Règles de ports -> besoin d'une confirmation svp

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar xjinh » 03 Mars 2004 14:55

Bonjour, <BR> <BR>Avant toute chose, je voudrais remercier Antolien pour toutes les infos que l'on peut trouver sur son site : <!-- BBCode auto-link start --><a href="http://antolien.nerim.net" target="_blank">http://antolien.nerim.net</a><!-- BBCode auto-link end --> <BR> <BR>Suite à la lecture de ces petites faq, j'ai qqes petites qestions: <BR> <BR>Je souhaite empêcher les utilisateurs du lan à accèder au p2p, messageries instantanées... <BR> <BR>Je voudrais qu'ils puissent seulement se connecter au web par le port 80 et utiliser leur ftp (ports 20/21). <BR>Ils doivent pouvoir télécharger sur le web (via les sites comme télécharger.com) et accéder a leurs messageries (Wanadoo, Free...) <BR> <BR>Donc je vais rajouter les règles indiquées par antolien: <BR> <BR>/sbin/iptables -A INPUT -i lo -j ACCEPT <BR>/sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP <BR>/sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP <BR>/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP <BR>/sbin/iptables -A INPUT -p icmp -j ACCEPT <BR>/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT <BR>/sbin/iptables -A FORWARD -i $GREEN_DEV -p tcp -m multiport --dport 110,80,21,20 -j ACCEPT <BR>/sbin/iptables -A FORWARD -i $GREEN_DEV -j DROP <BR> <BR> <BR>Toutefois, je sais qu'il y a des ports systèmes utilisés pour les retours. <BR>Par exemple, qd on se connecte à un serveur web sur le port 80, la réponse se fait sur notre machine sur un port système (ex: 1028). <BR> <BR>- si je bloque tous les ports sauf les 110,80,21 et 20, est ce que ça ne va pas bloquer le traffic? <BR> <BR>-est qu'il y a d'autres ports que je devrais bloquer ou ouvrir? (pour accéder aux différentes messageries des fAI par exemple). <BR><BR><BR><font size=-2></font>
Avatar de l’utilisateur
xjinh
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 06 Mai 2003 00:00

Messagepar xjinh » 03 Mars 2004 15:50

Personne n'a d'idée ou est ce trop évident ?? <IMG SRC="images/smiles/icon_frown.gif">
Avatar de l’utilisateur
xjinh
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 06 Mai 2003 00:00

Messagepar xjinh » 04 Mars 2004 13:19

Personne pour m'aider ??
Avatar de l’utilisateur
xjinh
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 06 Mai 2003 00:00

Messagepar xjinh » 04 Mars 2004 16:54

Bon alors n'ayant pas de réponse, j'ai fait le test chez moi. <BR> <BR>J'arrive bien à accéder au web mais j'ai winmx qui ne trouve pas la connexion. <BR> <BR>Il utilise les ports : <BR> <BR>WinMX server connection TCP 6699 7729-7735 <BR>WinMX inbound UDP connection UDP 6257 <BR>WinMX inbound TCP connection TCP 6699 <BR>WinMX HTTP connection TCP 80-83-443-1080-3128-8080-8088-11523 <BR> <BR>Donc voici les règles que j'ai appliqué en fin de rc.firewall: <BR> <BR> <BR>/sbin/iptables -A -FORWARD -i $GREEN_DEV -p tcp -m multiport --dport 80,83,443,110,20,21,1080,3128,8080,8088,6699,7729,7735,11523 <BR> <BR>/sbin/iptables -A FORWARD -i $GREEN_DEV -p udp -m multiport --dport 6257 -j ACCEPT <BR> <BR>/sbin/iptables -A FORWARD -i $GREEN_DEV -j DROP <BR> <BR> <BR>Je ne vois pas pourquoi ça ne passe pas. <BR>J'avais fait un forward avec l'interface web mais meme en le désactivant ça ne marche pas. <BR> <BR>Quelqu'un aurait une idée?? <BR> <BR> <BR> <BR>
Avatar de l’utilisateur
xjinh
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 06 Mai 2003 00:00

Messagepar xjinh » 04 Mars 2004 18:43

Vous pouvez me dire si je m'exprime mal ou si ça a été dis 30000 fois (mais sur ce dernier point je ne crois pas) ???
Avatar de l’utilisateur
xjinh
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 06 Mai 2003 00:00

Messagepar tomtom » 04 Mars 2004 18:58

Alors.. <BR>Désolé, tu as tres bien posé tes questions masi c'ets vrai que par flemme je l'ai zapée.. c'est pas bien ! <BR> <BR>1- pour le surf : les ports utiliser pour le retour seront ouverts dynamiquement par le firewall (ce que l'on appelle statefull), donc pas de soucis.. <BR>Les règles sont OK ! <BR> <BR>2- Pour winMX <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>WinMX server connection TCP 6699 7729-7735 <BR>WinMX inbound UDP connection UDP 6257 <BR>WinMX inbound TCP connection TCP 6699 <BR>WinMX HTTP connection TCP 80-83-443-1080-3128-8080-8088-11523 <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>server connection, je suppose que c'est ok... il suffit donc d'ajouter les ports tcp comme tu l'as fait. <BR> <BR>par contre, les 2 inbound : Inbound signifie que ce sont des paquets rentrant... Donc ils vont etre envoyés sur le firewall, qui ne saura pas qu'en faire.. <BR>Il faut l'aider un peu -> tu dois declarer deux transferts de ports : <BR>default ip - udp port 6257 -> @ip de ta machine winMX port 6257 <BR>default ip - tcp port 6699 -> @ip de ta machine winMX port 6699 <BR> <BR>Pour la connection http; je suppose que le port 80 aurait suufi, mais bon comme ca ca devrait rouler.. <BR> <BR>Attention, ceci ne te permet d'utiliser ton winMX que sur une seule machine du lan (et qui doit avoir toujours la même ip <IMG SRC="images/smiles/icon_wink.gif"> ). <BR> <BR>Au fait, c'est quoi winMX ??? <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar xjinh » 04 Mars 2004 19:33

Ah, une âme charitable <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Winmx est un logiciel de p2p orienté mp3. <BR>Pour plus d'info <!-- BBCode auto-link start --><a href="http://www.winmx.com" target="_blank">www.winmx.com</a><!-- BBCode auto-link end --> <BR> <BR>Je m'en sers surtout pour les titres qui ne durent pas comme les titres dance floor. <BR>Pour les autres c'est plus cool d'acheter les cd. <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Merci pour les infos. <BR>J'avais bien un forward sur le 6999 mais pas sur le 6257. <BR>Entre temps, j'ai fait appel à un copain. <BR> <BR>Voilà les règles que j'ai ajouté: <BR> <BR> <BR>iptables -t nat -I PREROUTING -p udp -i INTERFACE_EXTERNE --dport 6257 -j DNAT --to IP_DU_CLIENT:6257 <BR> <BR>iptables -I FORWARD -p udp -i INTERFACE_EXTERNE -o ! INTERFACE_EXTERNE --dport 6257 -j ACCEPT <BR> <BR>iptables -t nat -I PREROUTING -p tcp -i INTERFACE_EXTERNE -m state --state NEW,ESTABLISHED --dport 6999 -j DNAT --to IP_DU_CLIENT:6999 <BR> <BR>iptables -I FORWARD -p tcp -i INTERFACE_EXTERNE -o ! INTERFACE_EXTERNE -m state --state NEW,ESTABLISHED --dport 6999 -j ACCEPT <BR> <BR> <BR>Maintenant, ça marche bien. <BR>Je rajouterai le meme type de règles pour les ports 80,443,20,21... <BR> <BR>Voilou <IMG SRC="images/smiles/icon_smile.gif">
Avatar de l’utilisateur
xjinh
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 06 Mai 2003 00:00

Messagepar tomtom » 04 Mars 2004 19:40

Logiquement, un transfert de port cree exactemetn ces 2 règles, mais mieux placées dans l'architecture d'ipcop.. <BR> <BR>Je te conseille de supprimer ces règles et de les recreer grace aux transferts de ports... <BR> <BR>Pour les autres ports, je ne pesne pas qu'ils soient necessaires... <BR> <BR>[edit] <BR>Je suis même sur qu'ils ne sont pas necessaire... le 80 et le 443 doivent etre autorisés (ce que tu as fait au debut, avec les règles d'Antolien)... Pas besoin de prerouting, ipcop se debrouillera comme un grand pour te renvoyer les paquets retour <IMG SRC="images/smiles/icon_wink.gif"> <BR>[/edit] <BR> <BR>t. <BR> <BR>_________________ <BR>"Unix is user friendly. He's just very picky about who his friends are... "<BR><BR><font size=-2></font>
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar xjinh » 04 Mars 2004 19:45

D'accord je vais supprimer et retester <IMG SRC="images/smiles/icon_smile.gif">
Avatar de l’utilisateur
xjinh
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 06 Mai 2003 00:00

Messagepar xjinh » 04 Mars 2004 20:25

Je comprends pas. <BR>J'ai remis les règles comme au départ. <BR>J'ai fait le forward des 2 ports et ça marche pas. <BR>Il me trouve pas la connection <IMG SRC="images/smiles/icon_frown.gif">
Avatar de l’utilisateur
xjinh
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 06 Mai 2003 00:00

Messagepar Franck78 » 04 Mars 2004 20:28

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR> <BR>Maintenant, ça marche bien. <BR>Je rajouterai le meme type de règles pour les ports 80,443,20,21... <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>?? Ceux la concernent tes client qui veule naviguer. De ton reseau <BR>vers internet. Dans l'autre sens, ca n'a pas de sens ! <BR> <BR> <BR>Et désolé de te décevoir : avec tout ces ports ouverts direct vers <BR>l'extérieur, les p2p trouveront la sortie... <BR> <BR> <BR> <BR> <BR>
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar xjinh » 04 Mars 2004 20:43

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>?? Ceux la concernent tes client qui veule naviguer. De ton reseau <BR>vers internet. Dans l'autre sens, ca n'a pas de sens ! <BR> <BR> <BR>Et désolé de te décevoir : avec tout ces ports ouverts direct vers <BR>l'extérieur, les p2p trouveront la sortie... <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>La c'est juste pour faire le test. <BR>mais sinon j'enlèverai tous ces ports <IMG SRC="images/smiles/icon_wink.gif">
Avatar de l’utilisateur
xjinh
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 06 Mai 2003 00:00

Messagepar xjinh » 30 Mars 2004 08:29

Salut,

Il y a un truc bizarre.
Chez un pote qui a une red hat et qui l'utilise comme passerelle avec des règles de DNAT, ça marche très bien.
Par contre sur ipcop, en faisant un forward des 2 ports inbound, ça ne change rien. LE tx de download est de 1 à 4Ko/s :cry:

Qu'un aurait il une solution?
Avatar de l’utilisateur
xjinh
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 06 Mai 2003 00:00

Messagepar xjinh » 02 Avr 2004 19:16

J'ai peut etre trouvé d'où pourrait venir le problème.

Mon modem est un eicon diva 2430se.
Le firmware est d'origine donc il fait du nat.
L'interface du modem a pour @ locale 192.168.1.2.
Et Mon pc est sur 192.168.2.XXX
Donc en fait le firewall il doit y avoir un problème dans la redirection des ports ou un problème lié aux sous réseaux.
Avatar de l’utilisateur
xjinh
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 06 Mai 2003 00:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron