Ipcop 1.2 -> problème pour bloquer FTP et mail.

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar ShonGail » 29 Avr 2003 09:40

hello, <BR> <BR>j'ai ajouté ces règles à la fin du rc.firewall.up : <BR> <BR>
Code: Tout sélectionner
<BR># bloquer ftp <BR>ipchains -I input -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 20 <BR>ipchains -I input -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 21 <BR> <BR>#bloquer mail <BR>#ipchains -I input -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 110 <BR>#ipchains -I input -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 25 <BR> <BR>#exception ftp <BR>#ipchains -I input -j ACCEPT -p tcp -s 192.168.0.252/32 -d 0.0.0.0/0 20 <BR>#ipchains -I input -j ACCEPT -p tcp -s 192.168.0.252/32 -d 0.0.0.0/0 21 <BR> <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.0.253/32 -d 0.0.0.0/0 20 <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.0.253/32 -d 0.0.0.0/0 21 <BR> <BR>#ipchains -I input -j ACCEPT -p tcp -s 192.168.0.204/32 -d 0.0.0.0/0 20 <BR>#ipchains -I input -j ACCEPT -p tcp -s 192.168.0.204/32 -d 0.0.0.0/0 21 
<BR> <BR>En l'état cela fonctionne. Je bloque le FTP pour tout le réseau sauf une seule IP. <BR> <BR>mais si je décommente les règles concernant les mails ou une de celles concernant l'exception FTP, alors ipcop refuse de lancer la connexion (adsl avec speedtouch home ethernet) au redemarrage <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Quel peut-etre le problème <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Merci
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar nemesis » 29 Avr 2003 10:04

juste un truc : <BR> <BR>je pense que tu devrai mettre les exception avant le bloquage en effet ipchains lis les règles de haut en bas et il applique la première règle trouvée correspondant au paquet en cours de traitement donc même si t'avais pas ton problème de connexion je pense (je suis pas sur non plus <IMG SRC="images/smiles/icon_lol.gif"> ) que ton ip ne serait pas autorisée à ouvrir le ftp.... <BR> <BR>par contre je vois pas ce qui peut bloquer la connex... dsl <BR>tcho
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar ShonGail » 29 Avr 2003 11:04

ok merci je vais inverser l'ordre des règles. <BR> <BR>une fois mon fichier rc.firewall.up modifié; suis-je obligé de redémarrer ipcop ou y'a t'il moyen que les règles soient prises en compte de suite ?
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar grosbedos » 29 Avr 2003 11:08

ben tu execute rc.firewall.down puis le rc.firewall.up....mais en local sur la machine..pas par ssh <IMG SRC="images/smiles/icon_wink.gif">
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar nemesis » 29 Avr 2003 11:22

ouai mais bon un bon reboot est pas mal non plus...
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar ShonGail » 29 Avr 2003 11:24

exécuter, cela signifie simplement taper rc.firewall.down et rc.firewall.up à la suite ? <BR> <BR> <BR>PS : je testerai cela après 17h, quand la connexion ne sera plus utilisée.
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar ShonGail » 29 Avr 2003 13:53

bon j'ai mis les règles dans cet ordre là : <BR> <BR>#exception ftp <BR> <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.0.18/32 -d 0.0.0.0/0 20 <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.0.18/32 -d 0.0.0.0/0 21 <BR> <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.0.253/32 -d 0.0.0.0/0 20 <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.0.253/32 -d 0.0.0.0/0 21 <BR> <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.0.207/32 -d 0.0.0.0/0 20 <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.0.207/32 -d 0.0.0.0/0 21 <BR> <BR># bloquer ftp <BR>ipchains -I input -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 20 <BR>ipchains -I input -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 21 <BR> <BR>#bloquer mail <BR>#ipchains -I input -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 110 <BR>#ipchains -I input -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 25 <BR> <BR> <BR>et le FTP est bloqué sur tout le réseau <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Vous êtes sur que les exceptions doivent etre placées avant la règle générale ?
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar ShonGail » 29 Avr 2003 13:58

J'ai replacé les exceptions après la règle générale et elles fonctionnent toutes <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Bizarre quand même, la dernière fois ou j'ai dépassé une exception, la connexion ne démarrait pas <IMG SRC="images/smiles/icon_confused.gif">
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar nemesis » 29 Avr 2003 13:58

ah bha ça... enfin toutes les docs que j'ai pu consulter sur ipchaines indiquent que c'est la première règle correspondant a un paquet traité qui est prise en compte!!! <BR> <BR>dc si ton paquet correspond a une machine pouvant passer en ftp (dc une des exception !) il doit passer le firewall sinon il est bloqué. <BR> <BR>un truc que tu peux faire c commenter les exception et voir ce k'il se passe car si en les commentant tu as une machine kelle k'elle soit qui fait du ftp tes regle de bloquage ne sont pas bonne dejà ça reglera un pb <BR> <BR>en suite commente tes regles de bloquage (ss debloquer les exception) et là ça doit passer pour ttes les machines et enfin décomente tes regles une a une pour voir d'ou viens le crache je vois ke ça pour te deplanter dsl... <BR>@+ <BR>nico
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar ShonGail » 29 Avr 2003 14:03

A priori la règle générale fonctionne puisque je n'ai pas accès au ftp sauf sur les 3 ip définies dans les exceptions <BR> <BR> <BR>je vais essayer le mail maintenant <IMG SRC="images/smiles/icon_biggrin.gif">
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar tomtom » 29 Avr 2003 14:59

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-04-29 13:53, ShonGail a écrit: <BR> <BR> <BR>Vous êtes sur que les exceptions doivent etre placées avant la règle générale ? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>IPTables lit les règles dans l'ordre ou elles sont dans les chaines. <BR> <BR>Mais il faut savoir aussi que -I fait une insertion en tete de chaine (donc la nouvelle règle sera la première executée) et -A fait un "append", donc la nouvelle règle sera regardée en dernier. <BR> <BR> <BR>Un bon moyen pour ne pas se melanger les pedales et d'ecrire les règles dans l'ordre et d'utiliser -A. <BR> <BR>Il faut les inverser si on utilise -I, donc ton premier script etait bon ! <BR> <BR>Autre point, lorsque les paquets sont destines à une machine distante c'est la chaine forward de la table FILTER (table par defaut donc pas besoin de la specifier) qui doit etre utilisée. <BR> <BR>La chaine input est reservée aux paquets pour la machine locle (le firewall), et doit donc etre utilisée pour les acces ssh au firewall par exemple. <BR> <BR>Moi je ferais un truc du genre : <BR> <BR>#Authoriser FTP et MAIL pour une IP: <BR>iptables -A forward-p tcp -s 192.168.0.204/32 --dport 21 -j ACCEPT <BR>iptables -A forward-p tcp -s 192.168.0.204/32 --dport 25 -j ACCEPT <BR>iptables -A forward-p tcp -s 192.168.0.204/32 --dport 110 -j ACCEPT <BR> <BR># Bloquer le reste <BR>iptables -A forward-p tcp -s 192.168.0.0/24 --dport 21 -j DROP <BR>iptables -A forward-p tcp -s 192.168.0.0/24 --dport 25 -j DROP <BR>iptables -A forward-p tcp -s 192.168.0.0/24 --dport 110 -j DROP <BR> <BR> <BR>Voila voila.... <BR> <BR> <BR>Thomas <BR> <BR> <BR> <BR>
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar nemesis » 29 Avr 2003 15:08

ah bha vi j'avais pas fait gaffe au coup du -I oups dsl..... <BR>et ici on parle de ipchaines (v 1.2 d'ipcop pour iptable c'est v 1.3 voilààà) <BR>tcho
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar tomtom » 29 Avr 2003 15:12

Ha bah oui moi j'avais pas fait gaffe que c'est ipchains donc oubliez le truc de la table forward / input !!! <BR> <BR> <BR>Mais il y en a qui osent encore utiliser ipchains ???? Faut migrer là, faut migrer.... <BR> <BR> <BR>Thomas
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar nemesis » 29 Avr 2003 15:39

moi je migrerai kd la route aura bien été déminée par les autres car il y a apparement kk soucis avec la 1.3 <BR>
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar tomtom » 30 Avr 2003 09:56

Lol je ne parlais pas forcement d'IPCop <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR> <BR>Mais sinon je pense sincèrement que le passage à IPTables est OBLIGATOIRE ! <BR> <BR>Thomas
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité