[RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

wblitz · Le 08/04/2008, à 09:01

tu as essayé avec la doc suivante : http://www.fs-security.com/docs/fs-manual.pdf ?

sinon, pour qu'on puisse t'aider un peu plus, il faudrait un peu plus d'info concernant le :

mais à chaque fois, ça me bloque ma connection internet

(genre des captures d'écrans, les règles que tu as mises en place, etc etc)

TS-7389 · Le 08/04/2008, à 20:28

Bon j'ai recommencé ma config du firewall... J'ai tout remis par défaut, et j'ai suivit ce tuto en entrant les mêmes paramètres qu'en bas de page.

Maintenant, en faisant un

nmap -sS -sU -p T:1-,U:1- -sV localhost

j'ai un paquet de ports ouverts...

Que faire avec Firestarter, ou même Iptables pour fermer tout ça, et que ça ne me laisse que l'accès à mon serveur et au net???

Dernière modification par TS-7389 (Le 08/04/2008, à 20:58)

wblitz · Le 09/04/2008, à 09:02

Que faire avec Firestarter, ou même Iptables pour fermer tout ça

quels sont les ports ouverts ?

que ça ne me laisse que l'accès à mon serveur et au net?

au net : laisser ouvert les ports 80 et 443 en sortie
à ton serveur : laisser le port 22 (ssh) ouvert en entrée (éventuellement en filtrant l'adresse source si tu as une ip fixe sur ta machine qui y accèdera) et éventuellement le port 10000 pour le webmin si tu l'as installé

TS-7389 · Le 09/04/2008, à 12:46

Sur le net j'utilise les serveurs ftp comme free, je stocke des trucs... j'utilise Amsn, les sites Youtube, Deezer... et j'ai mon serveur LAMP installé, et je ne compte qu'afficher des pages web pour le moment...

Voilà les ports ouverts:

Starting Nmap 4.20 ( http://insecure.org ) at 2008-04-09 12:44 CEST
Interesting ports on localhost (127.0.0.1):
Not shown: 131059 closed ports
PORT      STATE         SERVICE        VERSION
53/tcp    open          domain
80/tcp    open          http           Apache httpd
953/tcp   open          rndc?
3306/tcp  open          mysql          MySQL 5.0.45-Debian_1ubuntu3.3-log
65512/tcp open          unknown
53/udp    open          domain         ISC Bind (Fake version: 9.4.1-P1)
68/udp    open|filtered dhcpc
5353/udp  open|filtered zeroconf
32768/udp open|filtered omad
32770/udp open|filtered sometimes-rpc4
63924/udp open          unknown

Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 71.302 seconds

Dernière modification par TS-7389 (Le 09/04/2008, à 12:47)

wblitz · Le 09/04/2008, à 17:07

pour le ftp : ports 20 et 21 en sortie
pour le web : ports 53 (DNS), 80 et 443 (https) en sortie
pour les mails : port 110 et 995 (pop3 / pop3s), ou 143 et 993 (imap / imaps)
pour amsn : je ne sais plus quels sont les ports à ouvrir, mais tu dois pouvoir les trouver facilement dans la config du soft
pour le serveur web : port 80 (et 443 si tu fais du ssl) en entrée

je ne connais pas trop firestarter à l'utilisation, mais en jetant un oeil sur la documentation, ça avait l'air assez simple d'ajouter des règles.
teste tes règles au fur et à mesure :
- d'abord le DNS (tu testes ensuite que ça marche avec les commandes dig ou nslookup : dig www.free.fr)
- le surf web
- amsn
- le serveur web
pour le ftp, ça peut être chiant. teste ton client ftp en mode actif, puis en mode passif si ça ne marche pas.

si tu rencontres des problèmes avec la mise en place des règles, essaie de mettre des captures d'écran de ce que tu fais, pour voir où se situerait l'erreur.

TS-7389 · Le 09/04/2008, à 20:24

Alors, sur Firestarter, j'ai coché la politique du trafic sortant en Restrictif par défaut, en autorisant que les ports que tu m'as cité. Seulement en relançant la commande

nmap -sS -sU -p T:1-,U:1- -sV localhost

j'ai toujours les mêmes ports ouverts... à part les ports dont le SERVICE est marqué Unknown, ils changent.

Les ports ouverts et retourné par la commande

nmap -sS -sU -p T:1-,U:1- -sV localhost

sont-ils nécessaire ???

wblitz · Le 09/04/2008, à 21:20

pour la commande nmap, lance là depuis depuis une autre machine (localement tu passes par l'interface loopback, sur laquelle les restrictions que tu mets en places ne sont pas appliquées. essaie (sur une autre machine que le serveur) :

nmap -P0 <adresse ip de ton serveur>

si tout est bien configuré, tu ne devrais voir que les ports 80, 443 et 22. si ce n'est pas le cas, applique le mode restrictif au traffic entrant et autorise ces trois ports seulement.

TS-7389 · Le 09/04/2008, à 22:10

En lançant cette commande avec l'ip de ma livebox, j'ai:

Starting Nmap 4.20 ( http://insecure.org ) at 2008-04-09 22:08 CEST
Interesting ports on 192.168.1.1:
Not shown: 1690 filtered ports
PORT    STATE  SERVICE
20/tcp  closed ftp-data
21/tcp  open   ftp
53/tcp  closed domain
80/tcp  open   http
110/tcp closed pop3
443/tcp closed https
995/tcp closed pop3s

Nmap finished: 1 IP address (1 host up) scanned in 31.913 seconds

Avec l'ip de mon PC, j'ai:

PORT   STATE SERVICE
53/tcp open  domain
80/tcp open  http

Nmap finished: 1 IP address (1 host up) scanned in 0.053 seconds

Sur mon localhost, j'ai:

Starting Nmap 4.20 ( http://insecure.org ) at 2008-04-09 22:11 CEST
Interesting ports on localhost (127.0.0.1):
Not shown: 1693 closed ports
PORT     STATE SERVICE
53/tcp   open  domain
80/tcp   open  http
953/tcp  open  rndc
3306/tcp open  mysql

Nmap finished: 1 IP address (1 host up) scanned in 0.051 seconds

Avec la commande:

sudo nmap -sS -sU -p T:1-,U:1- -sV <Ip de mon PC>

J'ai:

Not shown: 131063 closed ports
PORT      STATE         SERVICE        VERSION
53/tcp    open          domain
80/tcp    open          http           Apache httpd
53/udp    open          domain         ISC Bind (Fake version: 9.4.1-P1)
68/udp    open|filtered dhcpc
5353/udp  open|filtered zeroconf
32768/udp open|filtered omad
32770/udp open|filtered sometimes-rpc4

Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 57.627 seconds

PS: Mon serveur n'est pas encore mis sur le net... donc c'est l'ip de mon localhost.

Dernière modification par TS-7389 (Le 09/04/2008, à 22:19)

wblitz · Le 09/04/2008, à 23:16

localhost = 127.0.0.1. donc, que tu sois sur le net ou pas, "nmap localhost" va renvoyer toujours plus d'information que "nmap adresse_ip_publique".

mais attention, pour que le test soit pertinent, tu dois le faire depuis l'extérieur de ton réseau local (si tu essaies avec l'adresse publique de ta livebox depuis chez toi, ça n'est pas pertinent parce que la box ne réagit pas de la même manière que depuis l'extérieur)

TS-7389 · Le 09/04/2008, à 23:44

Mais qu'entends tu par extérieur?

J'ai une livebox.

Dessus j'ai deux PC connecté en Ethernet et deux autres en Wifi.
Celui d'où je te parle, et sur lequel j'ai le serveur LAMP d'installé, est connecté à la box en Wif. J'ai aucune liaison intranet avec les autres PC.

D'ou dois-je faire le nmap pour constater la fermeture de mes ports ?

Dernière modification par TS-7389 (Le 09/04/2008, à 23:45)

wblitz · Le 10/04/2008, à 00:46

îl faudrait le tester depuis le pc d'un de tes potes par exemple.

