packet filter / FreeBSD / imaps / iphone - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 14-08-2011 à 20:53:59
GMail est en HTTPS/443 non ?
Marsh Posté le 14-08-2011 à 21:01:43
BMenez a écrit : GMail est en HTTPS/443 non ? |
le webmail de gmail oui, mais le service est ouvert en IMAP4 et POP3
Marsh Posté le 14-08-2011 à 21:26:56
o'gure a écrit : le webmail de gmail oui, mais le service est ouvert en IMAP4 et POP3 |
Mais les ports ne sont pas ouverts en sortie avec tes règles
Marsh Posté le 14-08-2011 à 22:07:14
BMenez a écrit : Mais les ports ne sont pas ouverts en sortie avec tes règles |
mes règles ?
Pour gmail, IMAP utilise le port 443 ou le port 993 si SSL est utilisé ( http://mail.google.com/support/bin [...] swer=78799 ). Après je ne connais pas la syntaxe et le comportement associé pour packet filter.
Dans ce que je vois, rapidement, il autorise le trafic sortant (pass out) vers le port 143 et 993 avec du stateful (keep state), Je suppose donc que le trafic retour est autorisé, et sans restriction sur la source, non ?
La seule différence existante, c'est la non présence de out sur la ligne qui matche le port 80. Mais j'ai du mal à comprendre l'impact que ça aurait. Normalement la règle pass out est correcte, elle autorise le trafic retour implicitement.
Marsh Posté le 15-08-2011 à 08:11:02
Je ne connais pas le schéma de ton réseau mais j'imagine que tu as une patte LAN, une patte WiFi et que tout le trafic a destination du net est NATé sur la patte WAN. Du point de vue du firewall, la communication entre tes appareils WiFi et le WAN se fait avec un "pass in" sur l'interface WiFi.
pass out quick on $wifi_if inet proto tcp from any to any port { 80, 143, 443, 465, 587, 993} flags S/SAFR keep state |
devient
pass in quick on $wifi_if inet proto tcp from any to any port { 80, 143, 443, 465, 587, 993} flags S/SAFR keep state |
Marsh Posté le 10-08-2011 à 22:16:57
Salut les gens,
Il m'arrive quelque chose de bizarre et je n'ai pas la réponse logique à la chose.
J'ai un réseau classique à la maison. Lan / Wifi / Wan.
Je cherche à bloquer un max le wifi (in / out) vu que ca ne va pas servir à grand chose. Je dispose d'une règle sur PF qui sert à :
- Se connecter au routeur wifi pour le conf sur le port 80
- Ouvrir certains ports pour que le wifi soit un minimum utile quand meme
Voici les règles :
pass quick on $wifi_if inet proto tcp from <wifi> to any port 80 flags S/SAFR keep state
pass out quick on $wifi_if inet proto tcp from any to any port { 80, 143, 443, 465, 587, 993} flags S/SAFR keep state
A partir de mon iPhone, j'arrive à surfer sans problème, mais je n'arrive pas à consulter mes mails vers gmail. Ca mouline dans le vent, mais rien d'autre ne se passe.
Auriez-vous une suggestion ?
Merci par avance
P.S. : je dispose d'une règle plus haut pour le DNS
pass in quick on {$lan_if, $net_if, $wifi_if} inet proto { tcp, udp } from any to any port 53 flags S/SAFR keep state
Message édité par pervmaster le 10-08-2011 à 22:17:41