acces restrictif pour un poste en particulier

par **KasparoV** » 14 Avr 2004 00:38

je cherche à "vérouiller" un poste en particulier en ne lui laissant que 3 services, mais je n'arrive pas à rendre mes règles opérationnelles:

dans rc.firewall.local

#acces internet strict pour 192.168.1.2
/sbin/iptables -A FORWARD -o eth1 -s 192.168.1.2 -p tcp -m multiport --dport 80,110,25 -j ACCEPT
/sbin/iptables -A FORWARD -o eth1 -s 192.168.1.2 -p tcp -j DROP

bonne nuit à tous :mrgreen:

par **Franck78** » 14 Avr 2004 00:47

Le A (add) ajoute à la fin de la liste tes deux règles.
Cependant il y a belle lurette qu'une autre règle plus laxiste c'est empréssé d'accepter le paquet...
Essaie plutôt avec I (insert) en tête des règles.

(man iptables !)

bye

par **KasparoV** » 14 Avr 2004 01:00

déjà essayé Chef!
je tourne ma doc de chez Léa depuis 1h en vain!

rassure moi, il n'y a rien de plus a rajouter dans le rc.firewall.local pour qu'il demarre au reboot :shock:

!/bin/sh
# Used for private firewall rules

# See how we were called.
case "$1" in
start)

#acces internet restrictif pour 192.168.1.2
/sbin/iptables -I FORWARD -o eth1 -s 192.168.1.2 -p tcp -m multiport --dport 80,110,25 -j ACCEPT
/sbin/iptables -I FORWARD -o eth1 -s 192.168.1.2 -p tcp -j DROP

;;
stop)
## add your 'stop' rules here
;;
esac

par **Franck78** » 14 Avr 2004 01:37

Non il n'y a rien à faire sur 1.4B3. Juste placer le fichier dans le meme rep que rc.firewall. (regarde un extrait du mien sur "www" en bas de message).
Le modèle d'appel est bon.

Pour vérifier que les règles sont (ou que le script est appelé plutôt, places un echo MARQUER>/dev/tty12
ou "iptables -L FORWARD".

Code: Tout sélectionner: /sbin/iptables -I FORWARD -s 192.168.1.2 -p tcp -m multiport --dport 80,110,25 -j ACCEPT /sbin/iptables -I FORWARD -s 192.168.1.2 -p tcp -j DROP

Essaie aussi sans -o eth1 mais avec plutot -i eth(Green)

Ensuite n'oublies pas INPUT. C'est par elle que Squid est atteint donc la naviguation (80,443)

Et penses aussi à bloquer UDP pour cette machine.

bye

par **KasparoV** » 14 Avr 2004 15:26

merci Frank mais ça fonctionne partiellement :shock:

seul 80 fonctionne, https et les mails sont inaccessibles #-o

#acces internet restrictif pour 192.168.1.2
/sbin/iptables -I FORWARD -i eth0 -s 192.168.1.2 -p tcp -m multiport --dport 80,443,110,25 -j ACCEPT
/sbin/iptables -I FORWARD -i eth0 -s 192.168.1.2 -p tcp -j DROP
/sbin/iptables -I INPUT -i eth0 -d 192.168.1.2 -p tcp -m multiport --dport 80,443 -j ACCEPT

pour udp, on verra +tard :wink:

pourtant on voit bien que les règles sont effectives :shock:

root@EdeN:~ # iptables -L FORWARD (je ne mets que les logs qui nous interessent ici)
Chain FORWARD (policy DROP)
target prot opt source destination
...
DROP tcp -- 192.168.1.2 anywhere
ACCEPT tcp -- 192.168.1.2 anywhere multiport dports http,https,pop3,smtp
...

root@EdeN:~ # iptables -L INPUT
Chain INPUT (policy DROP)
target prot opt source destination
...
ACCEPT tcp -- anywhere 192.168.1.2 multiport dports http,https
...

idem si je ne mentionne pas l'interface de sortie par -i eth0

décidemment il y a quelquechose qui m'échappe :roll:

par **KasparoV** » 15 Avr 2004 19:37

par **Franck78** » 15 Avr 2004 21:20

Quand tu insères en tête de liste, c'est le dernier inseré qui se retrouve en premier dans la liste. Dans ton cas le -J DROP. Comme indiqué dans iptables -L. Alors inverse l'ordre d'insertion des règles pour rétablir l'ordre de parcours voulu (accept puis drop) :!:

bye

par **KasparoV** » 15 Avr 2004 21:57

merci Franck, j'avais vu ça dans un poste de tomtom, je l'ai appliqué hier, rien à faire c'est une vraie passoir, c'est incompréhensible :marre:

#acces internet restrictif pour 192.168.1.2
#/sbin/iptables -I INPUT -i eth0 -d 192.168.1.2 -p tcp -m multiport --dport 80,443 -j ACCEPT
/sbin/iptables -I FORWARD -s 192.168.1.2 -p tcp -j DROP avec ou sans -i eth0
#/sbin/iptables -I FORWARD -i eth0 -s 192.168.1.2 -p tcp -m multiport --dport 80,443,110,25 -j ACCEPT

même commenté ainsi, ça passe ! ](*,)

par **Franck78** » 16 Avr 2004 02:03

Essaies avec les chaines custom, elles sont appelées dès le début !

Code: Tout sélectionner: # CUSTOM chains, can be used by the users themselves /sbin/iptables -N CUSTOMINPUT /sbin/iptables -A INPUT -j CUSTOMINPUT /sbin/iptables -N CUSTOMFORWARD /sbin/iptables -A FORWARD -j CUSTOMFORWARD /sbin/iptables -t nat -N CUSTOMPREROUTING /sbin/iptables -t nat -A PREROUTING -j CUSTOMPREROUTING /sbin/iptables -t nat -N CUSTOMPOSTROUTING /sbin/iptables -t nat -A POSTROUTING -j CUSTOMPOSTROUTING

par **KasparoV** » 16 Avr 2004 19:38

merci je vais tester mais je ne trouve aucune information (forum, man iptables, google

) sur la fonction (variable?)CUSTOM.

A quoi sert-elle :?:

par **KasparoV** » 16 Avr 2004 21:28

avant de créer des règles relatives à CUSTOM, j'ai commenté toutes les lignes contenues dans #CUSTOM chains, can be used by the users themselves

rien à faire ça passe toujours! :marre:

je suis vraiment déconcerté #-o

par **Franck78** » 16 Avr 2004 22:26

Hello,

Comme leurs noms l'indiquent, elles sont faites pour customiser. Surtout tu ne changes rien à leur création/appel. Tu te contentes de rajouter dedans tes règles.

# CUSTOM chains, can be used by the users themselves
Les users, c'est nous !

par **KasparoV** » 16 Avr 2004 22:36

hi !

quand tu me dis

Essaies avec les chaines custom, elles sont appelées dès le début !

je comprends qu'elles interfèrent avec mes règles
#acces internet restrictif pour 192.168.1.2
/sbin/iptables -I INPUT -i eth0 -d 192.168.1.2 -p tcp -m multiport --dport 80,443 -j ACCEPT
/sbin/iptables -I FORWARD -i eth0 -s 192.168.1.2 -p tcp -j DROP
/sbin/iptables -I FORWARD -i eth0 -s 192.168.1.2 -p tcp -m multiport --dport 80,443,110,25 -j ACCEPT

donc je cherchais à limiter leur actions, soit en commentant toutes les lignes, soit en créant de nouvelles chaines dans rc.firewall.local

mais en fait tu me suggères de placer mes règles dans #CUSTOM?*

*je viens d'essayer, ça ne fonctionne pas :cry:

sérieusement, je ne sais plus quoi faire...

par **KasparoV** » 16 Avr 2004 22:58

c'est quoi qui m...e?

root@EdeN:~ # iptables -L FORWARD
Chain FORWARD (policy DROP)
target prot opt source destination
ipac~fi all -- anywhere anywhere
ipac~fo all -- anywhere anywhere
ACCEPT tcp -- 192.168.1.2 anywhere multiport dports https,pop3,smtp,ssh
DROP tcp -- 192.168.1.2 anywhere
BADTCP all -- anywhere anywhere
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
CUSTOMFORWARD all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
DROP all -- 127.0.0.0/8 anywhere state NEW
DROP all -- anywhere 127.0.0.0/8 state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere
WIRELESSFORWARD all -- anywhere anywhere
REDFORWARD all -- anywhere anywhere
PORTFWACCESS all -- anywhere anywhere state NEW
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `OUTPUT '

par **Franck78** » 16 Avr 2004 23:03

Je te garantis qu'en tapant çà, "10.0.0.1" ne fait plus rien sur le "thewall":!:

Alors commence simple.

Code: Tout sélectionner: root@thewall:~ # root@thewall:~ # iptables -I CUSTOMINPUT -s 10.0.0.1 -j DROP root@thewall:~ # iptables -I CUSTOMFORWARD -s 10.0.0.1 -j DROP root@thewall:~ #

Alors commence simple. Si ca ne marche pas, c'est que tu ne testes pas avec la bonne IP, ou que ca ne sort pas par ton IpCop !

bye

acces restrictif pour un poste en particulier

acces restrictif pour un poste en particulier

Qui est en ligne ?