pb pour bloquer l'internet à une adresse interne !

par **freebug** » 06 Fév 2006 12:05

Bonjour,

Voila je cherche a bloquer internet a un poste interne au réseau local mais je ne veux pas la rentrer la rc.firewall.local car je voudrais pouvoir le bloquer et le debloquer a volonté.

Don j'ai crée mon premier fichier : test

vi test

iptables -N test01
iptables -A test01 -s 192.168.1.90 -j DROP (--> 192.168.1.90 est un poste du réseau local)

chmod 777 test

Puis un fichier supprime_test (afin de pouvoir redonner acces au internet a ce poste) :

vi supprime_test

iptable -F test01
iptables -X test01

chmod 777 supprime_test

lorsque j'execute le fichier test (./test) et que je fais un iptables -L je vois bien la chaine test01 avec la règle. Mais le poste a toujours accés a internet. (j ai meme essaye en mettant en règle iptables -A test01 -d 192.168.1.1 -j reject , ou 192.168.1.1 est la patte interne d'ipcop mais cela passe toujour et pour tous les poste du réseaux local)

Donc je me demande si il n'est pas possible de de faire ainsi ?

cordialemment er merci d'avance.

par **pkaer** » 06 Fév 2006 12:09

Salut,

Pourquoi ne pas utiliser Squidguard (Franck78) ou advproxy ?? Tu aurais une interface conviviale et tu ne te prendrais pas la tête avec des règles iptables.

@+
PK

par **freebug** » 06 Fév 2006 12:45

bonjour,

A la fin de mon travail je dois mettre en place un firewall pour l'entreprise ou je suis en stage qui sera soit de l'iptables soit de l'ISA server donc sur mon ipcop j'ai deja installe et tester advproxy + URLfilter et ca marche tres bien mais je voudrais aussi etre capable de le traite en regle iptables et je ne comprend pas pourquoi ce petit script ne passe pas.

C'est un peux vexant et je m'inquiete du traitement des regle generique du firewall si je n'arrive meme pas a faire cela ( meme si le travail pour les regles du firewall en iptables est deja en partie mache).

Cordialemment freebug.

par **Franck78** » 06 Fév 2006 14:11

Rigolo va

Faut lire le mode d'emploi d'IPTABLES et comprendre la base au moins pour se lancer dedans :lol:

Tu crèes une chaine (-N), tu lui ajoutes un règles (-A) et... rien ! Ben oui faut peut-être bien l'accrocher quelque part cette chaine!

=> http://christian.caleca.free.fr chapitre netfilter/iptables

Bye

par **pkaer** » 06 Fév 2006 14:52

Toujours la forme Franck :wink:

@freebug,

Si tu es en stage, (je ne sais pas pour quelle durée), ne te disperse pas!
Iptables suffirait à lui seul pour un sujet de stage :lol:

.
Donc comme le souligne Franck:
Soit le sujet de ton stage est la maîtrise d'Iptables, tu le bosses à fond et tu nous fait un beau mêmoire dessus
Soit (et c'est ce que j'ai cru comprendre) le sujet est de mettre en place un firewall avec les produits addon qui vont bien et crois-moi IPCop est un choix valable.

Que tu veuilles tout assimiler part d'un bon sentiment mais en as-tu le temps ?

@+
PK

par **pkaer** » 06 Fév 2006 15:12

@freebug,

Si tu veux quand même continuer sur IPCop et IPTables, il y a sur le forum de nombreux topics auquels antolien, "docteur es IPTables" a participé et qui décrivent quelques exemples de son utilisation. Il y avait même dans le temps un site fait par se dernier qui était très complet. Malheureusement "il n'y a plus d'abonné à l'adresse URL que vous avez demandée"

Donc une petite recherche "Mots Clés" iptables, "Auteur" antolien et "Forum" IPCop devrait t'aider.

Si quelqu'un avait encore quelque part les exemples du site d'Antolien, peut-être serait-ce intéressant de les mettre dans le "Kit Newbie".

@+
PK

par **freebug** » 06 Fév 2006 15:42

Bonjour,

J ai lu un tutorial tres complet sur iptables que je recommande chaudement (meme si apparament j'ai rien compris

) http://www.linux-france.org/prj/inetdoc/guides/iptables-tutorial/.

Les 15 premiers jours de mon stage on ete de decortiquer les regles des deux firewall iptables actuel.

afin de n'en faire qu'un seul fichier dans le but d'une migration vers un firewall à trois pattes ( ce firewall ne sera pas forcement sous iptables et il y a meme de forte chance qu'il soit sous ISA server).

@Franck78 Sinon je ne comprend le :

Tu crèes une chaine (-N), tu lui ajoutes un règles (-A) et... rien ! Ben oui faut peut-être bien l'accrocher quelque part cette chaine!

Si on ne precise pas la chaine est naturellement raccorder a la table filter, a moins que ce ne soit pas du tout de ca que tu parles. Bon je vais relire l'article de messieur Caleca voir si je vois ce qui m'a echappe

@pkaer je suis en stage pour une durée de 2 mois. ( et je dirais qu il est vrai que sur les trois dernieres semaines je suis parti un peux dans tous les sens et je n'ai pas avance d'un pouce :s )

Cordialemment freebug.

par **Mister-Magoo** » 06 Fév 2006 16:36

Tu peux aussi utiliser BlockOutTraffic, ça gère IPTable et de façon graphique, le beurre et l'argent du beurre, quoi :roll:

par **freebug** » 06 Fév 2006 17:02

Bonjour,

J ai deja essaye d'installe BOT trois fois, mais des que je rentre dans l'interface de configuration et que je lui met l'adresse MAC de la patte verte + le port 445, l'interface graphique se bloque et plus rien ne marche je suis oblige de desinstaller IPCOP a chaque fois.

Sinon un copain ma passer les fichiers qu'il a crée pour bloquer l'acces a internet de certaine salle de cours de l'etablissement @ des moment données et ca donne :

-fichier Salle 101 :

Code: Tout sélectionner: iptables -N salle101 iptables -I salle101 -i eth0 -s 192.168.XXX.XXX -p all -j DROP iptables -I salle101 -i eth0 -s 192.168.XXX.XXX -p all -j DROP iptables -I salle101 -i eth0 -s 192.168.XXX.XXX -p all -j DROP iptables -I salle101 -i eth0 -s 192.168.XXX.XXX -p all -j DROP iptables -I salle101 -i eth0 -s 192.168.XXX.XXX -p all -j DROP iptables -I salle101 -i eth0 -s 192.168.XXX.XXX -p all -j DROP iptables -I salle101 -i eth0 -s 192.168.XXX.XXX -p all -j DROP iptables -I salle101 -i eth0 -s 192.168.XXX.XXX -p all -j DROP iptables -I salle101 -i eth0 -s 192.168.XXX.XXX -p all -j DROP iptables -I salle101 -i eth0 -s 192.168.XXX.XXX -p all -j DROP iptables -I salle101 -i eth0 -s 192.168.XXX.XXX -p all -j DROP iptables -I salle101 -i eth0 -s 192.168.XXX.XXX -p all -j DROP iptables -I salle101 -i eth0 -s 192.168.XXX.XXX -p all -j DROP iptables -I salle101 -i eth0 -s 192.168.XXX.XXX -p all -j DROP iptables -I salle101 -i eth0 -s 192.168.XXX.XXX -p all -j DROP

- fichier Salle 101 reco

Code: Tout sélectionner: iptables -F salle101 iptables -X salle101

Il m'en a fait la démonstration et cela fonctionne très bien j'ai donc revu un peu mon code qui donne :

-fichier test

Code: Tout sélectionner: iptables -N test01 iptables -A test01 -i eth0 -s 10.0.0.200 -p all -j DROP

-fichier del-test

Code: Tout sélectionner: iptables -F test01 iptables -X test01

Le résultat est toujours le meme, cela ne bloque rien. Le probleme ne viendrait il pas qu'il faudrait faire des manipulation particuliare avec un proxy transparant ?

Cordialemment freebug.

par **Mister-Magoo** » 06 Fév 2006 17:49

Si tu utilise le proxy (transparent ou pas), il faut bloquer les accés à IPCop lui-même, le proxy "court circuite" tes règles IPTables, puisque tu te connecte à IPCOp et c'est lui qui sort sur le net :roll:

par **freebug** » 06 Fév 2006 18:05

bonjour,

C est a dire je ne voit pas vraiment ce que tu veux dire par "il faut bloquer les accés à IPCop" tu veux
dire que Squid redirige les requete avant qu'elle ne passe par les regle d'iptables ?

Donc il faudrait faire une regle du genre :

iptables -a output -o eth0 -d 10.0.0.200 -j REJECT (==> ou eth0 est la patte verte et 10.0.0.200 le poste a isoler d'internet)

non ?
(desole si c'est completement a cote de la plaque j'essai de compendre :oops:

).

Cordialemment.

par **Franck78** » 06 Fév 2006 20:34

freebug a écrit:Bonjour,

Si on ne precise pas la chaine est naturellement raccorder a la table filter, a moins que ce ne soit pas du tout de ca que tu parles. Bon je vais relire l'article de messieur Caleca voir si je vois ce qui m'a echappe

Tu mélanges les tables 'filter' 'nat' et 'mangle'. Rien à voir ici. Ta chaine (liste e règles) n'est pas appelée, même si elle est installée dans filter par défaut.

par **freebug** » 07 Fév 2006 10:16

bonjour,

ha ok ! :roll:

. . . . . . et donc question bête je fais comment pour que netfilter l'appel :oops:

(

)

Cordialemment freebug.

par **freebug** » 07 Fév 2006 10:50

Bonjour,

C'est bon je crois que j ai compris franck78 il faut que je fasse un :

Code: Tout sélectionner: iptables -A forward -i eth0 -j test01

--> ce qui va permettre d'envoye a ma chaine test01

Code: Tout sélectionner: iptables -N test01 iptables -A test01 -j ACCEPT iptables -A test01 -s 10.0.0.200 -j REJECT

Mais le probleme c'est que je ne veux pouvoir executer et enlever ce code a volonte donc comment puis-je faire pour enlever la règle mise dans la chaine Forward ?

j'ai tester en creant un fichier executable qui comprend les règles dans cet ordre :

Code: Tout sélectionner: iptables -N test01 iptables -A test01 -j ACCEPT iptables -A test01 -s 10.0.0.200 -j REJECT iptables -A forward -i eth0 -j test01

lorsque je l'éxecute j'obtient un message :

iptables : No chain/target/match by that name

Ma chaine test01 a bien été crée avec ses règles par contre je ne vois la régle rajoutée a la table forward.

Cordialemment Freebug.

pb pour bloquer l'internet à une adresse interne !

pb pour bloquer l'internet à une adresse interne !

Qui est en ligne ?