a écrit : Bonjour à tous, Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en "net" dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. Je pensais que mes règles ne laisseraient passer que le minimum nécessaire mais je dois me tromper. /etc/shorewall/policy allallDROP /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 Cependant, lorsque je lance un scan avec Nessus, en plus des ports autorisés dans mes règles, les ports 25 110 119 et 143 apparaissent comme ouverts. Dois-je rajouter manuellement les interdictions pour ces ports ? Est-ce dû à une particularité du portage de shorewall sur Debian ? Cela correspond-t'il à un impératif de fonctionnement d'une distribution Debian ? Je sais qu'il existe une liste concernant les firewall sur Debian. Je l'ai parcourue à la recherche d'informations, mais mon Anglais n'est pas suffisamment évolué. C'est pour cette raison que je poste dans la liste française. Merci de m'aider. Je suppose que tu exécutes Nessus à partir de la machine que tu veux scanner? C'est logique qu'il trouve des ports ouverts, ce sont ceux qui le sont en local (telnet localhost 110 par ex.). Lance le test à partir d'une machine à l'extèrieur du réseau. -- Daniel Huhardeaux __ _ _ __ __ __ enum+48 32 285 5276 /_ _// _ // _ //_ _// __ // / iaxtel +1 700 849 6983 / / / // // // / / / / /_/ // / sip:101 h323:121 @voip./_/ //// /_/ /_/ /_//_/.com -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
Laurent Huet wrote: [...] > /etc/shorewall/policy > > all all DROP > > /etc/shorewall/rules > > ACCEPTfw net all > ACCEPTnet fw tcp > 21,22,41210 > > Cependant, lorsque je lance un scan avec Nessus, en plus des ports > autorisés dans mes règles, les ports 25 110 119 et 143 apparaissent > comme ouverts. > > Dois-je rajouter manuellement les interdictions pour ces ports ? > Est-ce dû à une particularité du portage de shorewall sur Debian ? > Cela correspond-t'il à un impératif de fonctionnement d'une > distribution Debian ? Dans policy, il faut que tu définisse les règles par défaut. Il te faut donc un : "net fw DROP" (ou un "net all DROP"). Ce faisant, tu fermes l'accès à ton ordi et tu reouvres au goutte à goutte dans rules. Yannick -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
Laurent Huet a écrit : Bonjour à tous, Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en "net" dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. Je pensais que mes règles ne laisseraient passer que le minimum nécessaire mais je dois me tromper. /etc/shorewall/policy allallDROP /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 Cependant, lorsque je lance un scan avec Nessus, en plus des ports autorisés dans mes règles, les ports 25 110 119 et 143 apparaissent comme ouverts. Dois-je rajouter manuellement les interdictions pour ces ports ? Est-ce dû à une particularité du portage de shorewall sur Debian ? Cela correspond-t'il à un impératif de fonctionnement d'une distribution Debian ? Je sais qu'il existe une liste concernant les firewall sur Debian. Je l'ai parcourue à la recherche d'informations, mais mon Anglais n'est pas suffisamment évolué. C'est pour cette raison que je poste dans la liste française. Merci de m'aider. Je suppose que tu exécutes Nessus à partir de la machine que tu veux scanner? C'est logique qu'il trouve des ports ouverts, ce sont ceux qui le sont en local (telnet localhost 110 par ex.). Lance le test à partir d'une machine à l'extèrieur du réseau. -- Daniel Huhardeaux __ _ _ __ __ __ enum+48 32 285 5276 /_ _// _ // _ //_ _// __ // / iaxtel +1 700 849 6983 / / / // // // / / / / /_/ // / sip:101 h323:121 @voip./_/ //// /_/ /_/ /_//_/.com -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Shorewall ne bloque pas tous les ports.
Bonjour à tous, Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en "net" dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. Je pensais que mes règles ne laisseraient passer que le minimum nécessaire mais je dois me tromper. /etc/shorewall/policy all all DROP /etc/shorewall/rules ACCEPT fw net all ACCEPT net fw tcp 21,22,41210 Cependant, lorsque je lance un scan avec Nessus, en plus des ports autorisés dans mes règles, les ports 25 110 119 et 143 apparaissent comme ouverts. Dois-je rajouter manuellement les interdictions pour ces ports ? Est-ce dû à une particularité du portage de shorewall sur Debian ? Cela correspond-t'il à un impératif de fonctionnement d'une distribution Debian ? Je sais qu'il existe une liste concernant les firewall sur Debian. Je l'ai parcourue à la recherche d'informations, mais mon Anglais n'est pas suffisamment évolué. C'est pour cette raison que je poste dans la liste française. Merci de m'aider.
