Bonjour à tous .....
Ceci est mon premier post et je vous avouerais que j'ai effectué une recherche sur le forum sans grande reponse à une question simple =
Puis je indiquer a IpCop qu'il n'autorise les connections qu'à partir d'une liste d'adresse mac ??
Autrement dis je souhaite que seul mes clients connus sur mon lan ais acces à la connection du routeur ...
Merci d'avance à tous et bonne journée
N'autoriser qu'une liste d'adresses mac
Modérateur: modos Ixus
14 messages
• Page 1 sur 1
N'autoriser qu'une liste d'adresses mac
par fgingat » 05 Oct 2005 12:19
- fgingat
- Quartier Maître
- Messages: 16
- Inscrit le: 05 Oct 2005 12:14
par guerinp » 06 Nov 2005 02:48
Bonjour,
J'avoue ne pas bien comprendre.
Comment peux-tu avoir des clients inconnus sur ton lan ?
Cordialement
Patrice.
J'avoue ne pas bien comprendre.
Comment peux-tu avoir des clients inconnus sur ton lan ?
Cordialement
Patrice.
Plus ça rate, plus on a de chances que ça marche
(Proverbe Shadok)
(Proverbe Shadok)
-
guerinp - Premier-Maître
- Messages: 58
- Inscrit le: 08 Oct 2004 14:36
- Localisation: Crolles
par Galak6 » 06 Nov 2005 19:24
Moi j'ai un peu le même problème, étant en résidance universitaire, je partage ma connexion avec certain colocataire, donc il y a des switch qui traine un peu partout, pour que tout le monde accède au réseau local, mais en renseignant la passerelle et les DNS, n'importe qui peut accéder à internet, sans que je le sache.
J'ai esseyé BOT mais je n'arrive pas du tout à le configurer car même en autorisant les accès à certaine adresse MAC, la connexion ne fonctionne pas.
J'aimerai pouvoir tout autorisé pour une adresse MAC donné, mais je ne vois pas du tout comment faire
Merci
J'ai esseyé BOT mais je n'arrive pas du tout à le configurer car même en autorisant les accès à certaine adresse MAC, la connexion ne fonctionne pas.
J'aimerai pouvoir tout autorisé pour une adresse MAC donné, mais je ne vois pas du tout comment faire
Merci
- Galak6
- Quartier Maître
- Messages: 16
- Inscrit le: 11 Sep 2005 02:12
par antolien » 06 Nov 2005 20:56
Sans addon, rien de compliqué.
Si je prend exemple sur ce que j'avais vu :
http://ipcop.hn.org/ipcop-sid/policie.htm
(ça a du changer pour les numéros de ligne)
----------------------------------------------------------
root@ipcop:~ # vi /etc/rc.d/rc.firewall
allez à la ligne " /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT"
Ajoutez un # au début afin de la commenter, ce qui nous donne :
# /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT
Sortez du mode insert et tapez " :wq " pour enregistrer les modifications et quitter vi.
Nous allons maintenant éditer un autre fichier, ce qui permet une meilleure lisibilité de vos propres règles :
root@ipcop:~ # vi /etc/rc.d/rc.firewall.local
insérez vos autorisations après la ligne
## add your 'start' rules here
#Comme exemple nous allons autoriser l'adresse mac 48.44.AA.44.44.AA à se connecter .
/sbin/iptables -A FORWARD -i eth0 -m mac --mac-source 48.44.AA.44.44.AA -m state --state NEW -j ACCEPT
Après avoir entré toutes vos règles, vous pouvez enregistrer et quitter vi (:wq)
Pour appliquer les règles tapez /etc/rc.d/rc.firewall restart (rc.firewall.local est appelé par le rc.firewall)
-------------------------------------------------------
Pour ceux qui n'aiment pas modifier le rc.firewall et passer par 40 règles :
root@ipcop:~ # vi /etc/rc.d/rc.firewall.local
/sbin/iptables -I FORWARD -i eth0 -j DROP
/sbin/iptables -I FORWARD -i eth0 -m mac --mac-source 48.44.AA.44.44.AA -m state --state NEW -j ACCEPT
-------------------
eth0 étant l'interface GREEN.
perso je trouve plus simple 3 lignes de commandes qu 'un addon ...
Si je prend exemple sur ce que j'avais vu :
http://ipcop.hn.org/ipcop-sid/policie.htm
(ça a du changer pour les numéros de ligne)
----------------------------------------------------------
root@ipcop:~ # vi /etc/rc.d/rc.firewall
allez à la ligne " /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT"
Ajoutez un # au début afin de la commenter, ce qui nous donne :
# /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT
Sortez du mode insert et tapez " :wq " pour enregistrer les modifications et quitter vi.
