Bloquer tout et autoriser seulement quelques ip

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Bloquer tout et autoriser seulement quelques ip

Messagepar minier_gaultier » 22 Juil 2005 13:07

Bonjour à tous

Je découvre ipcop et en même temps votre forum. Il m'a déjà permis d'apprendre pas mal de chose sur le sujet.

Par défaut ipcop autorise tout ce qui vient du réseau local à se connecter. Mais moi je voudrais faire l'inverse. Tout bloquer et ensuite autoriser ceux que j'ai besoin.

J'ai lu des exemples, j'ai fait ce qui est dit à http://ipcop.hn.org. Mais ca n'a pas l'air de fonctionne.
Je suis en ipcop 1.4.6. J'ai vu que le fichier de config était rc.firewall mais je suis incapable de trouver ce que je dois modifier et ou ajouter pour faire ce que je veux.

Si quelqu'un pouvait me donner un coup de main pour créer les règles iptables qui vont bien ce serait sympa.

Merci d'avance
minier_gaultier
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 22 Juil 2005 12:54

Messagepar sioca » 22 Juil 2005 13:23

Tu peux nous copier ton /etc/rc.d/rc.firewall et nous donner la configuration de ton reseau
sioca
Major
Major
 
Messages: 90
Inscrit le: 27 Juin 2005 13:46

Messagepar minier_gaultier » 22 Juil 2005 13:28

Mon fichier rc.firewall est le standard je ne l'ai pas modifé.

Je suis en ipcop 1.4.6

type GREEN (eth0) + RED (eth1)

ip GREEN : 89.0.0.82
ip red : 192.168.2.82

passerelle : 192.168.254 (routeur wanadoo)
minier_gaultier
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 22 Juil 2005 12:54

Messagepar sioca » 22 Juil 2005 13:32

Pour les modifications du fichier : http://ipcop.hn.org./policie.htm
sioca
Major
Major
 
Messages: 90
Inscrit le: 27 Juin 2005 13:46

Messagepar minier_gaultier » 22 Juil 2005 13:50

J'ai deja essayé ce lien mais ca ne change rien.
Il existe plusieurs rubrique ethernet and localhost et je ne trouve pas exactement les autres lignes dans le fichier rc.firewall. J'ai essayer de rajouter la ligne :
Code: Tout sélectionner
/sbin/iptables -A FORWARD -i $GREEN_DEV -j DROP

Sans effet.

mais je ne sais pas trop ou le mettre car plus rien de correspond avec a doc
minier_gaultier
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 22 Juil 2005 12:54

Messagepar antolien » 22 Juil 2005 14:49

Pour la 1.4 c'est plutot par là :
http://ipcop.hn.org./ipcop-sid/policie.htm

J'ignore si ça correspond encore mais ça devrait être mieux que ce qui est écrit pour la 1.3.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar minier_gaultier » 22 Juil 2005 15:33

Je n'avait pas vue le lien pour 1.4 en bas de la page désolé :oops:

Je vais regarder tout ca

Merci
minier_gaultier
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 22 Juil 2005 12:54

Messagepar minier_gaultier » 22 Juil 2005 15:55

J'ai bien fait ce qui était indiqué dans le dernier lien.
Mais ca ne marche tjs pas. :(

J'ai bien mis en commentaire dans rc.firewall :
Code: Tout sélectionner
/sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT
et là tout est bloqué.

J'ai ajouté la ligne suivante dans le rc.firewall.local
Code: Tout sélectionner
/sbin/iptables -A FORWARD -i eth0 -s 89.0.4.3/32 -m multiport -p tcp --dport 80,443,21 -m state --state NEW -j ACCEPT

Mais le pc 89.0.4.3 qui devrait avoir accès ne là tjs pas (j'ai bien fait un rc.firewall restart).
minier_gaultier
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 22 Juil 2005 12:54

Messagepar antolien » 22 Juil 2005 16:30

89.0.4.3 est vraiment l'ip source ?
edit: autant pour moi la plage 89.xxx est réservée par l'iana .. ?

Autrement, pour ton pb,
il faudrait vérifier l'interface du lan , est-ce bien eth0 lorsque tu fais ifconfig ?
Essayes sinon avec -I au lieu de -A dans la règle qui ajoute les accès du lan.
Dernière édition par antolien le 22 Juil 2005 16:49, édité 1 fois au total.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar antolien » 22 Juil 2005 16:32

Et ne pas oublier d'ouvrir le dns (port 53, udp) !
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Franck78 » 22 Juil 2005 19:00

Réservée par IANA ne veut pas dire qu'elle ne sera pas attribuée en de ces jours. Pourquoi donc utiliser ça alors qu'il y a dispo 3 numéro de réseaux dédiés à l'adressage 'local' ?
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar minier_gaultier » 25 Juil 2005 10:22

Bonjour à tous

Nous sommes en réseau 89.x.x.x car c'est une socièté qui a fait la 1ère installation réseau, c'était dans les années 90. Et depuis nous sommes restés en 89. Il n'y a aucun souci ca fonctionne très bien d'habitude.

Sinon dans mon dernier post je me suis trompé.
Je ne trouve pas dans le fichier rc.firewall la ligne
Code: Tout sélectionner
/sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT
comme indiqué.

La commande 156G ne ramène pas du tout à cette ligne. Et j'ai fait une recherche dans le fichier je ne l'ai pas trouvé non plus. C'est pas normal ?

Merci d'avance
minier_gaultier
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 22 Juil 2005 12:54

Messagepar minier_gaultier » 25 Juil 2005 10:42

J'avais effacée la ligne. Je refais les tests.

:oops:
minier_gaultier
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 22 Juil 2005 12:54

Messagepar Franck78 » 25 Juil 2005 10:56

Il y a l'addon BOT (block out traffic) pour règler ça sur Ipcop.




Question en passant: combien de poste de travail sur ce réseau ?


Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar minier_gaultier » 25 Juil 2005 11:12

Je voudrais faire ca sans utiliser d'addon ou logiciel tiers.
J'ai donc recopié la ligne qui me manquait (effacement de ma part). Je l'ai mis en commentaire.
Si je comprends bien lorsque je commente la ligne en question plus rien ne doit passer.

Désolé mais ce n'est pas le cas. Ca marche pour tout les poste du réseau local.

Pour Franck78 :
Il y a environ une centaine de postes et serveurs.
minier_gaultier
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 22 Juil 2005 12:54

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité