[RESOLU] Limiter l'acces a la page web d'IPCOP

[xandre]

Bonjour,
j'ai eu beau chercher dans le forum un topic se rapprochant de mon probleme, je n'ai rien trouvé. J'ai ptete mal cherché...
Bref, voila ma situation :
j'accede a la page web d'IPCOP depuis n'importe quel poste du reseau vert.

Ce que je voudrais c'est limiter cet acces a quelques adresses IP.

Je suppose qu'une regle Iptables devrait regler l'affaire mais laquelle ?

[xandre]

Ben voila j'ai mal cherché, c'etait dans le newbie kit.

http://forums.ixus.fr/viewtopic.php?p=199127#199127

loberty
/sbin/iptables/ -I INPUT -s !10.0.083 -p tcp --destination-port 81 -j DROP
cela signifie : interdire (DROP) toute connexion à IPCOP (INPUT) sur le port 81 provenant de toute machine excepté 10.0.0.83 (! 10.0.0.83)

Cependant, est il possible d'autoriser PLUSIEURS IP (genre 3-4 seulement) ?
exemple :
/sbin/iptables/ -I INPUT -s !10.0.083 -p tcp --destination-port 81 -j DROP
/sbin/iptables/ -I INPUT -s !10.0.084 -p tcp --destination-port 81 -j DROP
/sbin/iptables/ -I INPUT -s !10.0.085 -p tcp --destination-port 81 -j DROP

Est ce que cela permettra a ces 3 ip d'acceder a Ipcop via la page web ?

[tomtom]

sbin/iptables/ -I INPUT -s !10.0.083 -p tcp --destination-port 81 -j DROP
/sbin/iptables/ -I INPUT -s !10.0.084 -p tcp --destination-port 81 -j DROP
/sbin/iptables/ -I INPUT -s !10.0.085 -p tcp --destination-port 81 -j DROP

Oula, il y a ces règles dans le newbie kit ? A mon avis, elles vont bloquer l'accès à tout le réseau vert (dans le cas des 3 règles ).

Sinon, je pense que le plus simple pour ton cas est d'utiliser la contrib BOT (Block Out Traffic) qui te permettra de limiter les accès à IPCop depuis l'interface web, et en plus te permettra de controler le traffic sortant

t.

[Franck78]

D'abord c'est 10.0.0.x (avec un point)

Ensuite un peu de logique:

la première régle dit

Jeter tout ce qui n'a pas comme IP source 10.0.0.83 et destination port 81

la deuxiéme dit la même chose mais pour une autre IP: 10.0.0.84

Mais puisque 10.0.0.84 n'est pas 10.0.0.83, la première règle a déjà agit....

Donc la solution 'logique' est fausse. (mais l'esprit y est, le serveur web d'admin est bien en port 81 mais surtout en 445).

=> BOOLE


Bye

[xandre]

/sbin/iptables/ -I INPUT -s !10.0.0.83 -p tcp --destination-port 81 -j DROP
/sbin/iptables/ -I INPUT -s !10.0.0.84 -p tcp --destination-port 81 -j DROP
/sbin/iptables/ -I INPUT -s !10.0.0.85 -p tcp --destination-port 81 -j DROP
je me doutais de la tournure des opérations.


Et en raisonnant a l'inverse ?
Le but est de tout bloquer puis d'ouvrir au cas par cas...

/sbin/iptables/ -I INPUT -s 10.0.0.0 -p tcp --destination-port 445 -j DROP
/sbin/iptables/ -I INPUT -s 10.0.0.83 -p tcp --destination-port 445 -j ACCEPT
/sbin/iptables/ -I INPUT -s 10.0.0.84 -p tcp --destination-port 445 -j ACCEPT

[Franck78]

Ca sera mieux en utilisant CUSTOMINPUT

J'aime pas trop -I car il faut lire à "l'envers" les règles. Piègeant.

/sbin/iptables/ -I INPUT -s 10.0.0.0 -p tcp --destination-port 445 -j DROP

c'est mieux ainsi:

/sbin/iptables/ -I INPUT -p tcp --destination-port 445 -j DROP

[xandre]

Ca sera mieux en utilisant CUSTOMINPUT

Excuse moi Franck mais je n'ai pas saisi ta remarque.


Pour la suite, si j'ai bien compris, il faut que je rentre ces regles :

je bloque tout acces au port 445 SANS indiquer d'adresse reseau :
/sbin/iptables/ -I INPUT -p tcp --destination-port 445 -j DROP

j'autorise au cas par cas ensuite :
/sbin/iptables/ -I INPUT -s 10.0.0.83 -p tcp --destination-port 445 -j ACCEPT
/sbin/iptables/ -I INPUT -s 10.0.0.84 -p tcp --destination-port 445 -j ACCEPT

[shwing]

Il y a ceci aussi :

Question: Rendre impossible la vue de la page index.cgi

Mots-clé: httpd.conf , password, mot de passe, sécurité, home page, authentification, page de garde,

Réponse: modifier le fichier httpd.conf aux lignes 58 à 65 modifier ceci


<Files index.cgi>
Satisfy Any
Allow from All
</Files>

<Files credits.cgi>
Satisfy Any
Allow from All
</Files>

par ceci:

<Files index.cgi>
AllowOverride None
Options None
AuthName "Restricted"
AuthType Basic
AuthUserFile /var/ipcop/auth/users
Require user admin
</Files>

<Files credits.cgi>
AllowOverride None
Options None
AuthName "Restricted"
AuthType Basic
AuthUserFile /var/ipcop/auth/users
Require user admin
</Files>

lancer la commande "killall httpd" et relancer par "httpd -DSSL"

qui pour moi ceci devrait être de base dans ipcop. mais bon la modif est facile et rapide à faire.

[Franck78]

Ca sera mieux en utilisant CUSTOMINPUT

Excuse moi Franck mais je n'ai pas saisi ta remarque.

Mais simplement tu t'es posé 1% du problème. Tu as bien la commande qui résout ton problème. Maintenant tu ne peux pas arriver en terrain conquis, poussez-vous, mes règles sont prioritaires, etc...

Il te faut vérifier comment ajouter ça proprement dans l'existant, voir qui appele quoi, ce qui est prévu.

C'est la démarche logique, IPCop ou pas.

Qu'est-ce qui te garanti que le coeur de l'IPCop ne vires pas régulièrement la chaine INPUT....? Rien!

[tomtom]

Heu, installer BOT? ça te dit toujours pas???

t.

[xandre]

@shwing : merci pour le rappel. J'avais vu cette solution mais ne l'ai pas testée. Ce qui serait bien pour accompagner cette methode serait de lister tous les cgi. En effet, si j'ai bien compris, si index.cgi n'est plus accessible, il faut appeler les autres cgi via la barre d'adresse du navigateur.

@Tomtom :
J'ai essayé BOT. Le truc c'est que des qu'il est installé, toutes les regles sont remises a zéro. Il faut TOUT recréer. Sinon cet add-on est tres bien. J'avoue j'ai la flemme de "tout" refaire.

@Franck : en gros il faut que j'entre ces regles PROPREMENT dans Ipcop. Pas les balancer a l'arrache via la ligne de commande. J'y songeais effectivement. Et bien entendu, tests de bon fonctionnement obligatoires avant la "mise en production".

[Franck78]

@Franck : en gros il faut que j'entre ces regles PROPREMENT dans Ipcop. Pas les balancer a l'arrache via la ligne de commande. J'y songeais effectivement. Et bien entendu, tests de bon fonctionnement obligatoires avant la "mise en production".

C'est l'évidence même. En répondant à la contrainte 'PROPREMENT', tu découvriras ce que IPCop met à ta dispo (pas beaucoup documenté).