Nous allons maintenant éditer un autre fichier, ce qui permet une meilleure lisibilité de vos propres règles :
root@ipcop:~ # vi /etc/rc.d/rc.firewall.local
insérez vos autorisations après la ligne
## add your 'start' rules here
#Comme exemple nous allons autoriser l'adresse mac 48.44.AA.44.44.AA à se connecter .
/sbin/iptables -A FORWARD -i eth0 -m mac --mac-source 48.44.AA.44.44.AA -m state --state NEW -j ACCEPT
Après avoir entré toutes vos règles, vous pouvez enregistrer et quitter vi (:wq)
Pour appliquer les règles tapez /etc/rc.d/rc.firewall restart (rc.firewall.local est appelé par le rc.firewall)
-------------------------------------------------------
Pour ceux qui n'aiment pas modifier le rc.firewall et passer par 40 règles :
root@ipcop:~ # vi /etc/rc.d/rc.firewall.local
/sbin/iptables -I FORWARD -i eth0 -j DROP
/sbin/iptables -I FORWARD -i eth0 -m mac --mac-source 48.44.AA.44.44.AA -m state --state NEW -j ACCEPT
-------------------
eth0 étant l'interface GREEN.
perso je trouve plus simple 3 lignes de commandes qu 'un addon ...
-
antolien - Amiral
- Messages: 3134
- Inscrit le: 31 Août 2002 00:00
par Galak6 » 06 Nov 2005 23:05
ha c'est intéressant, merci, il faut que j'esseye ca. Mais pour autoriser à nouveau les adresses MAC que l'on a bloqué, il suffit de mettre en commentaire les lignes ajoutés et décommenté les autres ?
Sinon j'ai trouvé l'addon timelimit qui m'a l'air de fonctionner plutot bien, mais c'est limité à un blocage par heures données.
Merci
Sinon j'ai trouvé l'addon timelimit qui m'a l'air de fonctionner plutot bien, mais c'est limité à un blocage par heures données.
Merci
- Galak6
- Quartier Maître
- Messages: 16
- Inscrit le: 11 Sep 2005 02:12
par Kali Mero » 08 Nov 2005 12:19
salut,
Pourquoi ne pas utiliser simplement l'interface BLEU en configurant l'ACCES BLEU avec les adresses MAC des machines que tu veux autoriser a accéder au net ?
A+
Pourquoi ne pas utiliser simplement l'interface BLEU en configurant l'ACCES BLEU avec les adresses MAC des machines que tu veux autoriser a accéder au net ?
A+
(\ _ /)
(='.'=) LVM
(")_(")
(='.'=) LVM
(")_(")
- Kali Mero
- Second Maître
- Messages: 33
- Inscrit le: 13 Sep 2004 02:44
- Localisation: 07 et 74
par Galak6 » 08 Nov 2005 14:04
Il faut une 3ème carte réseau dans le pc IPCop pour activé le réseau bleu, mais pourquoi pas ?
Sinon puisqu'on peut autoriser ou non l'accès à internet à partir des adresses MAC avec le réseau BLEU, ne peut-on pas faire celà directement sous le réseau VERT ?
Autrement, si ca fonctionne que sous BLEU, je n'aurai aucun PC relié à VERT, mais tout les ordinateurs reliés à BLEU.
merci
Sinon puisqu'on peut autoriser ou non l'accès à internet à partir des adresses MAC avec le réseau BLEU, ne peut-on pas faire celà directement sous le réseau VERT ?
Autrement, si ca fonctionne que sous BLEU, je n'aurai aucun PC relié à VERT, mais tout les ordinateurs reliés à BLEU.
merci
- Galak6
- Quartier Maître
- Messages: 16
- Inscrit le: 11 Sep 2005 02:12
par Galak6 » 09 Nov 2005 01:21
En attendant de recevoir une 3ème carte réseau pour l'IPCop, je me demande si il n'existe pas d'autre distribution de linux qui permette le blocage par adresse MAC d'une facon plus simple et utilisant surtout moins de carte réseau que l'ipcop avec un red+green+blue ?
Une autre question, mon réseau se présente de cette facon :
freebox en 192.168.1.200
relié à la freebox via un switch 3 PC en 192.168.1.1 - 2 - 3 et l'ipcop en 192.168.1.4
derrière l'ipcop 5 autres pc via un switch en 192.168.0.1 à 10 (en dhcp, j'ai prévu plus d'adresse que de pc au cas où)
Maintenant je me demande si il me sera toujours possible de partager des dossiers via windows d'un pc en 192.168.0.x avec les pc en 192.168.1.x ?
