hello,  
 
Question peut être bête ...
 
j'ai installé un routeur avec des règles iptables. L'OS est mandrake 10.2. Le surf fonctionne sans problème. J'ai un utilisateur qui souhaite consulter son mail sous outlook. Son mail est hébergé chez Wanadoo.
Quelle règle ajouter pour que cette consultation puisse être faite ? Je souhaite que la consultation ne puisse être faite qu'à partir d'un poste dont je connais l'adresse IP. L'option -s @IP est elle suffisante ?
 
Merci

oui mais ca sera beaucoup trop large
match sur l'adresse ip source et les ports en destination (25 pour le smtp et 110 pour le pop3 en sortie)
+ regle established

oui je suis tout à fait d'accord avec toi ...
 
Les règles suivantes peuvent correspondre ?
 
iptables -A INPUT -p tcp --dport smtp -j ACCEPT
iptables -A OUTPUT -p tcp --dport pop3 -j ACCEPT  
 
Et pour ne pemettre l'accès à ces services qu'à 1 machines? Si j'ajoute dans les deux règles -s @IP  ca fonctionne ?
 
Merci

non, c'est sur la chaine FORWARD qu'il faut placer ces regles.
restreint également l'interface d'entrée et de sortie
et n'oublie surtout pas la regle ESTABLISHED pour les flux retours.
 
restreint également avec -s @IP

Comme ca ?
 
iptables -A FORWARD -p tcp -s @IP --dport smtp -j ACCEPT  
iptables -A FORWARD -p tcp -s @IP --dport pop3 -j ACCEPT  
 
Par contre je vois pas sur ESTABLISHED

iptables -A FORWARD -p tcp -s @IP --dport smtp -m -state --state ESTABLISHED -j ACCEPT par exemple
 
les ETATS sont: NEW, ESTABLISHED, RELATED, INVALID (les plus courant)
 
si tu as un une connexion qui doit avoir les 3 premiers ca donne
-m -state --state NEW, ESTABLISHED, RELATED
mais au lieu de taper tout ca  
-m -state --state !INVALID (le "!" ca fait la négation)
 

ok ok tu as du remarqué que je débutais Ton aide m'a été plus que préciseuse et je t'en remercie.
 
Je vais essayer ca

Surtout n'hesite pas car iptables c'est la galère au début et après c'est du bonheur...
 
Au moins, tu vois la je vais enlever iptables pour avoir un vrai firewall materiel... mais iptables c'est super car j'ai compris comment fonctionner un firewall... et maintenant je suis a l'aise avec n'importe quel firewall ^^
 
n'hesite pas à nous demander...  
 
 
Ah oui un conseil quand tu fais une regle iptables, lit la à voix haute ^-^ ca aide du genre pour cette ligne
 
iptables -A FORWARD -p tcp -s @IP --dport smtp -m -state --state ESTABLISHED -j ACCEPT par exemple  
 
iptables (-t filter >> c'est par default donc pas besoin de le marqué mais si tu fais du nat ou du mangle, tu es obligé de mettre iptables -t nat -A FORWARD .... ou iptables -t mangle -A FORWARD)
 
alors je reprend
 
J'ajoute (-A) à ma config firewall sur la règle FORWARD (Faire suivre) sur le protocole tcp dont l'adresse IP source est @IP en destination du port smtp dont l'état est établie et je l'accepte
 
Il faut tout le temps bien relire c'est regle ^^

hé éh encore moi )
 
je viens de tester la règle et j'ai un msg d'erreur qui est  :  
 
iptables v1.2.9: Couldn't load match `--state'lib/iptables/libipt_--state.so: cannot open shared object file: No such file or directory
 
 
Ca veut dire quoi ? et comment le résoudre ?
 
M règle est :  
 
iptables -A FORWARD -p tcp -s 192.168.1.200 --dport smtp -m --state !INVALID -j ACCEPT
 
 
 
Merci

tu as oublié "state"
..... -m state --state .....

j'ai essayé mais ca fait pareil ...

retire le -
"-m state --state"

j'ai maintenant un bad state : !INVALID
 

Mets un espace entre ! et INVALID

haaaaaaaaaaa ben si c'est simple ...
C'est clair que ca marche mieux avec un espace...
 
Encore merci pour ces explications et cette aide

bon nouveauté ....
 
J'ai plus de message d'erreur sur le firewall. Mais bon coté client ... J'ai comme msg d'erreur  : erreur socket 11001. Et la j'ai regardé un peu ... c'est le serveur qui n'est pas joignable...
 
Elle est ou mon erreur ? Le fait que je mette que le protocole tcp et pas le udp ?? Mais la messagerie c'est bien en mode connecté non et donc en tcp ?  Je me trompe ?
 
Une solution ??
 
Merci

j'ia parcouru rapidement, alors ptet que c'est deja dis, mais :
 
Tu autorise les connexuion sortantes avec -s @ip et -dport smtp.
t'a pensé aussi a autoriser le retour ?
-sport smtp -d @ip dans une autre regle ? paske sinon, tu pourra te connecter au serveur, mais c'est tout

ta technique est dégueulasse, netfilter fait du statefull. autant l'utiliser.

state full pour la table forward alors.
paske pas sur filter.
 
C'était juste un suggestion.  

FORWARD c'est une chaine
filter c'est une table
 
pour faire du statefull il suffit d'utiliser les matches  state ou conntrack avec les états ESTABLISHED et RELATED et NEW dans n'importe quelle chaine de n'importe quelle table.
 
Sans oublier de loader les modules conntrack adequat...a

en fait si tu utilises ta regle -sport smtp -d @ip
tu risques de  permettre à tout le monde de se connecter chez toi. Eux ils se fixent en port source le port 25 (smtp) et tu l'as bien profond...

 
T'es sur que t'abuse pas un peu ?    
Suffit de faire cette regle en RELATED, ESTABLISHED, et de pas mettre NEW  

Ben oui c'est ce que je dit utiliser le statefull de netfilter...

 
Dialogue de sourd ?
 
il a dis qui'il avait mis une regle :
 
NEW,ESTABLISHED,RELATED -s @ip -dport smtp
 
moi je lui demande s'il pensé a mettre celle la :
 
ESTABLISHED,RELATED -d @ip -sport smtp
 
Je pratique pas forward sur mon parefeu (il est pas en passerelle mon iptables)
Tous ce que je sais, c'est que pour les regles en INPUT et OUTPUT, ben si on crée pas des règles "symétriques", ben ca marche po.  

Hello,  
 
je reviens voir le sujet et je vois que les débats sont animés ))
 
Bon je vais essayer la dernière suggestion avec la ESTABLISHED,RELATED -d @ip -sport smtp et je vous tiens au courant
 
Merci