Parefeu accès groupware

[gregoose]

Bonjour,

Je me présente, Gregoose,

Je suis amené a utiliser et administrer des serveurs de tout types, et j'aime particulièrement la partie réseau.Je connais Ixus depuis pas mal d'année et j'ai toujours consulté, sans participer; ben ca y'est c'est rétablis

J'arrive tout de suite comme ca avec mes gros sabots, car j'ai une question :

Sur un serveur LAMP un groupware tourne (groupoffice); je paramètre un compte gmail dessus, parfait ça fonctionne.

Par contre quand je veux appliquer mon script iptables pour sécuriser mon serveur, je n'arrive plus à accéder a mon arborescence IMAP gmail, ni a envoyer de mails, bref SMTPS ET IMAPS sont bloqués.....je vide mes règles et recharge ma page et hop l'accès aux maisl est rétabli.

Je précise que j'ai tester mon script, que de nombreux autres services dépendent de ces règles, donc qu'il n'y a pas de problème de syntaxe, que j'ai autorisé les port 465 et 993 (SMTPS ET IMAPS Google) bien entendu, mais rien n'y fait.

Exemple:

Code: Tout sélectionner


Pour vous montrer la syntaxe habituel que j'utilise :

[b]-quand je veux accéder a distance a mon serveur j'ai comme règle[/b]

iptables -t filter -A INPUT -p tcp --dport $PORTSSH -j ACCEPT

[b]-quand je veux autoriser postfix pour les mails sortant:[/b]

iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT

Voici la partie de syntaxe concernant les ports mails:


# Mail
#iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
echo - Autoriser serveur SMTP sortant OK : [OK]

# Mail SMTPS:465
iptables -t filter -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT

# Mail IMAP:143
#iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

# Mail IMAPS:993
iptables -t filter -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 993 -j ACCEPT




[/code]

Ma question est de savoir de quels ports dépendent réellement les accès gmail (SMTPS ET IMAPS) car quand je laisse la porte ouverte (meme ici dans l'exemple ou j'ai laissé pour les 2 protocole l'accès in et out) pour ces portes ca coince ?


Bien à vous,

Gregoose

[jdh]

(C'est un bon début : il y a des infos, on expose la logique, ... bref on va dans la bonne direction ...)


Quelle est la plateforme Linux utilisée ?
(Il y a-t-il un un firewall dédié ?)
As tu pensé à un générateur de script comme Shorewall ou ufw ?


Ce script ne peut fonctionner.

Premièrement, il me semble une incompréhension : Netfilter/Iptables a apporté la gestion des "états" des sessions : cela simplifie considérablement l'écriture des scripts : on valide les paquets "faisants partis" d'une session établie (state Established ou Related), et on écrit seulement les règles pour l'initialisation de la session (state New).

Illustration : OUTPUT + -p tcp --dport 143 : ne peut fonctionner !

On écrira plutôt quelque chose comme :

Code: Tout sélectionner

# paquet retour
iptables -A OUTPUT -m state -state RELATED,ESTABLISHED -j ACCEPT

# accès IMAP
iptables -A INPUT -m state -state NEW -p tcp --dport 143 -j ACCEPT

Deuxièmement, il y a beaucoup plus de choses à créer ... Il est bien plus simple d'utiliser des générateurs de scripts : je conseille Shorewall qui est assez puissant tout en restant simple (une fois qu'on a compris).


Pour rester sur un script à la mano, un site à lire (et relire) : http://irp.nain-t.net/doku.php/130netfilter:start (Merci Christian Caleca !)

[gregoose]

Salut jdh, et merci pour ta réponse rapide !

Alors c'est un serveur GNU/Linux Debian 5.0 ETCH bien à jour, le parefeu est directement intégrée au noyau (netfilter)je n"utilise pas de logiciel pour le paramétrer (juste un fichier conf iptables)

Pour les exemples que j'ai mis il ne s'agit pas de l'intégralité de mon script, juste de la partie mail; mon script est sale, je le reconnait (plusieurs fois des même règles mais elles sont commenter #) mais il fonctionne pour mes autres services (par exemples monit sur le port 9475 est effectivement accessible ou non accessible quand je lance le script)

Je vais aller voir ce dont tu parles (générateur de fw,etc..) merci pour les infos.



Je te post mon script ici complet, qui fonctionne (à part le mail)

Donc c'est mon iptables.up.rules lancé à la mimine par un #:/etc/sh iptables.up.rules

Code: Tout sélectionner


#!/bin/bash
###############################################################################
# NOM: Greg
# DATE: 20 octobre 2009
# COMMENTAIRE : Gestion de la sécurité réseau v1.4
###############################################################################

# Configuration
PORTSSH=xxxxx


# Active les differents filtres necessaires

# No Spoofing ! On evite de se faire piquer notre IP Publique...
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
    for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
    do
        echo 0 > filtre
    done
fi

# No ICMP ! ... On interdit les reponses ICMP (Ping, Traceroute, ...)
if
# Je veux répondre au ping  [ -e /proc/sys/net/ipv4/icmp_echo_ignore_all ] &&
   [ -e /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts ] &&
   [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ]
then
# je veux répondre au ping   echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

# Desactive les redirections ICMP !
for filtre in /proc/sys/net/ipv4/conf/*/accept_redirects
do
    echo 0 > filtre
done

for filtre in /proc/sys/net/ipv4/conf/*/send_redirects
do
    echo 0 > filtre
done

# Desactive les Packets Sources Routes
for filtre in /proc/sys/net/ipv4/conf/*/accept_source_route
do
    echo 0 > filtre
done

# Log Packets Spoofes, Source Routes, Rediriges !
for filtre in /proc/sys/net/ipv4/conf/*/log_martians
do
    echo 1 > filtre
done

# Protection SYNCOOKIES
if [ -e /proc/sys/net/ipv4/tcp_syncookies ]
then
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

# Reduit les possibilites d'attaque DoS (Denial Of Service)
## par reduction des timeouts
if [ -e /proc/sys/net/ipv4/tcp_fin_timeout ] &&
    [ -e /proc/sys/net/ipv4/tcp_windows_scaling ] &&
    [ -e /proc/sys/net/ipv4/tcp_timestamps ] &&
    [ -e /proc/sys/net/ipv4/tcp_sack ] &&
    [ -e /proc/sys/net/ipv4/tcp_max_syn_backlog ]
then
    echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
    echo 0 > /proc/sys/net/ipv4/tcp_windows_scaling
    echo 0 > /proc/sys/net/ipv4/tcp_timestamps
    echo 0 > /proc/sys/net/ipv4/tcp_sack
    echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog
fi


###### Debut Initialisation ######

# Vider les tables actuelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]

# Interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]

# Interdire toute connexion sortante
iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]

# Autoriser SSH
iptables -t filter -A INPUT -p tcp --dport $PORTSSH -j ACCEPT
echo - Autoriser SSH : [OK]

# Ne pas casser les connexions etablies
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]

###### Fin Inialisation ######

##### Debut Regles ######

# Autoriser les requetes DNS, HTTP, HTTPS, NTP, WHOIS en sorti
#iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
#iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
#iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 43  -m state --state NEW -j ACCEPT
#echo - Autoriser les requetes DNS, HTTP, HTTPS, NTP, WHOIS : [OK]

# Autoriser les requetes FTP
#iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT     
#iptables -t filter -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
#echo - Autoriser les requetes FTP : [OK]

#FTP actif
#iptables -t filter -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
#iptables -t filter -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
#echo - Autoriser les requetes FTP mode actif : [OK]

#FTP passif
#modprobe ip_conntrack_ftp
#iptables -t filter -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -t filter -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
#echo - Autoriser les requetes FTP (mode passif) : [OK]

#Monit
iptables -t filter -A INPUT -p tcp --dport 9475 -j ACCEPT

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autoriser loopback : [OK]

# Autoriser ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]

# NTP Out
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
echo - Autoriser serveur Apache : [OK]

# FTP
#modprobe ip_conntrack_ftp
#iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
#iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#echo - Autoriser serveur FTP : [OK]

# Mail
#iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
echo - Autoriser serveur SMTP sortant OK : [OK]

# Mail SMTPS:465
iptables -t filter -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT

# Mail IMAP:143
#iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

# Mail IMAPS:993
iptables -t filter -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 993 -j ACCEPT


# DMA Monitoring Dedibox
iptables -t filter -A INPUT -s 88.191.254.0/24 -p tcp --dport 161 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -s 88.191.254.0/24 -p udp --dport 161 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -d 88.191.254.0/24 -p tcp --sport 161 -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -d 88.191.254.0/24 -p udp --sport 161 -m state --state ESTABLISHED -j ACCEPT
echo - Autoriser DMA Monitoring Dedibox : [OK]

# Log des paquets rejetes dans /var/log/messages
#echo + Regles log des paquets rejetes ([IN/FO/OU_PKTS_DROP]==>)
#iptables -A INPUT -j LOG --log-prefix="[IN_PKTS_DROP]==> "
#iptables -A FORWARD -j LOG --log-prefix="[FO_PKTS_DROP]==> "
#iptables -A OUTPUT -j LOG --log-prefix="[OU_PKTS_DROP]==> "
#echo - Activer le log sur les paquets rejetes : [OK]

###### Fin Regles ######

iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
echo - Limiter le Syn-Flood : [OK]


# Regles de Destruction !!!
#
# Detruit les connexions sur l'interface <- Internet qui aurait pour adr_ip celles d'une classe privee !
## Une variante de 'no-spoofing' !

iptables -N SPOOFED
iptables -A SPOOFED -s 127.0.0.0/8 -j DROP # adr de Loopback
iptables -A SPOOFED -s 10.0.0.0/8 -j DROP # adr Class A privee
iptables -A SPOOFED -s 169.254.0.0/12 -j DROP # adr Link Local Network
iptables -A SPOOFED -s 172.16.0.0/12 -j DROP # adr Class B privee
iptables -A SPOOFED -s 192.0.2.0/24 -j DROP # adr TEST-NET
iptables -A SPOOFED -s 192.168.0.0/24 -j DROP # adr Class C Privee
iptables -A SPOOFED -s 224.0.0.1/4 -j DROP # adr Class D MultiCast
iptables -A SPOOFED -s 240.0.0.0/4 -j DROP # adr Class E Reservee
echo - Bloquer le Spoofing : [OK]

# Vidage des regles pour toutes les tables
#ip6tables -F

# permet l'effacement de toutes les chaines qui ne sont pas par defaut dans la
# table filter
#ip6tables -X

# IPV6
#ip6tables -P INPUT DROP
#ip6tables -P OUTPUT DROP
#ip6tables -P FORWARD DROP
#echo Flushing rules (ip6)
#ip6tables --flush
#ip6tables --flush INPUT
#ip6tables --flush OUTPUT
#ip6tables --flush FORWARD
#ip6tables --flush -t mangle
#ip6tables --delete-chain
#echo - Interdire IPv6 : [OK]

# Pour eviter de pourrir mes logs
#ip6tables -t filter -A INPUT -p icmpv6 -j DROP

# Log des paquets rejetes dans /var/log/messages
#echo + Regles log des paquets rejetes ([IN/FO/OU_PKTS_DROP_IP6]==>)
#ip6tables -A INPUT -j LOG --log-prefix="[IN_PKTS_DROP_IP6]==> "
#ip6tables -A FORWARD -j LOG --log-prefix="[FO_PKTS_DROP_IP6]==> "
#ip6tables -A OUTPUT -j LOG --log-prefix="[OU_PKTS_DROP_IP6]==> "
#echo - Activer le log sur les paquets IPv6 rejetes : [OK]

/etc/init.d/fail2ban start

echo "  + ======================== SCRIPT TERMINE! ========================="
echo "  + Afficher la configuration de la table filter : 'iptables -L -n -v'"
echo "  + Ou 'iptables -L -n -v -t nat ou mangle' pour les autres tables"
echo "  + Afficher la configuration de la table filter : 'ip6tables -L -n -v'"
echo "  + Ou 'ip6tables -L -n -v -t nat ou mangle' pour les autres tables"
echo "  + =================================================================="


ce script fonctionne donc, mais ne permet pas a un groupware de communiquer avec gmail, meme quand SMTPS ET IMAPS ouvert en IN et OUT ....

++

[jdh]

Sous Debian Lenny, Shorewall est à la version 4.0.15.

Le site de Shorewall est situé à http://www.shorewall.net/

Shorewall est le type même de "killer application" : on essaye et on oublie tout ce qu'on a fait auparavant !

Ce script est intéressant mais très lié au contexte. Il y a beaucoup de choses qui sont tout à fait valide (spoofing, martians, ...)

Mais franchement, il faut essayer Shorewall ...

[gregoose]

Oui clairement lié au contexte de ce serveur (une dedibox, comme tu as vu).

Ok, tu m'as convaincu je vais jeter un coup d'oeil de ce pas a shorewall

merci et aplus

Gregoose

[jdh]

Tu n'auras aucune peine à être convaincu : la lecture du résultat d'"iptables -vn -L" montre la qualité de génération (en sus du coté service non présent dans ce script : start stop restart ...).

Il y a peu de fichier à configurer :
- /etc/shorewall/interfaces
- /etc/shorewall/zones
- /etc/shorewall/policy
- /etc/shorewall/masq (pour 2 interfaces ou plus)
- et /etc/shorewall/rules

J'ai l'habitude de regrouper les règles pour en faciliter la lecture :

Code: Tout sélectionner

# net -> fw : ping
accept   net  fw   icmp 8

# fw -> net : ping, dns, http, ftp
accept   fw   net  icmp 8
accept   fw   net  udp  domain
accept   fw   net  tcp  domain,http,ftp

... (et ainsi de suite )



Facile à lire, non ?

[gregoose]

Hello, oui joli syntaxe, j'avoue

Mais même après avoir utiliser shorewall pour générer de propres et efficaces fichiers de conf iptables, j'ai toujours le même problème que je vais reformuler.

En fait vu que c'est gmail le serveur mail, et que mon serveur avec son interface webmail est son client, je me rends compte qu'il était stupide de vouloir ouvrir les ports 465 et 993.

Je suppose donc que comme d'autres services tcp/ip une suite de ports aléatoire supérieur a 10000 (comme souvent) doit resté ouvert pour permettre les échanges entre serveurs SMTPS et IMAPS de google (port 465 et 993 sur les serveurs google) et mon serveurs avec mon clients.

Seulement impossible de trouver dans les specs gmail les ports utilisés.... comment puis je soit analyser mon trafic (via une commande netstat p exemple) pour voir quels sont les ports utilisé quand je fais fonctionner gmail, ou tout simplement qqn connait il les ports "aléatoires" a laisser ouvert pour permettre le dialogue ?

En fait pour élargir ma question quelle règles mettre dans ses config qui permet la connexion a un service en autorisant des ports dynamiquement ? a la rigueur on peut remplacer le contexte mail par FTP, le serveur écoute et accepte les connexions sur le port par défaut 21 mais le client sort de son systeme par d'autres ports aléatoire.

Bien à vous,

Gregoose

[jdh]

Groupoffice serait client gmail ?

S'il est client de gmail, il est client pop3 ou imap, c'est à dire qu'il utilise tcp/110 ou tcp/143.

accept fw net:74.125.79.111 tcp 110
accept fw net:74.125.79.109 tcp 110
ou
accept fw net:216.239.59.109 tcp 143

(il s'agit des adresses ip de pop.gmail.com et imap.gmail.com)


Concernant ces histoires de ports dynamiques, il NE FAUT PAS s'en occuper : avec Shorewall, on ne s'intéresse qu'à l'initialisation de la session, le reste suit TOUT seul.

(d'ailleurs c'est pour ça qu'une règle "iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT " ne PEUT PAS fonctionner !)


Remarque (hors sujet mais connexe):
Pour quelles raisons on choisit le produit Group-Office ?
Je l'ai installé récemment (en suivant le tuto de howtoforge), ça a l'air sympa, mais il manque les possibilités liés au client lourd type CalDav. Donc j'ai laché.
c'est pour cela que le raisonnement m'intéresse.

[gregoose]

Alors en fait, j'ai choisi Groupoffice après avoir écrémé pas mal de solutions webmail: roundcube, opengoo(mal fini, c'est bête car de belles possibilités, mais le service mail est en "béta".... drole d'histoire pour un webmail-groupware d'avoir son mail en béta, je serais dev, ce serait ma priorité!) egroupware, claros intouche, xuheki, opengroupware, agora project, etc... etc....

Pourquoi l'utiliser ? pour avoir accès a ses mails de manière unifié avec plusieurs comptes configurés, (ce qui est pas un sinécure sur un webmail, d'avoir plusieurs comptes imap et que ce soit fluide, hein !!) n'importe ou, bref un client unifié.

Il s'intégre dans une suite logiciel qui compose une "offre" informatique basé sur groupware (micro GED pour les docs, calendrier, mails, contacts, taches) CRM, ERP,E-Learning, joomla pour le site corpo etc... en fonction des besoins précis du client on intégre ou retire un progiciel, le tout en PHP/MySQL.

J'utilise gmail comme provider, car c'est gratuit, car j'ai toute confiance dans l'infrastructure de google, voir, je pense que l'architecture informatique la plus costaud sur terre(exceptés les serveurs racines DNS), que le spectre d'application deployé entre google docs calendar mail etc... est vraiment bien construit et de qualité, a titre personnel j utilise la suite google doc depuis 2006 avec grand plaisir ! et que les options récentes de google app permettent de faire pointer ses domaines vers les apps google (doc, calendar,etc..).

Du coup le client a son nom de domaine qui correspond a son compte gmail type lambda@cool.com, avec ses différents clients (webmail, crm etc) ou il peut accéder de n'importe ou, le tout à la sauce SSO.

Donc en l'occurrence, oui, groupoffice est mon client (installé sur mon serveur), ou les paramètres gmail.com en mode ssl sont paramétrés : 465 et 993 SMTPS ET IMAPS.

Mais il s'agit ici des ports serveurs de google, pas des ports "clients"; donc mis a part la gestion dynamiques des ports aléatoire, quoi qu'il arrive, si je n'utilise ni serveur SMTP ni serveur IMAP en local sur ma machine, les ports 465 et 993 n'ont pas a être ouvert ?? n'est ce pas ?

Bien à vous,

Gregoose