Discussion :

[maloy]

Bonjour,

Sur mon serveur web j'utilise donc les ports 80 123 53 443 25 587... sur mon Iptables je ferme tout, sauf les ports que j'ai besoin.

J'avais proposé à mon hébergeur suite à une attaque dos/ddos de fermer tous les ports en amont, mais suite à ça j'ai eu un problème d'envoi de mails, et il m'a répondu "During a dns query you request dns server on port 53 but you get a reply on a random udp port." En gros il ne peut pas tout bloquer car ça utilise un port aléatoire, pourtant mon iptables n'accepte pas tous les ports.
De plus en cas d'attaque, on demande de fermer les ports qu'on utilise pas, donc je comprends pas trop, il a dit vrai ou il a mal configuré quelques choses?

Merci.

[sevyc64]

Le DNS, il est sur ton serveur, ou au contraire c'est toi qui interroge un DNS extérieur ?

[maloy]

dns extérieur, comme opendns

[sevyc64]

Ok, donc normalement, tu vas utiliser en local un port aléatoire pour aller interroger le serveur DNS extérieur sur son port 53 en TCP.

Donc sur ton parefeu, il n'y a pas de raison, à priori d'autoriser les connexions entrantes sur le port 53 puisque qu'à priori, personne de l'extérieur n'a à venir interroger ce port sur ton serveur.

Par contre, il faut bien que tu autorise les connexions sortantes si tu veux dialoguer avec l'extérieur (elles se feront de toutes façon normalement toujours avec un port aléatoire >1024). Soit tu les autorise toutes, soit, si tu veux filtrer, il te faut filtrer non pas sur le port de sorti, mais sur les ports de destination, 53 pour du DNS, 80 pour du web, 25 pour du SMTP, etc ...

Je ne connais pas Linux donc je ne sais pas dire ce qu'il y a à faire de spécifique, mais ce sont les principes de bases qui doivent aussi être valable sous Linux, j'imagine.

Par rapport à ce que t'as dis ton hébergeur, regarde s'il n'y a pas mauvaise compréhension sur ce que je viens de dire.
A ce que tu rapporte, on dirais qu'il avait bloqué tout le trafic entrant, donc là plus rien ne peut marcher, tu ne peux même pas te connecté pour administrer ton serveur. Ce qu'il doit interdire c'est les connexions entrantes (requete envoyée à l'initiative d'une machine extérieure), il ne doit, évidemment pas bloquer les réponses entrantes suite à une connexion sortante (mais à partir du moment ou la requete est autorisée à sortir, sa réponse devrait aussi être autorisée à revenir)

[maloy]

il bloque que ce qui entre. Il bloque tout sauf les ports utilisés 53 123 80... comme mon iptable, c'est pour ça je ne comprends si l'un bloque ceux qu'on utilise pas et ça marche, pourquoi sa protection ne fait plus passer les mails.