Forum Linux.général firewall iptables qui ne semblent pas toujours fonctionnel

Posté par  . Licence CC By‑SA.
Étiquettes :
0
22
août
2021

soit un firewall iptables qui contient les lignes suivantes:

# Generated by iptables-save v1.6.1 on Sun Aug 22 10:21:25 2021
*nat
:PREROUTING ACCEPT [287:16756]
:INPUT ACCEPT [40:3820]
:OUTPUT ACCEPT [116:8458]
:POSTROUTING ACCEPT [116:8458]
COMMIT
*filter
:INPUT DROP [164:5736]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5603:5752002]
:ADMIN - [0:0]
:ATTACK - [0:0]
:VISITEURS - [0:0]
[...]
-A ATTACK -j DROP
-A INPUT -s 212.70.149.71/32 -j ATTACK
[...]

pourtant malgré cela, mon service SMTP me dit qu'il a refusé des connexions venant de cette IP au motif que l'authentification n'était pas valide

Warnings

smtpd (total: 1211)
1006 unknown[212.70.149.71]: SASL LOGIN authentication failed: authe…
29 unknown[194.61.24.152]: SASL LOGIN authentication failed: authe…

et un tcpdump me dit bien que j'ai du trafic et que j'y répond

tcpdump -vnni any host 212.70.149.71
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
10:13:57.980137 IP (tos 0x0, ttl 52, id 45541, offset 0, flags [DF], proto TCP (6), length 95)
tcpdump -vnni any host 212.70.149.71
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
10:13:57.980137 IP (tos 0x0, ttl 52, id 45541, offset 0, flags [DF], proto TCP (6), length 95)
    212.70.149.71.26856 > A.B.C.D.465: Flags [P.], cksum 0xbead (correct), seq 1365975322:1365975365, ack 389528697, win 45, options [nop,nop,TS val 2413767132 ecr 2168701254], length 43
10:13:57.992297 IP (tos 0x0, ttl 64, id 11878, offset 0, flags [DF], proto TCP (6), length 145)
    A.B.C.D.465 > 212.70.149.71.26856: Flags [P.], cksum 0x55ab (incorrect -> 0x0ed6), seq 1:94, ack 43, win 507, options [nop,nop,TS val 2168705896 ecr 2413767132], length 93
10:13:58.034415 IP (tos 0x0, ttl 52, id 45542, offset 0, flags [DF], proto TCP (6), length 52)
    212.70.149.71.26856 > A.B.C.D.465: Flags [.], cksum 0x6152 (correct), ack 94, win 45, options [nop,nop,TS val 2413767187 ecr 2168705896], length 0
10:14:02.516236 IP (tos 0x0, ttl 52, id 45543, offset 0, flags [DF], proto TCP (6), length 52)
    212.70.149.71.26856 > A.B.C.D.465: Flags [F.], cksum 0x4fd0 (correct), seq 43, ack 94, win 45, options [nop,nop,TS val 2413771668 ecr 2168705896], length 0
10:14:02.516625 IP (tos 0x0, ttl 64, id 11879, offset 0, flags [DF], proto TCP (6), length 52)
    A.B.C.D.465 > 212.70.149.71.26856: Flags [F.], cksum 0x554e (incorrect -> 0x3c54), seq 94, ack 44, win 507, options [nop,nop,TS val 2168710421 ecr 2413771668], length 0
10:14:02.558718 IP (tos 0x0, ttl 52, id 45544, offset 0, flags [DF], proto TCP (6), length 52)
    212.70.149.71.26856 > A.B.C.D.465: Flags [.], cksum 0x3df7 (correct), ack 95, win 45, options [nop,nop,TS val 2413771711 ecr 2168710421], length 0

or il me semblait que -j DROP devait ne pas répondre à la machine demandeuse, et donc on ne devrait voir que des flux 212… => A.B.C.D

un truc que j'ai mal compris ?

ah un truc que j'ai peut-etre compris en rédigeant, c'est que c'est un port autorisé

-A VISITEURS -j ACCEPT
-A INPUT -p tcp -m tcp -p 465 -j VISITEURS

comment alors lui dire de d'abord filtrer les attachant puis de laisser passer les visiteurs ?

peut-on dire à iptables de prendre une liste d'IP dans un fichier ?
et faire un truc du genre

-A INPUT -p tcp -m tcp -p 465 -s NOT in file monfichier_attaquant.txt -j VISITEURS

y a-t-il d'autre firewall qui pourrait faire cela (ufw ? firewall ?)
je tourne sur Ubuntu 18.04 et j'hébergeasse un zimbra community edition.

Merci

  • # Ordre des règles

    Posté par  . Évalué à 3.

    Dans iptable, l'ordre des règles est important.

    Il faut que ta règle "ATTACK" soit placée avant la règle "VISITEURS"

    • [^] # Re: Ordre des règles

      Posté par  . Évalué à 2.

      j'ai remonté mon :ATTACK avant le :ADMIN et :VISITEUR
      mais ca ne semble pas le faire.

      je genere en fait un fichier iptables similaire à iptables-save
      que je restaure ensuite avec iptables-restore <lefichier

  • # fail2ban + ufw

    Posté par  . Évalué à 1.

    Si ton but est d'en apprendre un max sur iptables, gère ton firewall à la main.

    Si tu veux un truc solide, simple et relativement dynamique, le couple ufw + fail2ban me semble être un bon choix.

  • # config incomplète

    Posté par  (site web personnel) . Évalué à 1.

    C'est difficile à diagnostiquer avec un fichier incomplet : il faudrait que tu pose la sortie de la commande : iptables -L

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.