Comment transformer une interface bleu comme une verte

[Pierre34]

Question : Comment transformer une interface bleu comme une verte
Mots Clefs : ipcop, blue, green, bleu, verte
Réponse :
Dans /etc/rc.d/rc/firewall
Chercher les lignes concernat l'interface verte de type
/sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT -p ! icmp
et la même avec FORWARD
Les duppliquer et changer $GREEN_DEV en $BLUE_DEV

5 ou 6 lignes plus bas (ou 10), desactiver (en mettant # devant) les deux lignes bloquant sur DHCPBLUEINPUT

Idem (désactiver) 4 ou lignes plus bas les 2 lignes avec IPSECBLUE

Pour bloquer d'un sous reseau a l'autre dans :
rc.firewall.local on peut ajouter (il y certainement une maniere plus elegante avec l'interface plutot que l'IP)
/sbin/iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j DROP
/sbin/iptables -I FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j DROP
/sbin/iptables -I INPUT -s 192.168.1.0/24 -d 192.168.2.0/24 -j DROP
/sbin/iptables -I INPUT -s 192.168.2.0/24 -d 192.168.1.0/24 -j DROP

[Pierre34]

J'avais eu un message privé de quelqu'un qui ne trouvait pas la manip que j'avais indiqué il y a un certain temps c'est pour ça que je l'avais remis dans la FAQ.

Ca ne vas pas ?

[xandre]

Merci pour la manip'.
Tu peux peut etre remettre ton post dans la rubrique Newbie...

[Pierre34]

Je ne pense pas, il a été enlevé ?

[Muzo]

Bah personne ne l'a enlevé, mais elle n'y est pas
Je ne comprends pas.

[Pierre34]

Au départ je l'avais mis dans la FAQ newbie, et le message etait bien dans la liste, après il n'y etait plus. Je me suis dit bon ,t'es pas trop actif, ca fonctionne mais c'est une bidouille, bref ... une autorité compétente l'a enlevé mais je peux l'y remettre si vous voulez


Ca tombe bien j'ai des questions IPCop OpenVPN c'est de l'humour, mais c'est vrai que je viens plus sur Ixux IPCop quand j'ai des pbs et comme souvent ca fonctionne bien

[xandre]

En tout cas merci. Cette manip fonctionne bien.
Plus de detection par adresse MAC, acces a tout le reseau via le reseau bleu.

Bon le truc c'est que malgré l'entrée de règles dans iptables je n'arrive pas a refuser l'acces au reseau vert.

La regle que je rentre :
/sbin/iptables -A FORWARD -s 10.8.22.0/24 -d 10.8.20.0/24 -j DROP

A priori je ne rentre pas de regle dans INPUT puisque je n'ai pas besoin que le paquet de bleu vers vert passe par Ipcop lui-meme. Si je ne me trompe pas Ipcop ici sert juste de passerelle.

Et malgré tout ca passe de bleu (10.8.22.0) vers vert (10.8.20.0).

[loberty]

Bonsoir,

Cela fait un moment que je n'ai pas fait d'IPTABLES, mais bon on va essayer.

Tu indique : /sbin/iptables -A FORWARD -s 10.8.22.0/24 -d 10.8.20.0/24 -j DROP
Sauf erreur de ma part, -A ajoute ta règle à la fin des règles, donc si avant tu as une règle ACCEPT (qui autorise), ta règle DROP ne sert à rien.
Ne devrais tu pas mettre -I : /sbin/iptables -I FORWARD -s 10.8.22.0/24 -d 10.8.20.0/24 -j DROP

Ta règle devrais être mise en toute priorité.

A+