HTTP only et rien de plus...

[lenode]

Bonjour, <BR> <BR> <BR>J'ai plusieurs problèmes sur mon serveur ClarkConnect 2.0. <BR>Je vais peut être poser une question maîntes fois développées déjà sur ce forum, mais je la pose car les posts éxistants ne répondent pas. <BR> <BR># Certains ports de ma passerelle CC 2.0 sont ouverts (IP:80.13.13.xxx): <BR>21 FTP <BR>22 SSH <BR>25 SMTP <BR>80 HTTP <BR>81 Interface configuration CC 2.0 <BR>82 ? <BR>110 POP3 <BR>443 HTTPS <BR>1875 ? <BR>3128 ? <BR>10000 Webmin <BR># La même passerelle vue de l'interieur du réseau (192.168.1.1): <BR>21 FTP <BR>22 SSH <BR>25 SMTP <BR>80 HTTP <BR>81 Interface configuration CC 2.0 <BR>82 ? <BR>110 POP3 <BR>443 HTTPS <BR>1875 ? <BR>2000 ? <BR>3128 ? <BR>10000 Webmin <BR> <BR>Malgré tout ça d'ouvert, mes postes clients derrière ma passerelle ne peuvent pas accéder à: <BR>FTP <BR>POP3 <BR>IMAP <BR>SMTP <BR>News <BR>AIM <BR> <BR>Seuls les services suivant fonctionnent: <BR>HTTP <BR> <BR>Pour information, la passerelle arrive bien a se connecter en FTP et télécharger ses mises à jours. <BR>Idem pour les mails, via l'interface Webmail de la passerelle. <BR> <BR>Mais impossible d'autoriser une redirection vers un poste. (de plus, le nat sert surtout pour les clients Internets qui veulent un service sur mon serveur, et que je redirige sur un autre serveur. C'est çà?) <BR> <BR>Alors au final, j'ai du mal comprendre. <BR>Comment faire pour bénéficier de tout ces services manquants (FTP, news, AIM, POP3, IMAP, SMTP)? <BR>A quoi sert un port 2000 ouvert sur mon interface locale? <BR> <BR>En jetant un coup d'oeil rapide aux fichiers de config du firewall, cela ressemble à du charabia (pas ressemblant aux fichiers déjà présenté sur ce forum). <BR> <BR>Si vous voulez voir un fichier, un log, .... dites le moi. <BR>Aidez moi please. <BR> <BR>Merci d'avance. <BR> <BR>Lenode

[antolien]

Oui, donnes nous le résultat de <BR> iptables -L <BR>et <BR> iptables -t nat -L <BR> <BR>En tout cas tu as raison de te poser des questions, le port 3128 c'est le proxy, mais le 2000 j'en sais rien... <BR>A première vue, je pense que tu as un proxy, et que tu ne masque pas ton réseau( masquerade). Mais faut voir les règles...<BR><BR><font size=-2></font>

[lenode]

Salut. <BR> <BR> <BR>Voici les résultats: <BR> <BR>#iptables -L <BR>Chain INPUT (policy DROP) <BR>target prot opt source destination <BR>ACCEPT all -- anywhere anywhere <BR>ACCEPT all -- anywhere anywhere <BR>drop-reserved all -- 127.0.0.0/8 anywhere <BR>drop-reserved all -- 1.0.0.0/8 anywhere <BR>drop-reserved all -- 23.0.0.0/8 anywhere <BR>drop-reserved all -- 31.0.0.0/8 anywhere <BR>drop-reserved all -- 96.0.0.0/3 anywhere <BR>drop-reserved all -- 128.0.0.0/16 anywhere <BR>drop-reserved all -- blackhole.isi.edu anywhere <BR>drop-reserved all -- 128.66.0.0/16 anywhere <BR>drop-reserved all -- 191.255.0.0/16 anywhere <BR>drop-reserved all -- 197.0.0.0/16 anywhere <BR>drop-reserved all -- 201-0-0-0.dsl.telesp.net.br/8 anywhere <BR>drop-reserved all -- 223.255.255.0/24 anywhere <BR>drop-reserved all -- 240.0.0.0/5 anywhere <BR>drop-reserved all -- 248.0.0.0/5 anywhere <BR>DROP all -- 172.16.0.0/12 anywhere <BR>DROP all -- 192.168.0.0/16 anywhere <BR>ACCEPT icmp -- anywhere 0.0.5.220 icmp echo-reply <BR>ACCEPT icmp -- anywhere 0.0.5.220 icmp destination-unreachable <BR>ACCEPT icmp -- anywhere 0.0.5.220 icmp time-exceeded <BR>ACCEPT icmp -- anywhere 0.0.5.220 icmp echo-request <BR>ACCEPT udp -- anywhere 0.0.5.220 udp spt:bootps dpt:bootpc <BR>ACCEPT tcp -- anywhere 0.0.5.220 tcp spt:bootps dpt:bootpc <BR>ACCEPT tcp -- anywhere 0.0.5.220 tcp dpt:http <BR>ACCEPT tcp -- anywhere 0.0.5.220 tcp dpt:https <BR>ACCEPT tcp -- anywhere 0.0.5.220 tcp dpt:domain <BR>ACCEPT udp -- anywhere 0.0.5.220 udp dpt:domain <BR>ACCEPT udp -- anywhere 0.0.5.220 udp dpt:http <BR>ACCEPT tcp -- anywhere 0.0.5.220 tcp dpt:pop3 <BR>ACCEPT udp -- anywhere 0.0.5.220 udp dpt:pop3 <BR>ACCEPT tcp -- anywhere 0.0.5.220 tcp dpt:smtp <BR>ACCEPT udp -- anywhere 0.0.5.220 udp dpt:imap <BR>ACCEPT tcp -- anywhere 0.0.5.220 tcp dpt:ftp-data <BR>ACCEPT tcp -- anywhere 0.0.5.220 tcp dpt:ftp <BR>ACCEPT udp -- anywhere 0.0.5.220 udp dpt:ftp <BR>ACCEPT udp -- anywhere 0.0.5.220 udp dpt:ftp-data <BR>ACCEPT tcp -- anywhere 0.0.5.220 tcp dpt:6346 <BR>ACCEPT tcp -- anywhere 0.0.5.220 tcp dpt:1214 <BR>ACCEPT tcp -- anywhere 0.0.5.220 tcp dpt:3913 <BR>ACCEPT udp -- anywhere 0.0.5.220 udp dpt:3913 <BR>ACCEPT tcp -- anywhere 0.0.5.220 tcp dpts:1024:35000 <BR>ACCEPT udp -- anywhere 0.0.5.220 udp spt:isakmp dpt:isakmp <BR>ACCEPT ipv6-crypt-- anywhere 0.0.5.220 <BR>ACCEPT ipv6-auth-- anywhere 0.0.5.220 <BR>ACCEPT udp -- anywhere 0.0.5.220 udp dpts:1024:65535 <BR>ACCEPT tcp -- anywhere 0.0.5.220 tcp dpts:1024:65535 state RELATED,ESTABLISHED <BR>DROP all -- anywhere anywhere <BR> <BR>Chain FORWARD (policy DROP) <BR>target prot opt source destination <BR>DROP tcp -- 192.168.1.0/24 anywhere tcp dpt:10000 <BR>DROP all -- 192.168.1.0/24 ibucp-vip-m.blue.aol.com <BR>DROP all -- 192.168.1.0/24 ibucp-vip-d.blue.aol.com <BR>DROP all -- 192.168.1.0/24 bucp1-vip-m.blue.aol.com <BR>DROP all -- 192.168.1.0/24 bucp2-vip-m.blue.aol.com <BR>DROP all -- 192.168.1.0/24 64.4.13.0/24 <BR>DROP all -- 192.168.1.0/24 80.15.236.39 <BR>DROP all -- 192.168.1.0/24 80.15.236.6 <BR>DROP all -- 192.168.1.0/24 80.15.236.17 <BR>DROP all -- 192.168.1.0/24 80.15.236.22 <BR>DROP all -- 192.168.1.0/24 80.15.236.23 <BR>DROP all -- 192.168.1.0/24 80.15.236.24 <BR>DROP all -- 192.168.1.0/24 80.15.236.31 <BR>DROP all -- 192.168.1.0/24 80.15.236.32 <BR>DROP all -- 192.168.1.0/24 80.15.236.38 <BR>drop-lan tcp -- anywhere anywhere tcp dpt:sunrpc <BR>drop-lan udp -- anywhere anywhere udp dpt:sunrpc <BR>drop-lan tcp -- anywhere anywhere tcp dpts:netbios-ns:netbios-ssn <BR>drop-lan udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn <BR>drop-lan tcp -- anywhere anywhere tcp dpt:635 <BR>drop-lan udp -- anywhere anywhere udp dpt:635 <BR>ACCEPT all -- anywhere anywhere <BR>ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED <BR>LOG all -- anywhere anywhere limit: avg 3/min burst 3 LOG level debug prefix `Stray FORWARD packet: ' <BR>ACCEPT all -- anywhere anywhere <BR> <BR>Chain OUTPUT (policy DROP) <BR>target prot opt source destination <BR>ACCEPT all -- anywhere anywhere <BR>ACCEPT all -- anywhere anywhere <BR>ACCEPT icmp -- 0.0.5.220 anywhere <BR>ACCEPT tcp -- 0.0.5.220 anywhere tcp spt:bootpc dpt:bootps <BR>ACCEPT udp -- 0.0.5.220 anywhere udp spt:bootpc dpt:bootps <BR>ACCEPT tcp -- 0.0.5.220 anywhere tcp spt:http <BR>ACCEPT tcp -- 0.0.5.220 anywhere tcp spt:https <BR>ACCEPT tcp -- 0.0.5.220 anywhere tcp spt:domain <BR>ACCEPT udp -- 0.0.5.220 anywhere udp spt:domain <BR>ACCEPT udp -- 0.0.5.220 anywhere udp spt:http <BR>ACCEPT tcp -- 0.0.5.220 anywhere tcp spt:pop3 <BR>ACCEPT udp -- 0.0.5.220 anywhere udp spt:pop3 <BR>ACCEPT tcp -- 0.0.5.220 anywhere tcp spt:smtp <BR>ACCEPT udp -- 0.0.5.220 anywhere udp spt:imap <BR>ACCEPT tcp -- 0.0.5.220 anywhere tcp spt:ftp-data <BR>ACCEPT tcp -- 0.0.5.220 anywhere tcp spt:ftp <BR>ACCEPT udp -- 0.0.5.220 anywhere udp spt:ftp <BR>ACCEPT udp -- 0.0.5.220 anywhere udp spt:ftp-data <BR>ACCEPT tcp -- 0.0.5.220 anywhere tcp spt:6346 <BR>ACCEPT tcp -- 0.0.5.220 anywhere tcp spt:1214 <BR>ACCEPT tcp -- 0.0.5.220 anywhere tcp spt:3913 <BR>ACCEPT udp -- 0.0.5.220 anywhere udp spt:3913 <BR>ACCEPT tcp -- 0.0.5.220 anywhere tcp spts:1024:35000 <BR>ACCEPT udp -- 0.0.5.220 anywhere udp spt:isakmp dpt:isakmp <BR>ACCEPT ipv6-crypt-- 0.0.5.220 anywhere <BR>ACCEPT ipv6-auth-- 0.0.5.220 anywhere <BR>ACCEPT tcp -- 0.0.5.220 anywhere tcp spts:1024:65535 <BR>ACCEPT udp -- 0.0.5.220 anywhere udp spts:1024:65535 <BR>DROP all -- anywhere anywhere <BR> <BR>Chain accept-log (0 references) <BR>target prot opt source destination <BR>LOG all -- anywhere anywhere LOG level warning prefix `Accept with log: ' <BR>ACCEPT all -- anywhere anywhere <BR> <BR>Chain drop-lan (6 references) <BR>target prot opt source destination <BR>LOG all -- anywhere anywhere LOG level warning prefix `Drop - LAN only: ' <BR>DROP all -- anywhere anywhere <BR> <BR>Chain drop-log (0 references) <BR>target prot opt source destination <BR>LOG all -- anywhere anywhere LOG level warning prefix `Drop with log: ' <BR>DROP all -- anywhere anywhere <BR> <BR>Chain drop-reserved (14 references) <BR>target prot opt source destination <BR>LOG all -- anywhere anywhere LOG level warning prefix `Drop - reserved network: ' <BR>DROP all -- anywhere anywhere <BR> <BR> <BR>#iptables -t nat -L <BR>Chain PREROUTING (policy ACCEPT) <BR>target prot opt source destination <BR>REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 3128 <BR>DNAT tcp -- anywhere 0.0.5.220 tcp dpt:pop3 to:192.168.1.3:110 <BR>DNAT udp -- anywhere 0.0.5.220 udp dpt:pop3 to:192.168.1.3:110 <BR>DNAT tcp -- anywhere 0.0.5.220 tcp dpt:smtp to:192.168.1.3:25 <BR>DNAT tcp -- anywhere 0.0.5.220 tcp dpt:http to:192.168.1.5:80 <BR>DNAT udp -- anywhere 0.0.5.220 udp dpt:http to:192.168.1.5:80 <BR> <BR>Chain POSTROUTING (policy ACCEPT) <BR>target prot opt source destination <BR>ACCEPT all -- anywhere anywhere <BR>SNAT tcp -- 192.168.1.0/24 camille tcp dpt:pop3 to:192.168.1.1 <BR>SNAT udp -- 192.168.1.0/24 camille udp dpt:pop3 to:192.168.1.1 <BR>SNAT tcp -- 192.168.1.0/24 camille tcp dpt:smtp to:192.168.1.1 <BR>SNAT tcp -- 192.168.1.0/24 pc_test tcp dpt:http to:192.168.1.1 <BR>SNAT udp -- 192.168.1.0/24 pc_test udp dpt:http to:192.168.1.1 <BR>MASQUERADE all -- anywhere anywhere <BR> <BR>Chain OUTPUT (policy ACCEPT) <BR>target prot opt source destination <BR> <BR>Voilà pour le contenu de iptables. <BR>Pour info, le serveur a l'adresse IP locale 192.168.1.1 et les autres postes <BR>192.168.1.3 camille <BR>192.168.1.4 clothilde <BR>192.168.1.5 pc_test <BR> <BR>Ces infos sont utiles? En regardant tous cela, (je ne m'y connais pas trop) j'ai l'impression que c'est correct. <BR>Mais est-ce qu'il n'y a pas un ordre à respecter? <BR>Peut être est ce cela? <BR> <BR>Est ce que je peut utiliser les mêmes règles que tu as écrites pour IPCOP, mais sur une CC 2.0? <BR> <BR>Aidez moi s'il vous plait!!!! <BR> <BR>Merci à toi Antolien. <BR> <BR>Lenode

[lenode]

Salut, <BR> <BR>Personne peut me répondre? <BR> <BR>C'est trop compliqué? <BR> <BR>Help me!!!!!! <BR>Aidez moi!!!!! <BR> <BR>J'y arriverai pas seul. <BR> <BR>J'ai lu un peu de doc sur iptable pour comprendre le post précédent mais j'ai du mal. <BR> <BR>Aidez moi please. <BR> <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_help.gif"> <BR> <BR> <BR>Lenode

[lenode]

Salut, <BR>Je sais pas pourquoi, mais mon cas ne vous interresse vraiment pas. <BR>C'est pas bien gràve. <BR>Je me débrouillerai tout seul. <BR>C'est dommage. C'est tout. <BR>Aurevoir. <BR>Lenode <IMG SRC="images/smiles/icon_cussing.gif">

[tomtom]

Hola, faut pas faire une crise, on repond pas soit parcequ'on sait pas, soit parcequ'on a pas le temps, et aussi parcequ'il y a des sujets qu'on prefere à d'autre.. <BR> <BR>On est ici pour s'aider, chacun donne ce qu'il veut ! Non mais.... <BR> <BR>Sinon, tu dis qu'il y a des ports ouverts.. Qu'est ce que tu appelles "des ports ouverts" ? Tu as testé depuis l'exterieur ? avec quoi ? as-tu essaye le scan de ixus ? celui de grc.com ? <BR>Tu as quoi dans tes logs ? <BR>Pose des questions precises, et on te repondra.. Ce que je peux te dire, c'est qu'il y a beaucoup de bazar dans tes regles iptables.. <BR>Tu as fait de nombreuses modifs dans les règles? Comment as-tu configuré ton firewall.. etc.... <BR> <BR>Alles, fais des efforts de ton coté, pose des questions claires et non pas vagues, et tu auras des reponses ! <BR> <BR>Au boulot ! <BR> <BR>t.

[svart]

Moi je veux bien essayer d'aider, mais c'est vrai que ça manque de précision... <BR> <BR>Comment as-tu installé ton IPCop ? Comment l'as-tu configuré ? <BR> <BR>Si tes ports sont ouverts c'est parce qu'un service ou un démon est lancé au démarrage... Par exemple, j'ai réalisé que sur ma MNF j'avais un port 111 ouvert... Jamais demandé ça, moi ! <BR> <BR>C'était lancé dans un fichier de conf, et pis c'est tout. Je m'y connais peu, j'ai eu du mal à le supprimer, heureusement Jacques m'a filé un coup de main. Je l'ai fait à l'arrache (en supprimant la référence dans /etc/rc.d) mais bon, c'est "fermé". <BR> <BR>Je sais que quand ça déconne la pression monte, et on souhaite de l'aide. Ca m'arrive aussi, ça se répère quand les gens se répondent à eux-même (cherche mes posts, tu en trouveras !). <BR> <BR>Si c'est pas pressé, prends le temps de poser ton problème, tu gagneras beaucoup de temps : les réponses seront précises et généralement pertinentes, c'est pas pour cafter, mais y'a pas mal de gens sympa et compétents ici. <BR> <BR>Te décourage pas !

[grosbedos]

pareil que tomtom <BR>euh oui tes tests tu les as fait d'ou?? <BR> <BR>car tu le fait sur l'ip externe c'est bien mais si tu le fait depuis ton lan .... c'est certainement ouvert oui.