Merci encore pour toutes ces réponses
Une autre question, mon réseau se présente de cette facon :
freebox en 192.168.1.200
relié à la freebox via un switch 3 PC en 192.168.1.1 - 2 - 3 et l'ipcop en 192.168.1.4
derrière l'ipcop 5 autres pc via un switch en 192.168.0.1 à 10 (en dhcp, j'ai prévu plus d'adresse que de pc au cas où)
Maintenant je me demande si il me sera toujours possible de partager des dossiers via windows d'un pc en 192.168.0.x avec les pc en 192.168.1.x ?
Merci encore pour toutes ces réponses
- Galak6
- Quartier Maître
- Messages: 16
- Inscrit le: 11 Sep 2005 02:12
par erreipnaej » 09 Nov 2005 07:34
Bonjour,
Est ce que le DHCP du Green avec des réservations par Mac Address ne solutionnerait pas ton probléme?
Je m'explique:
Tu actives le DHCP sur le Green avec un plage d'IP couvrant le nombre de machines autorisées.
Tu collectes tes Mac Address et tu attribues une IP par Mac Address dans les réservations.
D'une part tu gardes toujours la même IP pour chaque machine et je pense que de cette maniére, tu empéches toute Mac Address inconnue de se connecter.
Ensuite tu colles une régle IpTables pour bloquer toutes les IP libres ou tu joues sur le masque de sous rédeau pour réduire ton réseau.
Il y a le risque de spoofing de Mac Address, mais c'est pas tout le monde qui sait le faire, de plus, il faut connaitre une Mac Address autorisée.
Il faut que je teste ça car j'ai un petit malin (mon fiston, un matelot qui apprend vite) qui me change son IP quand le cron lui coupe l'accés!
@+
Est ce que le DHCP du Green avec des réservations par Mac Address ne solutionnerait pas ton probléme?
Je m'explique:
Tu actives le DHCP sur le Green avec un plage d'IP couvrant le nombre de machines autorisées.
Tu collectes tes Mac Address et tu attribues une IP par Mac Address dans les réservations.
D'une part tu gardes toujours la même IP pour chaque machine et je pense que de cette maniére, tu empéches toute Mac Address inconnue de se connecter.
Ensuite tu colles une régle IpTables pour bloquer toutes les IP libres ou tu joues sur le masque de sous rédeau pour réduire ton réseau.
Il y a le risque de spoofing de Mac Address, mais c'est pas tout le monde qui sait le faire, de plus, il faut connaitre une Mac Address autorisée.
Il faut que je teste ça car j'ai un petit malin (mon fiston, un matelot qui apprend vite) qui me change son IP quand le cron lui coupe l'accés!
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
-
erreipnaej - Vice-Amiral
- Messages: 614
- Inscrit le: 14 Déc 2003 01:00
- Localisation: Val d'Oise
par FuN_KeY » 10 Nov 2005 00:39
Je tiens quand meme a signaler que cette solution n'est pas reelement viable...
Il suffit d'arp-poisonner pour se mettre entre le router et les clients; le router refusera le traffic ce qui aurra l'effet d'une DoS pendant 2 sec... Mais en attendant avec un peu de chance le pirate aura dumper des adresses mac autorisé qu il pourra spoofer.
Si il y a du traffic sur la ligne j'estime que ca prend.... 2 min...
Il suffit d'arp-poisonner pour se mettre entre le router et les clients; le router refusera le traffic ce qui aurra l'effet d'une DoS pendant 2 sec... Mais en attendant avec un peu de chance le pirate aura dumper des adresses mac autorisé qu il pourra spoofer.
Si il y a du traffic sur la ligne j'estime que ca prend.... 2 min...
- FuN_KeY
- Second Maître
- Messages: 34
- Inscrit le: 26 Oct 2004 21:38
par erreipnaej » 10 Nov 2005 07:10
Bonjour,
Mes connaissances réseau ne sont pas suffisantes et je ne savais pas 
J'aurais appris quelque chose aujourd'hui!
Merci FuN_KeY.
@+
Mes connaissances réseau ne sont pas suffisantes et je ne savais pas
J'aurais appris quelque chose aujourd'hui!
Merci FuN_KeY.
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
-
erreipnaej - Vice-Amiral
- Messages: 614
- Inscrit le: 14 Déc 2003 01:00
- Localisation: Val d'Oise
14 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité