Salut,
il semble que Wanadoo commence a faire du filtrage sur les originteurs
"douteux" de mails.... que notre ami Olivier fasse partie du nombre...
Ou serais-ce ma machine?
Commentaires bienvenus.
--
Francois-Xavier 'FiX' KOWALSKI
This is the Postfix program at host wanadoo.fr.
I'm sorry to have to inform you that the message returned
below could not be delivered to one or more destinations.
For further assistance, please send mail to <postmaster>
If you do so, please include this problem report. You can
delete your own text from the message returned below.
The Postfix program
Platform wanadoo.fr said: 553 sorry, your envelope sender is in my badmailfrom
list (#5.7.1)
Olivier_Allard-Jacquin@??? wrote:
> Bonjour,
>
>
> j'ai une petite question de configuration de Netfilter, et je me
>demande
>si je suis trop parano (mais en terme de sécurité informatique, ne l'est
>on
>jamais trop ?).
>
>Configuation:
> - PC équipé d'un kernel 2.4
> - connexion internet via ppp0
> - connexion reseau via eth0 IP/port: 192.168.1.1/255.255.255.0
>
>Au début de mon script de configuration de netfilter, j'ai écrit ceci:
>
><script>
># Suppression de toutes les chaines
>iptables -F
>iptables -X
>
># Polices par défaut: Tout est refusé
>iptables -P INPUT DROP
>iptables -P OUTPUT DROP
>iptables -P FORWARD DROP
>
># Accepte toutes les connexions sur le loopback
>iptables -A INPUT -i lo -j ACCEPT
>iptables -A OUTPUT -o lo -j ACCEPT
>
>[Le reste n'est pas important pour la question]
></script>
>
> Ce sont ces 2 dernières regles iptables qui me gêne. J'ai un bon
>nombre de démons qui tournent sur le loopback(*) (postfix, proftpd, samba,
>etc ...), que ce soit pour de l'utilisation courante ou pour faire du
>test.
>
>(*) J'ai configuré ces démons pour qu'il ne répondent qu'aux requètes
>venant
>de 127.0.0.0/255.255.255.0 et/ou uniquement sur l'interface ppp0
>(parametre "bind interface" lorsque c'est possible)
>
>Est-ce que ces règles ne sont pas trop permitives, et n'y a t'il
>pas un risque qu'un "vilain" venant de la connexion Internet (ppp0), puisse
>par quelques magouilles obscures "remonter" la couche réseau et rentrent par
>l'interface loopback ("-i lo") ? Cela me paraît un peu tiré par les
>cheveux, mais bon ...
>
"-i lo0" est evidement sans danger... :-)
Pour ce qui est de "-o lo0", pas de danger non plus, sachant que cette
addresse serait consideree par tous les routeurs intermediaires comme la
leur... Si teux veux un bulldozer pour ecraser une mouche, tu peux
activer un anti-IP spoofing sur ppp0:
# Refuse packets claiming to be from a Class A private network.
iptables -A INPUT -i ppp0 -s 10.0.0.0/8 -j DROP
# Refuse packets claiming to be from a Class B private network.
iptables -A INPUT -i ppp0 -s 172.16.0.0/12 -j DROP
# Refuse Class D multicast addresses. Multicast is illegal as a source
address.
iptables -A INPUT -i ppp0 -s 224.0.0.0/4 -j DROP
# Refuse Class E reserved IP addresses.
iptables -A INPUT -i ppp0 -s 240.0.0.0/4 -j DROP
# Refuse packets claiming to be to the loopback interface.
iptables -A INPUT -i ppp0 -d 127.0.0.1/27 -j DROP
# Refuse broadcast address packets.
iptables -A INPUT -i ppp0 -d 192.168.1.31 -j DROP
A+
--
Francois-Xavier 'FiX' KOWALSKI
