Résolu : bloquer tout sauf le port 80 ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Résolu : bloquer tout sauf le port 80 ?

Messagepar white-rider » 13 Mai 2005 16:22

Bonjour à tous,

J'ai un ipcop 1.4.2 avec les dernières mises à jour et je souhaite bloquer tout les ports sauf le 80 pour les pc qui se connectent.
J'ai utilisé les infos de Anatolien et j'arrive à tout bloquer mais le port 80 ne s'ouvre pas. Cela fait comme si le programme n'allait pas sur le fichier rc.firewall.locall.
Quelle est la solution ?
Dernière édition par white-rider le 17 Mai 2005 13:35, édité 1 fois au total.
white-rider
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 15 Fév 2004 01:00
Localisation: nancy

Messagepar loberty » 13 Mai 2005 18:40

Bonjour,

Il faudrait que tu indiques précisément ce que tu as fait.

Mais saches que par défaut, rc.firewall.local n'accepte pas les appellations du type $GREEN et $RED.
En effet, il faut au préalable charger les fichiers qui définissent ces constantes.

Sinon c'est peut être juste un problème de syntaxe.

Saches que si tu ne veux pas gérer les règles via une saisie manuelle de IPTABLE, tu peux utiliser l'addon, BOT qui te permet de faire la même chose mais en utilisant l'interface d'IPCOP.

A+
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Messagepar white-rider » 14 Mai 2005 13:44

Merci pour ta réponse

Indique moi où se trouve cet addon BOT.

Pour l'instant, je peux tout bloquer : plus rien ne passe.
Je mets la ligne suivante en commentaire dans rc.firewall :

# /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT


ensuite j'ai rajouté la commande pour accepter le port 80 dans rc.firewall.local :

/sbin/iptables -A FORWARD -i eth0 -s 10.0.0.0/24 -m multiport -p tcp --dport 80,21 -m state --state NEW -j ACCEPT

mais il n'y a plus d'accès internet.

a+
white-rider
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 15 Fév 2004 01:00
Localisation: nancy

Messagepar micjack » 14 Mai 2005 14:09

Salut,

Je ne connait pas tes regles, mais ca devrait faire l'affaire..

iptables -A FORWARD -i eth0 -o ppp0 -p tcp -m multiport --dport 80,21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

puis pour l'autre sens

iptables -A FORWARD -i ppp0 -o eth0 -p tcp --sport -m multiport 80,21 -m state --state ESTABLISHED,RELATED -j ACCEPT

Je remplacerais à ta place eth0 et ppp0 par les variables definies... J'ai pas testé, j'ai pas IPCop
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar antolien » 14 Mai 2005 14:18

Normalement en fait les paquets retours sont déjà acceptés par défaut (ESTABLISHED,RELATED)

Je pense plutôt à un bloquage du dns si tu as un dns externe, qui empêche la résolution et donc pas d'accès à internet.

Il faut donc ajouter le port 53 en udp en forward.

Si ça marche toujours pas, une capture tcpdump est utile pour voir ce qui se passe, et regarder aussi les logs pour voir les paquets bloqués.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar white-rider » 14 Mai 2005 14:28

merci pour les infos

je teste tout cela lundi et je vous tiens au courant

a+
white-rider
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 15 Fév 2004 01:00
Localisation: nancy

Messagepar m2nis » 16 Mai 2005 08:24

white-rider a écrit:Merci pour ta réponse
Je mets la ligne suivante en commentaire dans rc.firewall :

# /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT

ensuite j'ai rajouté la commande pour accepter le port 80 dans rc.firewall.local :

/sbin/iptables -A FORWARD -i eth0 -s 10.0.0.0/24 -m multiport -p tcp --dport 80,21 -m state --state NEW -j ACCEPT


Vu la classe utilisée, ce ne serait pas plutôt "10.0.0.0/8"? Sinon, une fois les modifications faites, faites-vous un "/etc/rc.d/rc.firewall restart"?
Michaël.
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar micjack » 16 Mai 2005 09:06

Si y'a un truc de certain, c'est qu' effectivement, si tout le reseau green a été bloqué, il manque le dns vers le Green...Donc forcement, comme l'a dit Antolien, pas de Web..

