Iptables- règles -blocage de ping - Accès web down

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar xjinh » 14 Mars 2004 20:08

Bonjour, <BR> <BR>Il y a qques jours, j'ai voulu mettre en place les règles indiquées par antolien pour bloquer les pings. <BR>J'ai donc ajouté les lignes : <BR> <BR>/sbin/iptables -A INPUT -p icmp --icmp -type 0 -j DROP <BR>/sbin/iptables -A INPUT -p icmp --icmp -type 5 -j DROP <BR>/sbin/iptables -A INPUT -p icmp --icmp -type 8 -j DROP <BR> <BR>A noter que j'ai mis un espace entre icmp et -type. <BR>Je relance ipcop et j'essaie de le pinger de l'intérieur de mon lan. <BR> <BR>Et ça fonctionne <BR> <IMG SRC="images/smiles/icon_eek.gif"> <BR> <BR>Donc je retourne dans le rc.firewall et j'enlève l'espace entre icmp et -type ce qui donne: <BR> <BR>/sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP <BR>/sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP <BR>/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP <BR> <BR>Je reboote et j'essaie à nouveau de pinger. <BR>Ca ne répond pas. <BR> <BR>JE me dis c'est bien, ça fonctionne. <BR>Je reprends alors mon surf sur le web et la.....plus d'accès web <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Je réessaie et rien . <BR> <BR>Je me dis que ça vient des règles ajoutées. <BR>Je les supprime et remets les lignes de la config d'origine. <BR> <BR>Je reboote et là, tjrs pas de web. <BR> <BR>J'ai rééssayé 3-4 fois et ipcop n'a rien voulu savoir. <BR>Au final, je l'ai réinstallé. <BR> <BR>Mais j'aimerais bien comprendre pourquoi ça a fait ça. <BR>Normalement en supprimant les lignes ajoutées, il aurait dû revenir à la config de départ. <BR> <BR>Comment est-ce possible? <BR>Est-ce que les espaces sont importants qd on entre des règles??
Avatar de l’utilisateur
xjinh
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 06 Mai 2003 00:00

Messagepar tomtom » 14 Mars 2004 21:53

les espaces entre icmp et type sont importants.. <BR> <BR>Je pense que ton problème vient de l'utilisation d'un mauvais editeur pour ton fichier. <BR> <BR>Si tu l'as edité sous windows et réuploadé, il est probablement corrompu ! <BR> <BR>t. <BR> <BR>
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar xjinh » 14 Mars 2004 22:34

Non en fait j'ai imprimé la doc d'antolien et j'ai édité avec VI
Avatar de l’utilisateur
xjinh
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 06 Mai 2003 00:00

Messagepar tomtom » 14 Mars 2004 22:39

arf tu as du faire une erreur alors... <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Franck78 » 14 Mars 2004 22:55

antolien, antolien,... C'est pour du ipcop 1.3 son truc <BR>Si les commandes sont bonnes, encore faut-il les placer <BR>au bon endroit. <BR> <BR>rc.firewall.local <BR>en reprenant le modèle case .... esac <BR> <BR>Antolien, tu corriges quand ton site ? <BR>
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar xjinh » 14 Mars 2004 23:24

Je suis sur du 1.3. <BR>Par contre si le bon emplacement s'est effectivment rc.firewall.local, j'avais pas mis les lignes au bon endroit. Mais sous la version 1.3, il n'y a pas ce fichier <BR>
Avatar de l’utilisateur
xjinh
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 06 Mai 2003 00:00

Messagepar xjinh » 18 Mars 2004 20:37

Je viens de faire un petit test chez moi. <BR>J'ai mis les règles d'antolien pour bloquer les ping. <BR> <BR>Il précise bien que les règles bloquent les ping au sein de l'intranet et ceux provenant du web. <BR> <BR>Chez moi j'arrive a pinguer mon firewall de mon lan. Mais je n'arrive pas a pinger un site extérieur. (par ex je lance un ping <!-- BBCode auto-link start --><a href="http://www.yahoo.fr" target="_blank">www.yahoo.fr</a><!-- BBCode auto-link end --> et ça marche pas.) <BR> <BR>D'où ma question: <BR> <BR>qd on dit que ces règles bloquent les ping de l'intérieur du réseau et ceux de l'extérieur, on peut qd meme pinger le fw de l'intérieur du réseau mais pas une machine à l'extérieur? <BR> <BR>Si la réponse est oui, c'est que ça fonctionne bien.
Avatar de l’utilisateur
xjinh
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 06 Mai 2003 00:00

Messagepar antolien » 18 Mars 2004 22:46

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-03-14 21:55, Franck78 a écrit: <BR>antolien, antolien,... C'est pour du ipcop 1.3 son truc <BR>Si les commandes sont bonnes, encore faut-il les placer <BR>au bon endroit. <BR> <BR>rc.firewall.local <BR>en reprenant le modèle case .... esac <BR> <BR>Antolien, tu corriges quand ton site ? <BR> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>Hum, en effet mon site est a l'abandon. Pour plusieurs raison, la première c'est que je n'ai pas le temps, la seconde est que je n'utilises plus ipcop. <BR> <BR>Une autre raison, je tiens à rappeler que la version 1.3 d'ipcop est la dernière version stable, et donc si je prend le temps de mettre à jour mon site ce sera pour la prochaine version stable. <BR> <BR>Et puis Franck78 tu es gentil mais ces règles marchent très bien pour la 1.3 en éditant le rc.firewall. <BR> <BR>J'en profite pour dire avec du recul que bloquer les pings sur une passerelle n'est pas malin. J'avais fait ça car lorsqu'il y a un scan de l'exterieur, on peut être découragé lorsque l'hôte ne répond pas aux pings. Vous avez déjà fait un nmap -P0 sur une ligne 512k ? boarf il faut avoir le temps... <BR>Le résultat de la detection d'os devient aussi très aléatoire. <BR>Finalement, s'il on est sûr de son firewall, l'intérêt est limité de bloquer les pings. <BR> <BR> <BR>[B]Plutôt que de critiquer, mettez un site en ligne avec des solutions à jour [B] <BR>Rien ne vous y empêche. <BR> <BR>Où même vous pouvez m'envoyer des pages suivant le modèle du site (pas compliqué) avec des solutions, où évolutions.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar xjinh » 19 Mars 2004 09:14

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>J'en profite pour dire avec du recul que bloquer les pings sur une passerelle n'est pas malin. J'avais fait ça car lorsqu'il y a un scan de l'exterieur, on peut être découragé lorsque l'hôte ne répond pas aux pings. Vous avez déjà fait un nmap -P0 sur une ligne 512k ? boarf il faut avoir le temps... <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Salut, <BR> <BR>Tu pourrais expliciter. JE ne comprends pas tout (newbie désolé <IMG SRC="images/smiles/icon_cry.gif"> ) <BR> <BR>Surtout ce qui concerne le nmap. <BR> <BR>Et selon toi, il vaut mieux bloquer les pings qd le fw ne fait pas office de passerelle?? (c'est à dire quand les pc se connectent directement au web en passant par le fw). <BR> <BR> <BR>
Avatar de l’utilisateur
xjinh
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 06 Mai 2003 00:00

Messagepar Franck78 » 19 Mars 2004 10:09

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Et puis Franck78 tu es gentil mais ces règles marchent très bien pour la 1.3 en éditant le rc.firewall. <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>Oui, oui, quand j'ai tapé ce post, j'ai zappé complètement l'existence <BR>de la 1.3. Puis après j'ai découvert que l'on pouvait post modifié un <BR>post <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Cependant si tu as 1 minute, rajoute que ca concerne la 1.3 pour la position d'insertion des lignes. <BR>Et pas en ligne de commande !!! <BR> <BR>Sorry
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité