bloquer transfert ftp et mail de lan vers internet

[ShonGail]

sous ipcop 1.2 <BR> <BR> <BR>mon but est d'empecher les utilisateurs du réseau d'accéder aux téléchargements de fichiers par ftp sous IE <BR>(dansguardian me bloque déjà ceux par http) <BR> <BR>idem pour les transferts mail à partir d'un logiciel de messagerie <BR> <BR>qui m'aide ?

[ShonGail]

bon après recherche, j'ai trouvé cette règle : <BR> <BR>ipchains -I input -j DENY -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 5190 <BR> <BR>(source : <!-- BBCode auto-link start --><a href="http://ipcop.org/cgi-bin/twiki/view/IPCop/IPCopAddonsfr#Comment_puis_je_bloquer_mes_util" target="_blank">http://ipcop.org/cgi-bin/twiki/view/IPCop/IPCopAddonsfr#Comment_puis_je_bloquer_mes_util</a><!-- BBCode auto-link end --> ) <BR> <BR> <BR> <BR>pour le ftp, il me faudrait donc remplacer 5190 par 20 ou 21 ? les deux ? <BR>pour le mail ? <BR> <BR>il faut mettre cette règle à la fin du rc.firewall.up ? <BR> <BR>et si je veux que certaines IP du réseau green aient accès au ftp et mail ?

[ShonGail]

si un grand chef es-linux pouvait confirmer ou infirmer la bonne marche de la règle, ce serait sympa <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>S'il pouvait en + répondre à mes questions alors je lui dédierai un grand remerciement <IMG SRC="images/smiles/icon_biggrin.gif">

[antolien]

bloquer le ftp <BR> <BR>ipchains -I input -j DENY -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 20 <BR>ipchains -I input -j DENY -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 21 <BR> <BR>bloquer la reception mail (pop3 :110) et l' envoi (smtp :25) <BR> <BR>ipchains -I input -j DENY -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 110 <BR>ipchains -I input -j DENY -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 25 <BR> <BR>bloquer le http <BR> <BR>ipchains -I input -j DENY -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 80 <BR> <BR>tout ça dans le /etc/rc.d/rc.firewall.up <BR> <BR>pour autoriser certaines ip à aller surfer (on va dire 192.168.1.200) <BR> <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.1.200/32 -d 0.0.0.0/0 80 <BR> <BR>ps: je ne suis pas un grand chef et je fais pas ça pour les remerciements/ tu aurais pu trouver ça tout seul c'est logique <IMG SRC="images/smiles/icon_lol.gif"> <BR><BR><font size=-2></font>

[ShonGail]

c'est vrai que y'a quand même un peu de logique dans tout ca mais j'ai tellement peur de faire exploser mon ipcop <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR> <BR>Sinon y'a une hiérarchie dans les règles ? Du style l'ACCEPT doit etre placé avant les DENY ? <BR> <BR>merci bcp à toi <IMG SRC="images/smiles/icon_smile.gif">

[ShonGail]

Je viens enfin d'essayer et cela fonctionne <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>La première fois j'avais placé les règles au début du rc.firewall.up et cela ne marchait pas. Qui peut m'expliquer pourquoi ? <BR> <BR>Qui peut aussi me dire comment faire en sorte que les bloquages soient loggués (et donc consultables depuis l'interface web d'ipcop) ? <BR> <BR>Enfin pourquoi dans cette règle : <BR> <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.1.200/32 -d 0.0.0.0/0 80 <BR> <BR>on a un /32 et non un /24 ?

[olivier_morin]

/32 = 255.255.255.255 c'est à dire une ip <BR>/24 = 255.255.255.0 (3*8=24 ;-> ) c'est à dire de 192.168.1.0 à 192.168.1.255