NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Security
 FireWall e Protezioni
 iptables		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Autore Discussione Precedente Discussione Discussione Successiva  

zebmckey
New Member




49 Messaggi

Inserito il - 18/07/2007 : 08:22:17  Mostra Profilo
Vorrei chiedere un piccolo aiuto:
Ho un server di backup dove ho lanciato uno script per abilitare il firewall ma da allora il server non mi spedisce posta.
Per spedirmi la posta avewvo impostato il sendmail in modo tale che l'alias di root fosse la mia email e senza firewall li tutto funziona, ma come metto il firewall la posta mi rimane in coda e non esce. potete aiutarmia capire dove ho sbagliato? grazie, allego il codice


#!/bin/bash
#Variabili
iptables=/sbin/iptables
#Variabili dati reti 
ip_piccin=172.17.9.0/255.255.255.0
ip_management=172.17.8.96/255.255.255.224
ip_tandura=10.23.205.0/255.255.255.0
echo -n "Settaggio delle regole di IPTABLES: "
#carico moduli necessari
/sbin/modprobe ip_nat_ftp    # Gestione connessioni ftp
/sbin/modprobe ipt_psd       # Mi serve per bloccare i portscan
#annullo tutte le regole precenti
$iptables -F
$iptables -X
#definizioni delle politiche di defualt
$iptables -P INPUT DROP
echo -n "."
$iptables -P FORWARD DROP
echo -n "."
$iptables -P OUTPUT DROP
echo -n "--politiche default"
#Viene permesso il traffico stabilito e correlato
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo -n "."
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo -n "."
$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo -n "--stabilito e correlato"
#abilito le comunicazioni su lo
$iptables -A INPUT -s 127.0.0.0/8 -j ACCEPT
echo -n "."
$iptables -A OUTPUT -s 127.0.0.0/8 -j ACCEPT
echo -n "--comunicazione lo"
#traffico consentito per ssh
$iptables -A INPUT -p tcp --dport 22 -s $ip_management -j ACCEPT 
echo -n "."
$iptables -A OUTPUT -p tcp --dport 22 -d $ip_management -j ACCEPT 
echo -n "--ssh per management"
#Regole che permettono di eseguire query DNS
$iptables -A OUTPUT -p udp -s 172.17.8.130 --dport 53 -j ACCEPT
echo -n "--traffico DNS"
#Regola che permette il ping solo da management
$iptables -A INPUT -p icmp -s $ip_management -j ACCEPT
echo -n "."
$iptables -A OUTPUT -p icmp -s $ip_management -j ACCEPT
echo -n "--ping management"
#Regole che permettono il traffico samba
$iptables  -A INPUT -s $ip_management -p tcp --dport 445 -j ACCEPT
echo -n "."
$iptables  -A INPUT -s $ip_piccin -p tcp --dport 445 -j ACCEPT
 echo -n "."
$iptables  -A INPUT -s $ip_tandura -p tcp --dport 445 -j ACCEPT
 echo -n "."
$iptables -A INPUT -s $ip_management -p tcp --dport 138 -j ACCEPT
echo -n "."
$iptables  -A INPUT -s $ip_piccin -p tcp --dport 138 -j ACCEPT
 echo -n "."
$iptables  -A INPUT -s $ip_tandura -p tcp --dport 138 -j ACCEPT
 echo -n "."
$iptables -A INPUT -s $ip_management -p tcp --dport 137 -j ACCEPT
echo -n "."
$iptables -A INPUT -s $ip_piccin -p tcp --dport 137 -j ACCEPT
echo -n "."
$iptables -A INPUT -s $ip_tandura -p tcp --dport 137 -j ACCEPT
echo -n "."
$iptables  -A INPUT -s $ip_management -p tcp --dport 139 -j ACCEPT
echo -n "."
$iptables  -A INPUT -s $ip_piccin -p tcp --dport 139 -j ACCEPT
echo -n "."
$iptables  -A INPUT -s $ip_tandura -p tcp --dport 139 -j ACCEPT
echo -n "--traffico smb"
#Regola che permette il traffico htt*s
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
echo -n "."
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 443 -j ACCEPT
echo -n "--htt*s"
#regole che permettono di inviare mail
$iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
echo -n "--invio mail"
#regola webmin
$iptables -A INPUT -s $ip_management -p tcp --dport 10000 -j ACCEPT
echo -n "--webmin"
#regola ftp
$iptables -A  INPUT  -p tcp --dport ftp -j ACCEPT
echo -n "--ftp"
#individua portscan e li blocca
$iptables -A INPUT -m psd -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "Scanport: "
echo -n "."
$iptables -A INPUT -m psd -m limit --limit 1/minute -j ULOG --ulog-nlgroup 1 --ulog-prefix "Scanport: "
echo -n "--PortScan"
#regola tcp reset
$iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
echo -n "-- tcp reset"
echo " GO!!!!!!!!!!!!!!! "

Yves
Moderatore


Città: Buenos Aires


6097 Messaggi
Inserito il - 18/07/2007 : 09:11:52  Mostra Profilo
La butto un pò a caso, non sono esperto in iptables, ma la porta 110 non dovrebbe centrare qualcosa?

Ok, ok, quella di prima era una fagianata, ho carpito poi la parola "invio"

dai un occhiata a questo:

htt*://[www].cyberciti.biz/tips/linux-iptables-15-how-to-block-or-open-mail-serversmtp-protocol.html

Ciao
Modificato da - Yves in data 18/07/2007 09:22:29
Torna all'inizio della Pagina

pedrus
Moderatore


Città: Taranto - Pavia


952 Messaggi
Inserito il - 18/07/2007 : 13:41:54  Mostra Profilo
Non vorrei sparare stupidaggini, visto che con iptables ho più esperienza teorica che pratica. Ma sendmail materialmente dove si trova? Ho visto che nella catena di output hai aperto la porta di destinazione 25, ma se sendmail è sull stessa macchina dove risiede il firewall, quella regola non dovrebbe trovarsi nella catena di input? Ovvero tutti i pacchetti TCP in entrata diretti alla porta 25 visto che sendmail è il server di posta lui è in ascolto sulla 25.
Spero di non aver detto troppe cavolate.
Facci sapere.
Torna all'inizio della Pagina

zebmckey
New Member




49 Messaggi
Inserito il - 19/07/2007 : 10:27:13  Mostra Profilo
Citazione:
Messaggio inserito da pedrus

Non vorrei sparare stupidaggini, visto che con iptables ho più esperienza teorica che pratica. Ma sendmail materialmente dove si trova?

Sendmail si trova sulla stessa macchina
Citazione:

Ho visto che nella catena di output hai aperto la porta di destinazione 25, ma se sendmail è sull stessa macchina dove risiede il firewall, quella regola non dovrebbe trovarsi nella catena di input? Ovvero tutti i pacchetti TCP in entrata diretti alla porta 25 visto che sendmail è il server di posta lui è in ascolto sulla 25.
Spero di non aver detto troppe cavolate.
Facci sapere.

La catena input è per i pacchetti in ingresso, ma a me interessa che i pacchetti devono solo uscire verso un'altro server mail.
forse dovrei dichiarare il server mail?
Provo e vi faccio sapere come và
Torna all'inizio della Pagina

zebmckey
New Member




49 Messaggi
Inserito il - 19/07/2007 : 13:12:55  Mostra Profilo
Ok ho cambiato la regola di iptables con la seguente:
$iptables -A OUTPUT -p tcp -s 172.17.8.136 –sport 25 -d mailserver –dport 25 -m state –state ESTABLISHED -j ACCEPT
ma non funziona
Torna all'inizio della Pagina

pedrus
Moderatore


Città: Taranto - Pavia


952 Messaggi
Inserito il - 19/07/2007 : 13:27:45  Mostra Profilo
Credo che potrebbe andare, ma in questo caso hai specificato come porta di origine la 25. Con quest'ultima regola impostata prova a mettere come porta di origine qualunque, quella di destinazione 25 dovrebbe andare bene. In ogni caso, non so se in quest'ultimo caso impostare lo stato ESTABILISHED sia giusto, credo che sendmail per inviare la posta ad un altro mailserver dovrebbe prima negoziare la connnessione e, per negoziarla invia prima dei pacchetti che sicuramente non sono nello stato estabilished.
Torna all'inizio della Pagina

zebmckey
New Member




49 Messaggi
Inserito il - 19/07/2007 : 14:05:14  Mostra Profilo
Citazione:
Messaggio inserito da pedrus

Credo che potrebbe andare, ma in questo caso hai specificato come porta di origine la 25. Con quest'ultima regola impostata prova a mettere come porta di origine qualunque, quella di destinazione 25 dovrebbe andare bene. In ogni caso, non so se in quest'ultimo caso impostare lo stato ESTABILISHED sia giusto, credo che sendmail per inviare la posta ad un altro mailserver dovrebbe prima negoziare la connnessione e, per negoziarla invia prima dei pacchetti che sicuramente non sono nello stato estabilished.

Anche cambiando in questo modo

#regole che permettono di inviare mail
$iptables -A OUTPUT -s 172.17.8.136 -p tcp -d 172.17.8.131 --dport 25 -j ACCEPT
$iptables -A INPUT -s 172.17.8.131 -p tcp -d 172.17.8.136 --sport 25 -j ACCEPT
echo -n "--invio mail"

non funziona!
Torna all'inizio della Pagina

pedrus
Moderatore


Città: Taranto - Pavia


952 Messaggi
Inserito il - 19/07/2007 : 18:44:12  Mostra Profilo
Allora, fai un po' di prove, abilita il logging dei pacchetti scartati, dopo di che analizzali e guarda quali sono i pacchetti che manda sendmail e sulla base di quale regola vengono scartati. Oppure, disattiva il firewall, avvia sendmail e con tcpdump analizza il traffico di rete, guarda quali sono le porte che sta utilizzando sendmail e in che modo.
Torna all'inizio della Pagina
  Discussione Precedente Discussione Discussione Successiva  

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 0,22 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000