Bloquer des ports en sortie

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

Messagepar Kitof » 30 Oct 2002 18:47

Bonjour, <BR> Je me retrouve face à qq pb à mon avis pas bien méchant grâce à vous... <BR> Je suis dans une conf GREEN + RED <BR> - Sur les postes de ma GREEN, je met comme @ de DNS, celui de mon FAI et lorsque je fais un ping, le nom est résolu... Pourtant, à aucun moment, je n'autorise le port 53 à entrer ou à sortir. Par où ça passe !!!??? <BR> - D'où une autre question : par défaut tout est bloqué dans le sens RED -> GREEN (normal après tout, c'est un firewall). Je forward les requêtes HTTP(80) vers un PC de ma GREEN (donc j'ai le port 80 en entrée autorisé, en plus du 113 qui sert pour l'authentification). Par contre, comment puis-je faire pour bloquer un port en sortie... cad si je ne veux pas que ma GREEN ait accès à un FTP extérieur... donc bloquer ttes le req de sortie avec un port de destination 21 ? <BR>
Avatar de l’utilisateur
Kitof
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 28 Oct 2002 01:00
Localisation: Lyon
Haut

Messagepar antolien » 30 Oct 2002 19:25

c'est dangereux d'ouvrir le 113 et le 80 en entrée mais bon. <BR> <BR>Heu si tu veux changer la config par défaut, il faut éditer le fichier /etc/rc.d/firewall.up <BR> <BR>avant toute modification, je te conseille de sauvegarder ton fichier firewall.up <BR> <BR>Ensuite, tu regarde un peu toutes les règles dans le fichier et après t'être creusé la tête, tu ajoute une règle ipchains... <BR> <BR>après avoir sauvegardé ton fichier; reboot.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00
Haut

Messagepar antolien » 30 Oct 2002 19:54

le règle que je metterai est : <BR> <BR>ipchains -A output -i $GREEN_DEV -p 21 -j REJECT <BR> <BR><IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>ya pas un pro de ipchains qui pourrai confirmer ? <BR> <BR>
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00
Haut

Messagepar Yata » 31 Oct 2002 16:13

Salut, <BR> <BR>Je ne suis pas un pro en grand chose mais j'en connais un sympa. Souhaitant garder l'anonymas nous l'appelerons M. X <BR>M. X m'a dit : <BR>Add a new ipchains rule to the /etc/rc.d/firewall.up script. The example below will block all connections from the green network 192.168.1.0 on port 5190 used by AOL: <BR>ipchains -I input -j DENY -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 5190 <BR> <BR>PS : M. X a un excelent site (http://www.ipcop.org/cgi-bin/twiki/view ... ernal_user) <IMG SRC="images/smiles/icon_lol.gif"> <BR>PS2 : ca serait bien que Kitof nous disent si la soluce d'Antolien a marché. <BR> <BR>bye <IMG SRC="images/smiles/icon_biggrin.gif">
Avatar de l’utilisateur
Yata
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 22 Juil 2002 00:00
Haut

Messagepar Kitof » 01 Nov 2002 13:18

Désolé mais je n'ai pas eut le tps de m'en occuper, j'ai dû faire qq chose de plus urgent... Mais je garde le post sous le coude et vous tiens au courant dès que je reprends mes phases de tests.
Avatar de l’utilisateur
Kitof
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 28 Oct 2002 01:00
Localisation: Lyon
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz