nandao a écrit 4 commentaires

Quand je lance un telnet sur le port 25 et que mon serveur smtp qui est d'ailleurs un serveur exchange, est derrière le firewall,

il y a un connexion qui s'établit mais celle-ci tombe avant d'avoir le dialogue HELO qui commence.

Depuis mon pare-feu, je n'arrive pas à faire un telnet du serveur smtp.
J'ai une réponse du style:

"escape caracter:^]
Host closed connection
"
Ce que je ne comprends pas c'est que mon serveur SMTP fonctionne parfaitement sur l'interface publique et que j'arrive très bien à faire un telnet sur le port 25 lorsque celui-ci n'est pas derrière le firewall

Voici le script qur j'utilise:

#!/bin/sh
# script /etc/firewall.sh
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Activation du forwarding :[OK]\n"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
echo "Annulation du spoofing:[OK]\n"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "[Desactivation de icmp]:[OK] \n"



modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat

echo "Chargement des modules:[OK]\n"



iptables -F
iptables -X
echo "Règles videes:[OK]\n"

iptables -N LOG_DROP


iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP


iptables -N LOG_ACCEPT
iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : '
iptables -A LOG_ACCEPT -j ACCEPT

echo "Chaine de logs crées:[OK]\n"

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
echo "Politique par défaut:[OK]\n"

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
echo "Règles d'initialisation :[OK]\n"


iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -i eth0 -m state --state ESTABLISHED -p tcp --sport 80 -j ACCEPT

iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -i eth0 -m state --state ESTABLISHED -p tcp --sport 80 -j ACCEPT

iptables -t nat -A PREROUTING -d xxx.yyy.zzz.ttt -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80

iptables -t nat -A PREROUTING -d xxx.yyy.zzz.ttt -p tcp --dport 25 -j DNAT --to-destination 192.168.0.2:25



iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -o eth1 -i eth0 -j ACCEPT


iptables -A FORWARD -i eth0 -o eth1 -p tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT


iptables -A FORWARD -o eth0 -i eth1 -p tcp --source-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT


iptables -A FORWARD -i eth0 -o eth1 -p tcp --destination-port 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o eth0 -i eth1 -p tcp --source-port 25 -m state --state ESTABLISHED -j ACCEPT


iptables -A FORWARD -j LOG_DROP
iptables -A INPUT -j LOG_DROP
iptables -A OUTPUT -j LOG_DROP

echo " [Firewall opérationnel] \n \n"

SMTP biensûr...

J'utilise un serveur exchange 2003.
Mon firewall fait du nat.
Quanf je regarde es trames arrivant sur mon serveur exchange,
je vois un dialogue SMTP qui a pour source l'interface de sortie de mon firewall