Fermer un port d'entrée

[EggY]

blop les amis,

je viens donc comme tout parfait petit administrateur en herbe de tester les ports ouvert sur ma SME (qui est en passerelle et serveur privés) et vla-ti pas que il ya des ports d'ouvert. Je me dis alors "fastoche, je vais les bloquer avec ma super contrib sme-6.0-masq-manager-0.1-2.noarch.rpm" mais vla-ti pas (hé oué que de péripéties) que j'ai beau vouloir bloquer mes ports visibles depuis l'exterieur en les ajouant un par un par par l'interface oueb, ils restent toujours aussi visibles. J'ai donc tenté de bloquer du port 25 à 443 (puisque j'ai le port 25 80 113 et 443 d'ouvert) d'un seul coup mais ca marche pas plus
Donc cette contrib déconne-t-elle ou c'est moi qui m'y prend mal (ca doit surement être ca :p). Merci de m'éclairer.
Bye.

[Muzo]

Salut,

La contrib ne fait pas du "blocage de port", ni de "fermeture de port", mais du "deny de port".

Il interdit les ports en sortie de ton lan vers internet, c'est pour bloquer des trucs comme le p2p, icq, ...., sans empêcher ton serveur web, ftp de tourner et d'être accessible depuis internet.

Donc cette contrib ne ferme pas les ports. Pourquoi? Parce qu'il est idiot dans un script de firewall d'ouvrir un port pour le fermer ensuite. Il est plus simple de ne pas l'ouvrir.

Donc si tu veux les fermer, tu modifies les tempaltes du firewall à la main.

[Sitecreator]

salut, je m'incruste au sujet :

où trouve-t-on le fichier de configuration manuel du firewall ??

merci

[Muzo]

dans :

Code: Tout sélectionner

/etc/e-smith/templates/etc/rc.d/init.d/masq/

[Sitecreator]

Merci pour l'info, ça peut toujour être utile

à plus

[EggY]

effectivement j'ai pu m'appercevoir ce matin que cette contrib bloquer les ports de sorties j'ai recu plein de coup de fil d'utilisateur n'arrivant pu à recevoir leur mail.
Merci Muzo pour l'info je vias jeter un oeil dans le templates du firewall.

[EggY]

zou, bon j'ai regardé un peu les templates, j'ai cru en comprendre le fonctionnement "théorique" dirons-nous avec le site de Gran`Pa mais je dois dire que je ne sais pas trop où aller pour fermer mes ptits ports. Alors si vous pouviez m'orienter un peu ca serait fort sympathique.
Merci bien.

[Muzo]

De mémoire (pour la 5.6, mais la pour 6.1 je crios que c'est pareil) il doit y avoir un tableau qui est déclaré avec les ports à ouvrir, du style :

Code: Tout sélectionner

ALLOW=20 21 80 443 113 110 25

Bon je ne suis plus sur, mais c'est un truc dans ce goût là. Il faudra supprimer le port qui ne te convient pas.

[EggY]

hum je vois pas quel fichier tu veux parler. J'ai affiché tout les fichiers contenu par le template. et par contre j'ai de fichiers 45AllowHTTP 45AllowSMTP 45AllowHTTPS ... serait-ce ces fichiers qu'il faut modifier et si oui que modifier à l'interieur ?

[Muzo]

Oui c'est vrai c'est cela (ca fait un an que j'ai développé tout ca et j'ai déjà oublié).
Ben je ne sais plus ce qu'il y'a dedans mais tu dois avoir la valeur numérique.

Si tu veux le supprimer, dans templates-custom, tu fais un fichier avec un nom identique, mais avec un code vide.

[EggY]

simple précision : c'est quoi la diff entre le dossier template tout court et template-custom ?


Edit 15:18 : bon je viens de faire la manip décrite : copie des fichiers 45AllowHTTP 45AllowHTTPS 45AllowSMTP 45AllowAuth de .../templates/.../masq vers .../template-custom/.../masq puis j'ai vidé le contenu de ces fichiers, j'ai redémarrer le serv et .. cela ne fonctionne toujours pas :'( (test de firewall online me trouve toujours ces ports ouverts)


M'y connaissant tres peu dans la manipulation des templates je ne sais pas trop vers quelle piste me tourner pour résoudre ce problème. Alors si vous avez une tite idée je suis preneur.

merci bcp.

Edit 16:00 : la suite de mes aventures.
bon je viens de trouver sur le forum une autre manip pour fermer les ports 25 et 80 :
j'essaye donc ainsi :
Pour le port 80 HTTP

Code: Tout sélectionner

/sbin/e-smith/config setprop httpd-e-smith access private

Pour le port 25 SMTP

Code: Tout sélectionner

/sbin/e-smith/config setprop httpd-e-smith access private

et cette commande qui je ne sais pas trop à quoi elle sert à part peut-etre a relancer le "service" (si vous pouviez me confirmer)

Code: Tout sélectionner

/sbin/e-smith/signal-event remoteacesse-update

Bon j'essaye donc un nouveau test de firewall online en me disant "bon beh je devrais plus avoir les ports 80 et 25 d'ouvert mais je devrais toujours avoir le 113(Auth) et le 443 (https) d'ouvert" (vous me suivez jusque là ?)
Mais,par toutatis, que vois-je à la fin du test, mes 4 ports sont désormais masqués.
Alors allons savoir pourquoi ?
Je me dit que la commande

Code: Tout sélectionner

/sbin/e-smith/signal-event remoteacesse-update

a reinitialiser les modifs faites avec la copie des fichiers plus haut. (Mais bon un reboot du serveur devrait normalement suffire) donc je comprends pas trop trop du tout


Voilà donc si vous avez suivi mon histoire (surement un peu confuse) et que vous pouvez répondre à mes différentes interrogations ca serait super sympa. Sur ce bonne journée et merci de votre aide.

[EggY]

ah je n'ai plus accès à mon server-manager.
je vais pas y arriver je crois.

[Muzo]

1- le répertoire template-custom sert à redéfinir les templates se trouvant dans le répertoire template, car si tu t'es vautré dans tes modifications, tu effaces ce qu'il y'a dans template custom et ton serveur repart en le redémarrant

2- Nan tout faut, après modification des gabarits, il fallait faire :

Code: Tout sélectionner

/sbin/e-smith/expand-template /etc/rc.d/init.d/masq

pour déployer les templates.

3- j'avais oublié la commande pour fermer apache

[EggY]

j'ai l'impression que le fait de bloquer le port 80 empeche l'accès à server-manager.

[Muzo]

C'est fort probable.