utiliser iptables avec ipcop...dur dur...SOS

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

utiliser iptables avec ipcop...dur dur...SOS

Messagepar vanan » 15 Mars 2006 11:45

:roll:
Bonjour tout le monde

je me suis bien documenté sur les commandes iptables et quand j'en vois une, je comprends presque tout de suite à quoi elle correspond....mais le problème est de le combiner avec un ipcop et ses nombreux add-ons (advproxy,BOT,...)

j'ai un IPCOP avec
green --- eth0 --- 192.168.2.1
blue --- eth1 --- 192.168.1.1
red --- eth3


1) par défaut, le LAN vert a accès à bleu, je ne veux pas de ça
je rajoute donc dans /etc/rc.d/rc.firewall.local

/sbin/iptables -A CUSTOMFORWARD -i eth0 -o eth1 - j DROP

et ça marche, c'est cool, vert n'a plus accès à bleu...


2) je voudrais que toutes les machines du réseau bleu aient accès au net (je précise que j'utilise bleu comme le vert, ce n'est pas du wifi mais du filaire)
et là je suis pas du tout sûr de moi....
j'y parviens, mais ça doit pas être très très sécurisé

/sbin/iptables - A input -i eth1 -p tcp -j ACCEPT
/sbin/iptables - A CUSTOMFORWARD -i eth1 -o eth3 -j ACCEPT
/sbin/iptables -A INPUT -i eth3 -p tcp --source-port 80 -j ACCEPT
/sbin/iptables -A OUTPUT -0 eth3 -p tcp --destination-port 80 -j ACCEPT

je n'arrive pas à affiner plus que ça, je voudrais, sur la 1ère ligne en gras que seul le TCP relatif au port 80 (pour le http) puisse passer, mais si je précise un port comme dans les 2 dernières lignes, ça ne fonctionne plus du tout..
ça voudra donc dire que tel quel, les utilisateurs du réseaux bleu pourront faire de l'emule par exemple? c'est bien ça?, et ça je ne le veux pas...

je suis pas si je suis très clair, désolé

3)autre chose, la commande -m --state NEW,ETABLISHED etc.... n'est pas reconnue quand je tape /etc/rc.d/rc.firewall restart, pourtant elle semble très utile pour affiner les règles iptables, ne sont elles pas utilisables avec ipcop?


4)J'ai également installé BOT, URLFILTER, ADVPROXY et des règles ont donc été ajoutées dans /etc/rc.d/rc.firewall.local
d'ailleurs, quand je fais un /etc/rc.d/rc.firewall restart, il m'indique des erreurs au niveaux de ces règles !!!
je dois mettre mes propres règles avant? après?
est -ce que toutes les règles que j'indiquerais là passeront en priorité sur celle établies par l'interface GUI de IPCOP ? elles se trouvent ou d'ailleurs celle là? dans un fichier sous forme d'iptables aussi?si oui où se cache t'il ?


voilà où j'en suis, plus j'en apprends sur iptables, plus j'ai l'impression d'être complétement perdu

à l'aideeeeeeeeeeeeeeeeeeeeeeeee
:wink:

d'avance merci
...
vanan
Matelot
Matelot
 
Messages: 10
Inscrit le: 07 Mars 2006 17:19
Haut

Messagepar micjack » 15 Mars 2006 12:21

Salut,

Je ne sais pas du tout comment IPCop gére ses régles, mais y'a quelques truc qui ne vont pas dans les tiennes.

Il faut quand meme faire attention avec des régles en INPUT, cela peut autoriser des connexions sur ton firewall depuis le Net. Avec tes regles tu autorise un acces au firewall (INPUT et OUTPUT) il est rare d'autoriser un acces sur les interfaces d'un firewall (cas autorisé pour SSH par exemple) L 'acces au Net concerne le LAN (FORWARD)

Cependant tu doit plustot utiliser les entrées sorties directemnt au niveau de ta régle, puisque tout a tout bloqué à ce niveau. Puis tu a oublier un élement de sécurité qui sont les états.

Code: Tout sélectionner
/sbin/iptables - A CUSTOMFORWARD -p tcp --dport 80 -i eth1 -o eth3 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


Pareil pour l'autre sens "--sport"

A ce niveau il te manque aussi à faire passer les DNS, si non pas d'internet. Autant de régles que de ports....

Edit: J'ai relu et je me demande si tu ne souhaite pas faire passer Blue vers Red sans restriction.. Dans ce cas, pas besoins de notifier le port 80, ta regle peut se limiter à
/sbin/iptables - A CUSTOMFORWARD -p tcp -i eth1 -o eth3 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Puis tu utilise des addons qui peuvent metres plus le bronx dans tes régles qu'autre chose. Dans un premier temps, fait tes tests sans addons, met les en derniers.

Mais bon, utiliser des régles iptables sur IPCop est toujours risqué si l'on ne connait pas vraiment comment il fonctionne.
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois
Haut

Messagepar vanan » 15 Mars 2006 17:54

merci
mais j'avoue que je suis plutôt perdu...

je voudrais que bleu puisse avoir accès à la navigation internet sans restriction oui
mais interdits les jeux, les emule et compagnie...

/sbin/iptables -A CUSTOMFORWARD -p tcp -i eth1 -o eth3 -j ACCEPT

avec ça, c suffisant pour avoir accès à internet, mais ils pourront aussi faire du emule non?
ça j'ai bien compris que les input et output ne servaient à rien sur le red puisque de toutes façons ipcop et ses add-ons s'occupent déjà de filtrer ce qui va rentrer.

mais si je mets
/sbin/iptables - A CUSTOMFORWARD -p tcp -i eth1 -o eth3 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
comme tu le recommandes
ça ne fontionne pas !!
j'ai aussi un nouveau mess d'erreurs quand je restart le service
"iptables v1.2.11: Bad state `ETABLISHED,RELATED' "


dès que je spécifie un port source ou destination ou un état ça ne passe plus


:cry:


en théorie, que dois je rajouter comme commandes iptables à ipcop pour pouvoir mettre le net à bleu, mais uniquement la navigation internet (port 80), pas d'emule, etc.... ?

merci
...
vanan
Matelot
Matelot
 
Messages: 10
Inscrit le: 07 Mars 2006 17:19
Haut

Messagepar micjack » 15 Mars 2006 20:11

Pourquoi fais tu un restart de tes services? cela annule ce que tu tape en ligne de command.. Une regle tapée en ligne de command a une action immédiate, ce n'est que par la suite que tu la colle dans /etc/rc.d/rc.firewall.local ... Puis désactive tout addons..

Pour les erreurs des états, j'en n'ai aucune idée, je n'utilise pas IPCop... Cette régle tapée de la même maniere sur une distrib fonctionne parfaitement :wink:

Bon, de toute facon pour les tests, les états ne sont pas necessaires, mieux vaut même les enlever et les ajouter par la suite et voir pourquoi ils coincent.

Ce que tu peux lire dans divers doc d'iptables ne fonctionne pas forcement sur IPCop, car il y'a des regles déja établies propre à IPCop que tu ne connait pas (comme par exemple connaitre les variables sur les ethx ainsi que la chaine CUSTOMFORWARD [que je connait pas moi même] ) J'avais donnée une fois des régles de Bleu <--> Green et cela a fonctionné, maintenant de Bleu vers Red, je ne voit pas ou cela pourrait conicer..

Au fait, as tu appliqué cette régle ?
iptables -t nat -A POSTROUTING -i eth1 -o eth3 -j MASQUERADE

Donc, sans le module état pour commencer, ainsi qu'avec la regle de FORWARD.
/sbin/iptables -A CUSTOMFORWARD -p tcp -i eth1 -o eth3 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -i eth1 -o eth3 -j MASQUERADE

Si non, si cela ne fonctionne toujour pas, je n'est plus d'idée, cela remenerait à revoir les regles d'IPCop depuis le début pour appliquer les tiennes par la suite... D'autant plus que la question Bleu vers Red me parait essentiel, elle a surrement due etre déja posée.. Ptet avec une recherche :?
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz