Un petit coup de pouce en Iptables !

[snipalt]

Comme les autres Forums ont l'air un peu Mort :

Une petite question sans Ipatbles !
--> J'ai déjà lu Le guide De Survie, et un tas de Doc, mais j'ai encore du Mal et très peu de temps !


http://forums.ixus.net/viewtopic.php?t=20452

[romangeur]

Une petite ruse qui vient du site d'Antolien ...

Tout bloquer d'abord, puis autoriser ensuite (inversement de la politique d'ipcop 1.4)
Vous avez envie d'être plus retrictif avec vos utilisateurs et de leur autoriser de faire seulement du http, https, ftp pour tout le lan, et autoriser le pop3 juste pour une @ip (par exemple...)

En ligne de commande, authentifié en tant que root, tapez :

root@ipcop:~ # vi /etc/rc.d/rc.firewall

vous êtes dans le fichier de configuration des règles du firewall ipcop.

Tapez "156G " pour aller à la ligne 106, soit la ligne " /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT"


Ajoutez un # au début afin de la commenter, ce qui nous donne :

# /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT

Sortez du mode insert et tapez " :wq " pour enregistrer les modifications et quitter vi.

Nous allons maintenant éditer un autre fichier, ce qui permet une meilleure lisibilité de vos propres règles :

root@ipcop:~ # vi /etc/rc.d/rc.firewall.local

insérez vos autorisations après la ligne
## add your 'start' rules here

#Comme exemple nous allons autoriser le lan (en 10.0.0.0/24) à faire du http,https,ftp.

/sbin/iptables -A FORWARD -i eth0 -s 10.0.0.0/24 -m multiport -p tcp --dport 80,443,21 -m state --state NEW -j ACCEPT

#Voici une règle spécifique pour que l'@ip 10.0.0.20 ait le droit de récupérer des e-mails en pop3

/sbin/iptables -A FORWARD -i eth0 -s 10.0.0.20 -p tcp --dport 110 -m state --state NEW -j ACCEPT

Après avoir entré toutes vos règles, vous pouvez enregistrer et quitter vi (:wq)

Pour appliquer les règles tapez /etc/rc.d/rc.firewall restart (rc.firewall.local est appelé par le rc.firewall)

ça devrait t'aider ...

[snipalt]

Clair, net précis !


Mais le Pb, c'est que je ne peux pas inverser cette poilitique ! ! !
Et mon script ne semble pas être prit en compte !



J'ai dével une appli qui permet dans le cadre d'un Lycée, un choix d'une politique de restriction.

Un Firewall concentre tous les réseaux [salles], par défaut le Firewall doit être transparent [on ne doit même pas ressentir sa présece], mais lorsqu'il y a baisse d'écoute le prof peut choisir de bloquer Internet pour sa salle, et uniquement ! Toute mon appli trourne, il faut maintenant lui ajouter au moins un script [histoire de montrer que ça marche]

Et ça ne pourra marcher que comme ça ! Montrez moi que c'est possible ! ! !

Merci d'avance !

[grosbedos]

salut,

le probleme c'est qu'il ne faut pas utiliser -A mais -I
(genre iptables -I FORWARD -d IP -j DROP)
et fait attention...la je suppose que tu n'utilises pas le proxy !
et il ne faut pas utiliser INPUT mais FORWARD
et essaye de préciser les interfaces d'entrée et sortie....(je ne connais pas ta config pour les interfaces..donc ce n'est qu'un exemple)

iptables -N <CHAIN>
iptables <A-D> FORWARD -i ppp0 -o eth0 --protocol tcp -m multiport --sports 80,443 -m state --state ESTABLISHED,RELATED -j <CHAIN>
iptables <A-D> FORWARD -i eth0 -o ppp0 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED,RELATED -j <CHAIN>
iptables <A-D> <CHAIN> -d <IP> -j DROP
iptables <A-D> <CHAIN> -s <IP> -j DROP

[guiguid]

remplace le -A (append)

par du -I numdeligne (Insert à la numdeligne position)

pour avoir tout bon iptables -I 1 ....

salut.

[grosbedos]

et au fait,
il existe une distribution qui repondrai à tes besoins je pense,
c'est censornet,
une de ces utilités et de gérer l'acces au web, par classe, groupe...le tout avec authentification sur controleur de domaine...gerer des black listes etc.

[snipalt]

ça ne marche toujours pas ! ! !

Configuration de mon Client :
IP : 172.33.0.7
MASQUE : 255.255.255.0
DNS 1 : 195.83.142.200


Configuration du serveur :
172.33.0.1, 255.255.255.0

---------------------------------------------------------------------------------------

Script généré : : :

Code: Tout sélectionner


0  #Empeche l utilisateur de faire du http   

1  #creation de la chaine si elle n existe pas   

2  iptables -N reseau_test   

3  # on renvoie vers reseau_test (-j reseau_test)   

4  #http source   

5  iptables -I FORWARD -i ppp0 -o eth0 --protocol tcp -m multiport --sports 80,443 -m state --state ESTABLISHED,RELATED -j reseau_test   

6  #http destination   

7  iptables -I FORWARD -i eth0 -o ppp0 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED,RELATED -j reseau_test   

8  #refus pour tout les paquets du sous reseau a rentrer dans chaine   

9  iptables -I reseau_test -d 172.33.0.0/24 -j DROP   

10  iptables -I reseau_test -s 172.33.0.0/24 -j DROP   

nombre total de commandes :5-- commandes réussies :5-- commandes échouées :0--


Voila ce qu'il me renvoie, sur le serveur tout s'est bien passé, pourquoi l'accès à Internet est-il encore possible ? ? ? ? Il ne me reste moins d'une journée pour trouver la solution ! Je balise !

Merci[/code]

[antolien]

Bonjour,

Tu n'aurais pas inversé les interfaces ?

-i (input) interface d'entrée
-o (output) interface de sortie

donc ce serait plutôt -i eth0 -o ppp0

[grosbedos]

ou le proxy activé..

[antolien]

Oui, le proxy en transparent

[Franck78]

Code: Tout sélectionner


0  #Empeche l utilisateur de faire du http   
1  #creation de la chaine si elle n existe pas   
2  iptables -N reseau_test   
3  # on renvoie vers reseau_test (-j reseau_test)   
4  #http source   
5  iptables -I FORWARD -i ppp0 -o eth0 --protocol tcp -m multiport --sports 80,443 -m state --state ESTABLISHED,RELATED -j reseau_test   
6  #http destination   
7  iptables -I FORWARD -i eth0 -o ppp0 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED,RELATED -j reseau_test   
8  #refus pour tout les paquets du sous reseau a rentrer dans chaine   
9  iptables -I reseau_test -d 172.33.0.0/24 -j DROP   
10  iptables -I reseau_test -s 172.33.0.0/24 -j DROP   


5,9: plutôt inutile non ? Chaque élève de la salle se comporte seulement en client.

Le code ipcop iptables s'occupe 'déjà' de ce qui est ESTABLISHED,RELATED.
La seule chose à faire est de ne pas laisser démarrer la connexion.

La seule ligne utile serait la ligne 10, et placée dans PREROUTING:

iptables -t nat -I PREROUTING -s 172.33.0.0/24 -p tcp -m multiport --dports 80,443,800 -j DROP
IMHO


bye

[snipalt]

iptables -t nat -I PREROUTING -s 172.33.0.0/24 -p tcp -m multiport --dports 80,443 -j DROP



Bien joué ! ! ! !

Hé bien celle-ci je ne l'avais pas vu, et elle mériterait bien de se trouver dans le manuel de susrvie ! ! !


Merci Franck ! Tu me permets de finir mon projet ! MAintenant, reste 7 jours pour rendre mon rapport ! ! !



Merci 10000 fois !

[snipalt]

Et dans la même logique, le blocage de Mails (SMTP//POP3) suit la même logique ? ? ?

Merci

[Franck78]

ben oui !

[snipalt]

Donc ::::::

iptables -t nat -I PREROUTING -s 172.33.0.0/24 -p udp -m multiport --dports 110,25 -j DROP

--> Je suis un peu perplexe !

Et un petit blocage d'MSN sur le port 1863 ? ? ? Par l'exemple !


Merci de ton aide ! ! !


Après plus aucune question ! Promi !