A l'aide : Filtrage de l'accès à OpenVpn par BlockOutTraffic

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

A l'aide : Filtrage de l'accès à OpenVpn par BlockOutTraffic

Messagepar jsilva » 13 Oct 2009 16:32

Objet : Filtrage des accès à OpenVpn conditionné à l'adresse IP du PC distant par BlockOutTraffic

Config:
IpCop 1.4.21
ZERINA-0.9.7a14
BlockOutTraffic 3.0.0 - Build 3

Problème de configuration des règles de BlockOutTraffic avec l'interface graphique pour :

1- Interdire la connexion à OpenVpn depuis n'importe quelle adresse IP
2- Autoriser seulement quelques adresses IP à ce connecter

Quelqu'un pourrait-il m'indiquer les règles à mettre en place avec BlockOutTraffic 3.0.0, via l'interface graphique (GUI), pour empêcher le service OpenVPN (DROP) de répondre à la tentative de connexion ?

Il ne s'agit pas de filtrer les services accessibles par OpenVpn (Zerina HOWTO client-specific access rules) mais d'empêcher la réponse à la tentative de connexion.

Ceci est possible modifiant le fichier /etc/rc.d/rc.firewall.local :
sous
start)
.............................................
#Added for zerina start - END
# Ajoute par moi - DEBUT
# Interdire en entrée le protocole UDP par le Port 1194
/sbin/iptables -I INPUT -p udp --dport 1194 -j DROP
# Autoriser en entrée le protocole UDP par le Port 1194 pour l'adresse source w.x.y.z
/sbin/iptables -I INPUT -p udp --dport 1194 -s w.x.y.z -j ACCEPT
# Ajoute par moi - FIN
.............................................
sous
stop)
.............................................
## add your 'stop' rules here
# Ajoute par moi - DEBUT
/sbin/iptables -D INPUT -p udp --dport 1194 -s w.x.y.z -j ACCEPT
/sbin/iptables -D INPUT -p udp --dport 1194 -j DROP
# Ajoute par moi - FIN
.............................................

Mais je souhaiterais pouvoir obtenir le même résultat via l'interface graphique (GUI) de BlockOutTraffic 3.0.0 sur IpCop.

Merci d'avance,
J.Silva
jsilva
Matelot
Matelot
 
Messages: 3
Inscrit le: 12 Oct 2009 18:54

Messagepar ccnet » 13 Oct 2009 16:49

De mémoire et rapidement, il me semble que lors de la sortie de BOT 3, le site comportait une information sur le sujet car la version précédente acceptait systématiquement des demandes de connexion. Or il n'en est pas de même en version 3 pour laquelle le trafic Openvpn doit être explicitement autorisé. Avec vous cherché sur le site de BOT ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Avec vous cherché sur le site de BOT ?

Messagepar jsilva » 13 Oct 2009 17:05

Tout à fait. J'ai pris connaissance de cette information.
Néanmoins il ne s'agit pas de bloquer le trafic lui même (bloqué par défaut par BOT) mais de bloquer / empêcher la connexion au service avant même qu'il ne soit question de trafic sur le VPN.

Merci pour votre intervention.

J.Silva
jsilva
Matelot
Matelot
 
Messages: 3
Inscrit le: 12 Oct 2009 18:54

Messagepar ccnet » 13 Oct 2009 18:25

Je ne comprend pas bien où vous souhaitez en venir.
A tout hasard, pour bloquer une ip lamba indépendamment du service demandé, c'est à dire ne pas répondre à cette ip j'utilisais Banish. http://ww2.banish.sidsolutions.net:8081/
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Je ne comprend pas bien où vous souhaitez en venir

Messagepar jsilva » 13 Oct 2009 19:11

Je suis désolé mais je ne peux pas m'expliquer plus clairement.

Cette question s'adresse tout particulièrement à celles et ceux qui utilisant la trilogie IpCop/Zerina/BlockOutTrafic ont été confronté(e)s au même problème. Un retour d'expérience.

Il se peut qu'il n'y aie pas de solution via le GUI avec cette configuration/versions, et donc acte.

Mais, confronté au même problème il y a un an, avec les version de l'époque de la trilogie, j'ai pu obtenir le résultat escompté à partir du GUI de BOT. Malheureusement il s'agissait d'un test pour évaluer les fonctionnalités avant une mise en production éventuelle et le document retraçant la configuration à été égaré.

En vous remerciant de l'attention que vous avez bien voulu consacrer à mon problème,

J.Silva
jsilva
Matelot
Matelot
 
Messages: 3
Inscrit le: 12 Oct 2009 18:54


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron