Empêcher PING en version b3

[phil039]

Bonjour,

Me trompe-je ou les règles données par Antolien pour empêcher le PING ne fonctionnent plus ?

Philippe

[tomtom]

Qu'est ce que vous avez aujourd'hui avec Antolien ?

Les règles fonctionnent pour peu qu'on les comprenne et qu'on les adapte à son environnement !

Alors au lieu de copier betement les lignes et de venir vous plaindre que ca ne fonctionne pas, ne serait-il pas plus simple de chercher un peu et de reflechir ?

non mais !

Tom

[phil039]

Merci pour la réponse, elle a le mérite d'être claire.

Une chose m'interpelle: où me suis-je plains ???

Parfois on a peut-être aussi une peu autre chose à faire,...par exemple, si j'ai besoin d'un firewall, c'est pas juste pour garnir mon salon, il y a deux ou trois petites choses derrière comme un httpd, un Tomcat, un Jonas et deux ou trois babioles qui me laissent bien évidemment tout le loisir d'étudier les règles de firewall....

Sans compter l'adaptation du cgi dns dynamique que je suis en train de me farcir pour enfin pouvoir mettre mon dns à jour autrement que à la mano...ben oui, en belgique il y a un dns dynamique DNSD qu' IpCop ne reconnait pas ...encore.

Je pense que justement, c'est l'endroit rêvé ...et étudié pour poser des questions... un forum ça sert à ça non?

Bonjour l'entraide!

Alors effectivement, j'ai demandé si je me faisais des idées sur leur efficacité en les recopiant "bêtement", comme un âne, juste parceque je n'ai pas le temps et qu'il y a un dns dynamique qui piétine là derrière.... Ben faut croire qu'elles ne fonctionnent plus sur la version b3...

Faut dire que dans ma précédente version ça marchait.

Pas de problème, je me débrouillerai seul, au fond ce ne doit pas être si compliqué!

Merci pour votre réponse et belle soirée à vous,



Philippe PIERRET

[micjack]

Le probleme, c'est qu' à la base Antolien a voulu rendre service en metant sur son site quelques config utiles concernant la 1.3, puis apres (comme j' ai croisé cette apres midi " Antolien c' est nul ?" les personnes se plaignent que cela ne marche pas sur leur derniere version d' IPcop.

A mes souvenir, blasé par ce genre de propos, il avait meme decidé de virer son site concernant ceci.

[Franck78]

Donc pour résumer, il y a plein de topics sur ce petit problème (fonction rechercher "bloquer ping"), Antolien devrait adapter son site, et finalement ca ne sert pas à grand chose de bloquer le ping...

Bye

[antolien]

J'ais pas vu le message qui disait 'antolien c'est nul'

Peu importe, j'ai pas touché à mon site depuis au moins six mois, et il sera offline à partir du premier mai.

C'est normal puisque rien ne marche plus, et que j'ai pas le temps de m'en occuper.

Rien de dramatique, c'etait un petit site sans prétentions.

Et je suis content qu'il ait été beaucoup visité, et même par les anglais.

@+

[phil039]

D'accord, avec des posts tels que celui que tu dis style 'Antolien c'est nul'... je peux comprendre la réaction!!!

Je suis moi-même développeur et je débarque en Linux, je rame mais à fond...

Je pense qu'Antolien ne doit pas se décourager, il est top ce gars, il découvre étudie et dispense son savoir, je lui mets 5 étoiles même si quand je recopie comme un a^ne ça marche pas....

Je ne le connais pas mais du fond de ma tite Belgique, je lui envoie mon soutien total, c'est avec des gars comme lui qu'on avance!

Quant aux détracteurs et autres lamers, faut pas s'en faire.

Je ne pense pas avoir mal posé ma question et le but n'est certainement pas de démollir le travail d'un autre qui de plus m'a servi.

Merci, bonne soirée,

Philippe

[phil039]

euh... le post est passé en DEBUG mode PHP... désolé pour les trois posts....

[betamax]

Bonsoir,

En effet tout le monde n'est pas développeur ou ne comprends pas les règles d'un firewall.

Je propose les points suivants:
- dans le forum ipcop une rubrique FAQ qui serait en tete de tous les posts
- dans le meme style une boite à idées : ex : 9a serait bien si dans ipcop il y avait une case à cocher pour bloquer les pings ou pour bloquer La Mule

Qu'en pensez-vous ???


à+

[tomtom]

Il ne faudrait pas oublier que ipcop est un firewall personnel, destiné à être simple et efficace contre les attaques externes standard.

Le ping n'est pas une attaque, c'est un outil de depannage.
Bloquer le ping n'augment en rien la securité du système, et de plus c'est l'affaire de lignes que de le bloquer pour qui coimprend un peu ce qui se passe. Quant à celui qui ne comprend pas, je ne vois pas quel peut etre son besoin de faire ça.

Emule n'est pas une attaque externe non plus. Et IPCop n'est pas pensé pour bloquer le traffic initié par le réseau green qui est considéré comme de confiance.
Si vous ne faites pas confiance aux utilisateurs, il y a d'autres solutions plus pertinentes.


AJouter trop d'options tuerait la simplicité su produit et je pense que ce n'est pas le but recherché par les développeurs d'IPcop...


Pour revenir au problème d edépart,

Je ne pense pas avoir mal posé ma question et le but n'est certainement pas de démollir le travail d'un autre qui de plus m'a servi.

Ha, ok, c'etait quoi la question alors ? J'ai du mal à saisir l'interet.
Si c'etait juste pour informer Anto que son site contenanit des erreurs (ce qui n'est pas le cas pour la version d'IPCop spécifiée), il suffisait de le lui dire en privé.
Si c'était pour bloquer les pings, ce n'était pas la peine de parler d'Antolien, poser la question en récisant ton numero de version aurait suffit, voir mieux une recherche sur les forums t'aurait apporté de nombreuses réponses.

t.

[betamax]

Bonjour,

Le ping n'est pas une attaque, c'est un outil de depannage

C'est exact mais depuis que j'ai bloqué les ping sur mon ipcop, j'ai beaucoup moins de scan...

Emule n'est pas une attaque externe non plus. Et IPCop n'est pas pensé pour bloquer le traffic initié par le réseau green qui est considéré comme de confiance.
Si vous ne faites pas confiance aux utilisateurs, il y a d'autres solutions plus pertinentes.

Désolé mais je ne fais pas confiance à "mes" utilisateurs.

Il ne faudrait pas oublier que ipcop est un firewall personnel, destiné à être simple et efficace contre les attaques externes standard.

Justement, une case à cocher c'est plus simple que d'aller tripatouiller les iptables.

Ce ne sont pas des souhaits perso mais des exemples que je donnais; ces exemples reviennent quand meme régulièrement dans les posts....

à+

[phil039]

Bonjour TomTom,

Petite réaction en vitesse, parce que franchement, là j'ai autre chose à faire...

Il ne faudrait pas oublier que ipcop est un firewall personnel, destiné à être simple et efficace contre les attaques externes standard.

J'ai eu le temps de lire la page de présentation d'IpCop, c'est écrit il me semble "... jusqu'aux grands réseaux d'entreprises ..." voir: http://www.ixus.net/modules.php?name=Distrib&dist=IPCop

Le ping n'est pas une attaque, c'est un outil de depannage.

... le mec qui pingue sur mon site, je ne vois pas ce qu'il va y dépanner... le PING est utilisé le plus souvent avant une attaque... il n'a qu'à pinger sa passerelle, son FAI, sa grand-mère ou son canari, ce qu'il veut mais PAS mon site!

Bloquer le ping n'augmente en rien la securité du système...

je crois que pas mal de petits "lamers" qui utilisent leur bande passante à pomper les sites de vrais hackers feront déjà demi-tour en ne sachant pas pinger.

la question était:

Me trompe-je ou les règles données par Antolien pour empêcher le PING ne fonctionnent plus ?

et le titre du post:

Empêcher PING en version b3

Rien de bien agressif n'est ce pas?

Il faut comprendre par cette question:

....J'utilise la version b3 (marqué dans le titre)
....j'ai vraisemblablement utilisé les règles données par Antolien...
....elles ne fonctionnent plus...(vu qu'elles ne sont pas dédiées à la même version) OU BIEN (OR) ... je me suis trompé quelque part...

... du moins c'est comme cela que l'on comprend le français en belgique.

Loin de moi l'idée d'attaquer ce brave Antolien... que je ne connais d'ailleurs pas!

Et pour info, j'ai précisé ma version (b3) dans le sujet du post.

Bon, ben je crois que cette fois-ci j'ai tout dit, suffisament développé et précisé.
Si vous désirez continuer à en faire un fromage, c'est votre affaire, moi je bosse!

Belle journée!

Philippe PIERRET

[antolien]

Arrêtez de vous crêper le chignon.

Mon site ne fonctionne que pour la 1.3, et basta. Qu'il soit nul où qu'il y ait des critiques je m'en tape.

Donnes nous plutôt les lignes qui parlent de l'icmp dans le rc.firewall

Où alors tu tapes iptables -I -p icmp --icmp-type 8 -j DROP

Il faudrait rajouter l'interface pour que ça bloque que sur le red, exemple tu ajoutes -i ppp0 dans la ligne.

[tomtom]

Bonjour TomTom,

Petite réaction en vitesse, parce que franchement, là j'ai autre chose à faire...

Moi aussi, en vitesse :

J'ai eu le temps de lire la page de présentation d'IpCop, c'est écrit il me semble "... jusqu'aux grands réseaux d'entreprises ..." voir: http://www.ixus.net/modules.php?name=Distrib&dist=IPCop

Code: Tout sélectionner

Que ce soit pour votre habitation ou bien votre SOHO (Small Office/Home Office), IPCop s'adapte à vos besoins.
Des informations officieuses circulent selon lesquelles IPCop serait utilisé pour la protection de réseaux plus grands et complexes.


La définition de "officieuse" ?
Perso, je ne mettrais jamais iPCop en prod dans une boite necessitant une securité efficace, surtout au niveau du controle des utilisateurs.
C'est un bon firewall de niveau personnel, mais le produit n'est pas assez abouti. Chacun ses critères...

... le mec qui pingue sur mon site, je ne vois pas ce qu'il va y dépanner... le PING est utilisé le plus souvent avant une attaque... il n'a qu'à pinger sa passerelle, son FAI, sa grand-mère ou son canari, ce qu'il veut mais PAS mon site!
[...]
je crois que pas mal de petits "lamers" qui utilisent leur bande passante à pomper les sites de vrais hackers feront déjà demi-tour en ne sachant pas pinger.

C'est marrant ce blocage sur le ping.. Tous les sites de la terre, les plus grands, les plus sécurisés, les sits atteignant un nombre de hits/seconde que tu ne peux imaginer, autorisent le ping.
Mais pour ton site avec 3 machines, il te faut le blocage.
Ca ne sert à rien.
Ca ne respecte pas les standards d'internet.
Ca ne protege pas le moins du monde (le moindre nmapiste de base sait tres bien trouver la vie d'un site sans le pinguer !).

la question était:

Me trompe-je ou les règles données par Antolien pour empêcher le PING ne fonctionnent plus ?

et le titre du post:

Empêcher PING en version b3

Rien de bien agressif n'est ce pas?

Il faut comprendre par cette question:

....J'utilise la version b3 (marqué dans le titre)
....j'ai vraisemblablement utilisé les règles données par Antolien...
....elles ne fonctionnent plus...(vu qu'elles ne sont pas dédiées à la même version) OU BIEN (OR) ... je me suis trompé quelque part...

Bizarrement, posée comme ça, je n'aurais surement pas réagi.

Bon, ben je crois que cette fois-ci j'ai tout dit, suffisament développé et précisé.
Si vous désirez continuer à en faire un fromage, c'est votre affaire, moi je bosse!

Belle journée!

Figure-toi que plein de mode bosse, y compris Antolien, moi-même, les admis du site......
Mais on accepte de donner une partie de notre temps pour aider les personnes de bonne volonté.

Bonne journée à toi aussi...

t.

[tomtom]

Désolé mais je ne fais pas confiance à "mes" utilisateurs.

Salut,

Je ne sais pas dans quelle structure tu travailles, mais si tu ne fais vraiment pas confiance à tes utilisateurs, IPCop n'ets probablement pas le produit idéal pour la sécurité de ton site...

t.