Interdire MSN avec L7 - Tutoriel (V1.4.21) a parfaire

[foxco]

Bonjour à toutes et tous,
Mon souhait est de bloquer MSN sur mes différents IPcops.

Voila précisement ce que je fais :

1. install Ipcop 1.4.20
2. install 1.4.21 update
3. turn on ssh
3. copy over the new layer7 file from EMBCop.org for layer7
4. tar xvfj ipcop-1.4.21-kernel-2.4.36.6-smp-tar-tar -C /
5. Run this command: touch /var/run/need-depmod-`uname -r`
6. reboot.

7. installation de l'addon

tar xfz l7blocker_ipcop_1.4.11.tar.gz
cd l7blocker
./install -i

8. Ensuite patch pour faire apparaitres les protocoles

/var/ipcop/l7filter/wget http://voxel.dl.sourceforge.net/sourcef ... -18.tar.gz

tar zxvf l7-protocols-2008-12-18.tar.gz
/bin/rm -rf /etc/l7-protocols/
mv l7-protocols-2008-12-18 /etc/l7-protocols
/bin/chown -R root.root /etc/l7-protocols
rm l7-protocols-2008-12-18.tar.gz

(Ensuite update avec Putty -> /var/ipcop/l7filter -> ./l7update)

9. je crée un groupe (tout le réseau)
10. je crée une règle (je séléctionne les 2 services MSN)
11. je merge les deux
12. je démarre le service
13. MSN fonctionne toujours.

Mon experience avec Ipcop se limitait jusqu'a présent à une installation de base et Urlfilter.

Force est de constater que mes connaissances Linuxiennes ne me permettent pas d'aller plus loin.

Un petit coup de main serait apprécié.

Merci.

[Gesp]

Pourquoi ne pas utiliser le blocage par iptables qui est plus simple à mettre en oeuvre que de changer le noyau ipcop original avec tous les problèmes que cela pose pour la maintenance par la suite.

http://forums.ixus.fr/viewtopic.php?t=17046 et chercher

Code: Tout sélectionner

blocage filtrage MSN

[foxco]

C'est effectivement une très bonne idée.

Il me suffirait de définir les règles comme suit :

# Nouvelle cible pour logguer les paquets
/sbin/iptables -N msn-drop
/sbin/iptables -A msn-drop -j LOG --log-prefix "Iptables:msn:DROP:" --log-level 6
/sbin/iptables -A msn-drop -j DROP
# Blocage des paquets entrants des gateways MS
# (cette règle est à supprimer si on veut laisser l'accès à d'autre machines)
/sbin/iptables -I INPUT -s 207.46.0.0/16 -j msn-drop
# Blocage des paquets sortants pour les machines d'adresse AdresseIPx
/sbin/iptables -I OUTPUT -s AdresseIP1 -d 207.46.0.0/16 -j msn-drop
/sbin/iptables -I OUTPUT -s AdresseIP2 -d 207.46.0.0/16 -j msn-drop


Ou puis je définir ces règles ?
ligne par ligne via putty ?
ou (idéalement) en pouvant editer un ficher ?

Merci

[foxco]

Entendu que Iptable me permet de faire du port forwarding
ex : iptables -t nat -A PREROUTING -p tcp --dport NUMERO_PORT_DESTINATION -i INTERFACE -j DNAT --to-destination IP_DESTINATION:PORT_DESTINATION

Vais je retrouver dans un fichier de config les règles de port forwarding définie via le GUI ?

Merci pour votre aide.

[Gesp]

Tu dois utiliser inserer tes lignes dans /etc/rc.d/rc.firewall.local dans la section start.

[foxco]

Petit soucis : ca ne va pas
j'ai donc défini le fichier rc.firewall.local comme suit
et ai redemarré Ipcop

Mes machines portent des ip en 10.0.0.X - 255.255.255.0


#!/bin/sh
# Used for private firewall rules

# See how we were called.
case "$1" in
start)
## add your 'start' rules here

# Nouvelle cible pour logguer les paquets
/sbin/iptables -N msn-drop
/sbin/iptables -A msn-drop -j LOG --log-prefix "Iptables:msn:DROP:" --log-level 6
/sbin/iptables -A msn-drop -j DROP

# Blocage des paquets entrants des gateways MS
# (cette règle est à supprimer si on veut laisser l'accès à d'autre machines)
/sbin/iptables -I INPUT -s 207.46.0.0/16 -j msn-drop

# Blocage des paquets sortants pour les machines d'adresse AdresseIPx
/sbin/iptables -I OUTPUT -s 10.0.0.0/24 -d 207.46.0.0/16 -j msn-drop

;;
stop)
## add your 'stop' rules here
;;
reload)
$0 stop
$0 start
## add your 'reload' rules here
;;
*)
echo "Usage: $0 {start|stop|reload}"
;;
esac

[foxco]

Je confirme,
MSN fonctionne toujours mais par contre, impossible d'acceder a windows update