Faille de sécu dans Dansguardian

[neo_hijacker]

Actuellement, Dansguardian couplé a IPCOP sécurise mon réseau(proxy anonyme). En effet en allant sur un site interdit, je tombe sur la jolie page d'erreur de Dansguardian. <BR>Mais la faille que j'ai trouvé est celle la : en mettant proxy.free.fr:3128 dans les propriétés d'internet explorer, j'arrive à aller sur les sites interdits. Comment régler ce problème ?

[tomtom]

Il faut que tu bloques au niveau d eipcop tout ce qui vient du reseau vert et qui va vers internet directement, sauf ce que tu utilises de cette manière (dans un premier temps, bloquer les ports de proxy standard sera pas mal : 3128, 8080... ) <BR> <BR>En effet, le redirection en transparent ne fonctionne que sur le port 80 ! <BR> <BR>Ce n'est d'ailleurs pas du tout une faille de DG, mais bien un problème d'architecture avec ipcop en proxy transparent ! <BR> <BR>t.

[touffator]

C'est normal danguardian ne filtre pas puisque tu passe par un autre proxy donc lui tout ce qu'il voie c'est l'adresse du proxy <BR> <BR>pour empecher ca tu as plusieurs solutions : <BR>je pense que dans guardian integre une blacklist de proxy et dans ce cas tu peux lui specifier d'interdire l'acces a tout ce qui correspond a cette blacklist (donc on ne pourras plus utiliser de proxy sur le net) <BR>sinon mais la c'est plus $%#&! pour toi tu peut entrer les adresses a la main dans les adresses a interdire (dans la config de danguardian) <BR>ou derniere solution mais c la moin bonne à mon avis, tu vas avec ssh dans ton /etc/host avec vi et tu rajoutes (surtout ne suprime rien) des adresses bidon pour les proxy que tu veux interdire <BR>EX : <BR>0.0.0.0 proxy.free.fr <BR> <BR>et la tu n'auras plus d'acces vers ce proxy... <BR> <BR>Mais si tu veux que cela soit efficace y faut te tapez tout les proxy d'internet a la mimine loool et la t'en a pour un bon moment... <BR> <BR>donc je ne peut que te conseiller de trouver la BL de DG pour les proxy et de l'activer. c le plus fiable <BR> <BR>++ <BR>touf

[lucyfire]

si tu m'envoi ton mail en PM, je passe la mienne de liste, en domaine et urls. <BR> <BR>rajoutes déjà ça dans ton rc.firewall après la redirection dans vers squid: <BR> <BR> /sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 800 -j DROP <BR> /sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 3128 -j DROP <BR> /sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 8000 -j DROP <BR> /sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 8001 -j DROP <BR> <BR>++ <BR> <BR>lcf <BR> <BR>_________________ <BR>"L'ordinateur est un appareil sophistiqué auquel on fait porter une housse la nuit en cas de poussière et le chapeau durant la journée en cas d'erreur" P. Bouvard<BR><BR><font size=-2></font>

[tomtom]

Ce n'est pas au niveau de dans qu'il faut jouer.. <BR> <BR>Dans ne voit meme pas passer les requetes vers ce prxoy, puisque ca va sur le port 3128. Or avec la conf IPCop, les paquets vers le port 80 (et eventuellement 443) sont redirigés de manière transparente vers le proxy (squid et dans), mais le retse par sur le net sans filtrage aucun... <BR> <BR>C'est donc à ce niveau là qu'il faut bloquer ! <BR> <BR>Pour ton soucis, ouvre une ligne de commande sur ipcop et tapes : <BR> <BR>iptables -I FORWARD -p tcp --dport 3128 -j DROP <BR> <BR>ca va bloquer ! <BR> <BR>t.

[neo_hijacker]

Exact j'ai rajouté proxy.free.fr dans les blacklists et ca n'a rien changer. Je vais bloquer le 3128 en sortie et le 8080 et je vais voir ce que cela donne. <BR> <BR>PS :Heu il n'y a pas moyen plutot que de rejeter le port, de rediriger les requetes vers une unique page web ? Ca parrait farfelu mais j'ai envie que ca tombe sur la page d'interdiction de Dansguardian ^^

[tomtom]

ben si, tu l'envoie vers squid comme pour le 8080 <BR> <BR>iptables -I PREROUTING -p tcp --dport 3128 -i $IFACE_GREEN -j REDIRECT --to 127.0.0.1:800 <BR> <BR>(je crois que c'ets 800 le port, je ne suis pas sur, peut etre 3128 ou 8080...) <BR>Verifie dans les lignes de redirections de squid... <BR> <BR>t.

[neo_hijacker]

J'ai le droit a ca avec ta commande : <BR> <BR> <BR><!-- BBcode auto-mailto start --><a href="mailto:root@ipcop:~">root@ipcop:~</a><!-- BBCode auto-mailto end --> # iptables -I PREROUTING -p tcp --dport 3128 -i $IFACE_GREEN -j REDIRECT --to 127.0.0.1:8080 <BR>Warning: wierd character in interface `-j' (No aliases, :, ! or *). <BR>Bad argument `REDIRECT' <BR>Try `iptables -h' or 'iptables --help' for more information. <BR> <BR> <BR>que faire ?

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR><!-- BBcode auto-mailto start --><a href="mailto:root@ipcop:~">root@ipcop:~</a><!-- BBCode auto-mailto end --> # iptables -I PREROUTING -p tcp --dport 3128 -i $IFACE_GREEN -j REDIRECT --to 127.0.0.1:8080 <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>oua j'ai besoin d'une sieste moi <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>iptables -t nat -I PREROUING -p tcp --dport 3128 -i $IFACE_GREEN -j DNAT --to 127.0.0.1:8080 <BR> <BR>warning : <BR>$IFACE_GREEN correspond... à ton interface green ! <BR>8080 correspond au port d'ecoute du proxy sur ton ipcop (a verifier donc... ca risque d'etre 800 ou 3128...) <BR> <BR> <BR>t.

[neo_hijacker]

Maintenant j'ai ca : <BR> <BR><!-- BBcode auto-mailto start --><a href="mailto:root@ipcop:~">root@ipcop:~</a><!-- BBCode auto-mailto end --> # iptables -t nat -I PREROUING -p tcp --dport 3128 -i $IFACE_GREEN -j DNAT --to 127.0.0.1:8080 <BR>Warning: wierd character in interface `-j' (No aliases, :, ! or *). <BR>Bad argument `DNAT' <BR>Try `iptables -h' or 'iptables --help' for more information. <BR>

[tomtom]

ne fais pas des copier/coller betement ! <BR> <BR>J'ai ecrit PREROUING au lieu de PREROUTNG et tu l'as recopié <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>Ca risque pas de fonctionner <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>t.

[Gesp]

Et remplace le $IFACE_GREEN par $GREEN_DEV <BR> <BR>$IFACE c'est l'interface red, qu'elle soit ppp0, tun0,tap0, eth1,eth2 ou eth3 <IMG SRC="images/smiles/icon_biggrin.gif">

[neo_hijacker]

Lol exact j'avais pas fait attention a l'orthographe de PREROUTING <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>Mais bon ca ne marche toujours pas <BR> <BR><!-- BBcode auto-mailto start --><a href="mailto:root@ipcop:~">root@ipcop:~</a><!-- BBCode auto-mailto end --> # iptables -t nat -I PREROUTING -p tcp --dport 3128 -i $GREEN_DEV -j DNAT --to 127.0.0.1:8080 <BR>Warning: wierd character in interface `-j' (No aliases, :, ! or *). <BR>Bad argument `DNAT' <BR>Try `iptables -h' or 'iptables --help' for more information. <BR>

[Franck78]

Je confirme que ca marche MAIS si GREEN_DEV est définie. <BR>Ce qui n'est pas le cas sous la console.... <BR> <BR>iptables -t nat -i $GREEN_DEV -I PREROUTING -p tcp --dport 3128 -j DNAT --to 127.0.0.1:8080 <BR> <BR>

[tamega]

Salut est ce qu'il est possible que tu me donnes la methode a suivre pour installer DG sur IPCOP j'ai la version 1.3.0 de IPCOP et la dansguardian-2.6.1-5-on-ipcop-1.3.tar de DG <IMG SRC="images/smiles/icon_biggrin.gif">