TS-7389 · Le 10/04/2008, à 15:28

Et comment ça? Je nmap sur quelle IP ? Avec un autre PC connecté à ma box, je peux pas?

wblitz · Le 12/04/2008, à 19:39

si tu peux, mais le résultat ne sera pas pertinent. il faut tester depuis un pc qui n'est pas connecté à ta box.
pour avoir l'adresse ip publique de ta box, va sur un site comme http://www.mon-ip.com. ensuite, demande à quelqu'un de faire un nmap sur cette adresse.

TS-7389 · Le 13/04/2008, à 23:09

Le nmap sur l'IP qui m'était attribuée à ce moment depuis un autre PC non connecté à ma box me donne ça:

Starting Nmap 4.53 ( http://insecure.org ) at 2008-04-13 23:06 CEST
All 1714 scanned ports on ALille-151-1-42-203.w83-192.abo.wanadoo.fr (83.192.116.203) are filtered

Nmap done: 1 IP address (1 host up) scanned in 141.187 seconds

Apparemment c'est bon, ou les ports sont justes "cachés" ?

Dernière modification par TS-7389 (Le 13/04/2008, à 23:14)

wblitz · Le 14/04/2008, à 08:49

All 1714 scanned ports on ALille-151-1-42-203.w83-192.abo.wanadoo.fr (83.192.116.203) are filtered

les ports sont inaccessibles depuis l'extérieur. regarde également sur ta box pour les redirection à faire pour rendre ton serveur web accessible.

TS-7389 · Le 14/04/2008, à 13:23

Ca se paramètre là-dedans apparemment:
Section Serveur LAN
Ouverture de port

J'ouvre quel port pour mon serveur alors? C'est sécurisé correctement pour diffuser mon site maintenant?

Dernière modification par TS-7389 (Le 14/04/2008, à 13:25)

wblitz · Le 14/04/2008, à 13:35

80 et 443, vers ces même ports

TS-7389 · Le 14/04/2008, à 13:52

Voilà, c'est bon comme ça ou fallait mettre UDP ? Section Serveur LAN

wblitz · Le 14/04/2008, à 14:20

normalement oui. mais tu peux également mettre la redirection pour l'UDP.

TS-7389 · Le 14/04/2008, à 15:26

Il me reste plus qu'a diffuser mon site avec DynDns... Faut que j'y regarde.
Avec tout ça, tout est bien sécurisé ?

wblitz · Le 14/04/2008, à 15:29

ça me parait pas mal
bon courage pour le dyndns. et pense à mettre un petit résolu dans le sujet à l'occasion

TS-7389 · Le 14/04/2008, à 17:52

Dac, merci pour toute ton aide.

wblitz · Le 14/04/2008, à 17:54

je t'en prie

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 08/04/2008, à 09:01

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#27 Le 08/04/2008, à 20:28

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#28 Le 09/04/2008, à 09:02

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#29 Le 09/04/2008, à 12:46

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#30 Le 09/04/2008, à 17:07

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#31 Le 09/04/2008, à 20:24

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#32 Le 09/04/2008, à 21:20

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#33 Le 09/04/2008, à 22:10

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#34 Le 09/04/2008, à 23:16

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#35 Le 09/04/2008, à 23:44

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#36 Le 10/04/2008, à 00:46

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#37 Le 10/04/2008, à 15:28

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#38 Le 12/04/2008, à 19:39

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#39 Le 13/04/2008, à 23:09

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#40 Le 14/04/2008, à 08:49

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#41 Le 14/04/2008, à 13:23

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#42 Le 14/04/2008, à 13:35

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#43 Le 14/04/2008, à 13:52

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#44 Le 14/04/2008, à 14:20

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#45 Le 14/04/2008, à 15:26

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#46 Le 14/04/2008, à 15:29

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#47 Le 14/04/2008, à 17:52

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

#48 Le 14/04/2008, à 17:54

Re : [RESOLU] Configuration APACHE2 / diffusion page web / fermeture PORTS

Pied de page des forums