configuration firewall

par **SecureMan** » 23 Avr 2004 23:00

bonjour,

je souhaite tout bloquer en sortie et suite a la migration vers 1.4.b3 les regles d'antolien (que je remercie au passage car ca m'avait beaucoup aide pour la 1.3) ne fonctionnent plus.

J'ai donc cree des regles qui me semblent bonnes cependant, tout passe encore en sortie : mon fichier rc.firewall.local :

#!/bin/sh
# Used for private firewall rules

# See how we were called.
case "$1" in
start)
## add your 'start' rules here
/sbin/iptables -I FORWARD -i $GREEN_DEV -p tcp -m multiport --dport 8080,80,800,443,445,110,25 -j ACCEPT
/sbin/iptables -I FORWARD -i $GREEN_DEV -j DROP
;;
stop)
## add your 'stop' rules here
;;
esac

malgre ces regles, je parviens toujours a faire du ftp !

Qqn aurait une idee ? Merci.

par **Franck78** » 23 Avr 2004 23:32

Ce topic en cours de résolution concerne aussi ce problème:
viewtopic.php?t=15054&start=0&postdays=0&postorder=asc&highlight=

Dans ton cas particulier, tu as inversé les deux lignes puisques tu utilises -INSERT.

La dernière insérée est la première exécutée. Donc rien ne passe. Et c'est le contraire en lisant ton post :cry:

Ouvre aussi udp/53 pour le DNS

Places aussi sur edit:INPUT les règles :!:

Sinon tu peux passer par le proxy !

par **SecureMan** » 25 Avr 2004 01:53

1) excuse moi, je n'avais pas vu la reponse.
2) je renvoie l'autre post ici, puisque tu preferes me montrer du doigt plutot que m'apporter un element de reponse pour mon souci.
bonjour,

je souhaite bloquer le trafic sortant sauf qqs ports.

j'ai donc rajoute les regles suivantes dans le rc.local (eth0 = LAN) :
/sbin/iptables -I FORWARD -i eth0 DROP
/sbin/iptables -I FORWARD -i eth0 -p tcp -m multiport --dport 80,110,25 -j ACCEPT

Cela fonctionne impeccablement.

MAIS j'ai installe un serveur web (pour les besoins d'une maquette) cote LAN. Et de l'exterieur je ne peux pas acceder a mon serveur web sur le port 80. D'apres tcpdump, les requetes entrent et sortent de mon interface LAN, mais rien ne sort de mon interface WAN....

Une idee ?

ps : si je desactive les regles iptables dans le rc.local, je n'ai plus ce souci...

Merci.

par **Franck78** » 25 Avr 2004 03:47

SecureMan a écrit:MAIS j'ai installe un serveur web (pour les besoins d'une maquette) cote LAN.
Et de l'exterieur je ne peux pas acceder a mon serveur web sur le port 80. D'apres tcpdump, les requetes entrent et sortent de mon interface LAN, mais rien ne sort de mon interface WAN....

Une idee ?

ps : si je desactive les regles iptables dans le rc.local, je n'ai plus ce souci...

Serveur en Green, clients en Red. Clients ne communique pas avec serveur=>
Fonctionnement normal de IPCop. Il faut laisser entrer le flux vers le serveur. PortForward 80 vers le serveur.

Cependant, pour la réponse du serveur : elle se fait sur le port choisi par le client. "> 1024".
La règle DROP s'en occupe à tout les coups ! Et oui il n' y a pas d'ACCEPT pour les réponses "RELATED,ESTABLISHED" qui puisse s'activer (-I INSERT en tête)...

bye

par **SecureMan** » 25 Avr 2004 13:21

je suis en train de modifier mes regles :

j'ai donc rajoute :
-m state --state NEW,ESTABLISHED,RELATED -p tcp -m muliport...... -j ACCEPT
j'ai rajoute aussi les regles -I FORWARD pour le 53 en udp/tcp.

mais je ne peux plus sortir sur le web.....

par **antolien** » 25 Avr 2004 13:39

C'est moche de mettre ça en insert, vraiment pas optimisé, cela passe par une première règle qui accepte tout, ensuite passe par une règle qui drop tout, et enfin une règle qui accepte tel oùtel port.

Heureusement qu'il n'y a pas 500 clients...

Pour avoir quelque chose de propre, il faudrait trouver la ligne qui autorise tout en forward et la modifier pour qu'elle rejette tout. Et ajouter les règles d'autorisation avant (comme j'avais fait pour la 1.3).

Enfin bon, du moment que ça marche :roll:

configuration firewall

configuration firewall

Qui est en ligne ?