Dans un cas courrant cela donnerait en definitive (si vraiment tout est bloqué )

iptables -A FORWARD -i eth0 -o ppp0 -p tcp -m multiport --dport 80,21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth0 -o ppp0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -p udp --sport 53 -j ACCEPT

A, adapter en fonction d'IPCop (d'ordinaire, ces regles fonctionnent parfaitement)

m2nis a écrit:Vu la classe utilisée, ce ne serait pas plutôt "10.0.0.0/8"?

Par contre, pourquoi specifier une classe d'adresse ? dans la mesure ou l'on considere que tout le reseau eth0 est autorisé vers Red .. Suivant le cas, elle serrait pas mieux dans une regle nat ?
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar m2nis » 16 Mai 2005 10:30

micjack a écrit:Si y'a un truc de certain, c'est qu' effectivement, si tout le reseau green a été bloqué, il manque le dns vers le Green...Donc forcement, comme l'a dit Antolien, pas de Web..


Pas en dhcp avec le firewall défini comme serveur dns. Mais est-ce la cas?

micjack a écrit:Par contre, pourquoi specifier une classe d'adresse ? dans la mesure ou l'on considere que tout le reseau eth0 est autorisé vers Red ..


C'est peut-être un premier pas vers une autorisation partielle uniquement?
Michaël.
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar micjack » 16 Mai 2005 10:46

Vu qu'il a decommenté cette ligne, forcement, y'a pas grand chose qui passe ( rien du tout )
white-rider a écrit:# /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT


Mais bon, j'utilise pas IPCop, donc ne sais pas si y'a d'autres regles qui font passer autre chose, c'est juste une idée :wink:
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar m2nis » 16 Mai 2005 10:59

micjack a écrit:Vu qu'il a decommenté cette ligne, forcement, y'a pas grand chose qui passe ( rien du tout )
white-rider a écrit:# /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT


Vi vi. Itoo! :) Ca permet de changer la règle de "tout ce qui sort est autorisé" à "rien ne sort sauf ce qui est autorisé". C'est la première chose que j'ai appris à faire. ;-)

micjack a écrit:Mais bon, j'utilise pas IPCop, donc ne sais pas si y'a d'autres regles qui font passer autre chose, c'est juste une idée :wink:


Les règles que l'on souhaite définir pour autoriser le trafic s'ajoutent normalement dans le fichier "/etc/rc.d/rc.firewall.local". Pour les dns, si on est en dhcp et que le firewall est défini comme "dns primaire", les pc sur green interrogent le firewall (ce qui est autorisé) au lieu d'aller directement sur internet. Donc pas besoin d'ouvrir le port 53.
Michaël.
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar white-rider » 16 Mai 2005 20:24

Je reprends la parole pour, déjà vous remercier de votre aide sympa pour mon petit souci.
Je suis effectivement avec un DNS externe et je vais tester demain vos solutions qui me semblent très intéressantes.

Par contre, j'ai une autre question :

dans la ligne écrite par Micjack :
iptables -A FORWARD -i eth0 -o ppp0 -p tcp -m multiport --dport 80,21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

a quoi correspond "ppp0" ?

a+
white-rider
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 15 Fév 2004 01:00
Localisation: nancy

Messagepar micjack » 16 Mai 2005 21:03

C'est ton interface Red...

m2nis a écrit:Vi vi. Itoo! Smile Ca permet de changer la règle de "tout ce qui sort est autorisé" à "rien ne sort sauf ce qui est autorisé"

C'est bien ce que j'ai decrit... Par contre, j'ai ecrit une erreur non reprise! en disant que White-Rider a "decommentée" une ligne, alors que c'est "commentée" pour que du green vers red plus rien ne passe... (d'ou le but)

Reste alors à faire passer le dns venant du red ...
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar white-rider » 17 Mai 2005 13:32

tout va bien. J'ai mis en place les règles que vous m'avez indiqué et cela fonctionne très bien.
J'ai même pu ouvrir MSN messenger .
J'ai utilisé eth1 au lieu de ppp0.
Donc merci à Anatolien pour sa doc et autres qui ont bien voulu m'aider.
A+
white-rider
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 15 Fév 2004 01:00
Localisation: nancy


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron