Re: firewall iptables

Top Page

Reply to this message
Author: Dominique Billard
Date:  
To: guilde
Subject: Re: firewall iptables
Olivier Allard-Jacquin a écrit:

>     Tu utilises quelle version du kernel 2.4 sur ta Debian ? 


2.4.18

>
>     Qu'est-ce que tu entends exactement par mail long ? Plusieurs 
> dizaines de Mo ? 


quelques lignes (je pense dès que le packet est fragmenté)
Le style "sujet" test "corps du message" test passe trés bien.

>
>     Personnellement, je n'ai jamais eu ce type de problème
> "iptables" bloque les mails longs (fragmentés).


j'ai trouvé un truc mais qui date de ipchains (howto masqurade) il me semble
je vais le tester dés que je peux (traduction aproximative de l'anglais)

quelques utilisateurs configurent le client POP de leur ordinateur
interne "masqué" pour se connecter à un serveur SMTP externe. Bien que
ceci soit correct, de nombreux serveurs SMTP essaieront d'identifier
votre connection sur le port 113.
Très vraisemblablement votre problème provient de la police par défaut
de masquerade positionnée sur DENY ; ce n'est pas bon. Positionnez le
sur REJECT est relancez votre firewall.

Je viens de le trouver dans le man de iptables  (REJECT)
     --reject-with type
              The  type  given can be icmp-net-unreachable, icmp-
              host-unreachable,   icmp-port-unreachable,    icmp-
              proto-unreachable,   icmp-net-prohibited  or  icmp-
              host-prohibited, which return the appropriate  ICMP
              error  message  (port-unreachable  is the default).
              The option tcp-reset can be  used  on  rules  which
              only  match the TCP protocol: this causes a TCP RST
              packet to be sent back.  This is mainly useful  for
              blocking  ident  (113/tcp)  probes which frequently
              occur when sending mail to broken mail hosts (which
              won't accept your mail otherwise)


je bloque effectivement tout par DROP et je dois certainement ajouter
une règle du type :

iptables -A INPUT -s 0.0.0.0/0 -d $monip -i $internet_dev --dport 113 -j
REJECT --reject-with tcp-reset

qu'en pensez vous ?

>
>     Tu peux nous envoyer un morceau de ton fichier de log qui indique 
> ceci ? 


Je ne trouve pas de trace dans les logs

>
>
>     Envoies-nous ton script iptables.

>
>> Merci d'avance.
>
>
>     De rien,

>
>                     Olivier 


Désolé pour le retard je n'avais plus d'accés au net depuis hier matin.
telecom cable lors d'une mise a jour d'un BIAS a viré l'authentification
PAP. Et le temps de trouver ce qui avait changé cher eux me revoici.

Merci
Dom



_____________________________________________________________________
Envie de discuter en "live" avec vos amis ? Télécharger MSN Messenger
http://www.ifrance.com/_reloc/m la 1ère messagerie instantanée de France