[1.4b3] Ping, Tout bloquer, Antispoofing

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[1.4b3] Ping, Tout bloquer, Antispoofing

Messagepar antolien » 16 Mai 2004 12:02

Je viens de regarder un peu la nouvelle version d'ipcop, alors déjà un grand bravo sur le travail qui à été fait. L'interface est bien jolie...

Alors comme mon site n'etait pas à jour en ce qui concerne le chapitre "changement de la politique par défault d'ipcop" et que j'ai vu certains qui faisaient un peu au hazard pour que ça marche sur la 1.4.

'edit:'
Voici un premier jet :

http://antolien.free.fr/ipcop/ipcop-sid/

Attention si vous utilisez un dns externe (pas le proxy d'ipcop) il faudra ajouter le port 53 en udp et tcp.

Si quelqu'un peut tester et me dire ce qu'ils en pensent.

Cordialement.

ps: je vais arriver à trouver un titre :roll:
Dernière édition par antolien le 24 Mai 2004 20:34, édité 4 fois au total.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar SIMS » 16 Mai 2004 12:18

Bonjour,

Merci beaucoup Antolien pour cette explication très claire et très utile.

Maintenant que tu as regardé la version 1.4 j'espère que tu pourras aussi clore le débat pour bloquer le ping sur l'interface RED pour les versions 1.4 (il y a plein de solution différentes sur ce forum et tout le monde se tirent dans les pates pour savoir laquelle est la bonne). :D
Avatar de l’utilisateur
SIMS
Aspirant
Aspirant
 
Messages: 127
Inscrit le: 25 Sep 2003 00:00

Messagepar SIMS » 16 Mai 2004 12:20

Nota : je ne veux pas relancer pour la 20eme fois le débat "pour ou contre le ping".
:D
Avatar de l’utilisateur
SIMS
Aspirant
Aspirant
 
Messages: 127
Inscrit le: 25 Sep 2003 00:00

Messagepar antolien » 16 Mai 2004 22:04

Dites moi ce qui ne vous plaît pas (et aussi ce qui vous plaît :lol: )


:wink:
Dernière édition par antolien le 24 Mai 2004 20:35, édité 1 fois au total.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Gesp » 16 Mai 2004 22:32

Es-ce que maintenant, tu ne pourrais pas mettre tes règles dans rc.firewall.local?

C'est plus résistant aux mises à jours et dans le backup, donc rien à remettre en cas de réinstallation.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar popoch » 16 Mai 2004 22:38

c est vraiment bien...

merci une fois de plus...

:D :D :D
:D :D :D


Cordialement popoch
Avatar de l’utilisateur
popoch
Vice-Amiral
Vice-Amiral
 
Messages: 582
Inscrit le: 05 Mars 2004 01:00
Localisation: Brest / Lannion / Rennes

Messagepar antolien » 16 Mai 2004 22:40

C'est ce que j'ai essayé de faire, mais dans la mesure du possible, car c'est clair que je dire j'autorise tout dans le rc.firewall, et de tout bloquer par la suite, c'est très laid...

par exemple pour tout bloquer, c'est mieux de virer la règle qui autorise tout du lan, et d'ajouter le reste dans le local.

C'est ce que je trouve le plus optimisé...

Je te sent irrité GESP :oops:
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Franck78 » 16 Mai 2004 22:52

Oui Antolien

rc.firewall.local pour les modifs perso.

Comme celui que je t'avais envoyé il y a longtemps (dispo sur mon "www")

Pour les ping:

Tu acceptes GREEN. Et ORANGE ?????
Je ferai plutot un -i RED - J DROP

Pour la limite de flood ping, je suggère aussi de les limiter aussi en taille:



Code: Tout sélectionner
## Le traitement des paquets ICMP commence ici
## Si ils ne sont pas ACCEPT ou WATCH, ils sont droppés
$IPTABLES -N ICMP
$IPTABLES -A ICMP -p icmp --icmp-type   echo-reply                 -j ACCEPT
$IPTABLES -A ICMP -p icmp --icmp-type   port-unreachable           -j ACCEPT
$IPTABLES -A ICMP -p icmp --icmp-type   echo-request -m length --length 100:0xffff -j DROP
$IPTABLES -A ICMP -p icmp --icmp-type   echo-request               -j WATCH
$IPTABLES -A ICMP -p icmp --icmp-type   destination-unreachable    -j WATCH
$
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar antolien » 16 Mai 2004 23:01

J'ai pas pensé au orange, puisque j'ai fait le test en green+red...
Pour la taille du ping, je l'ajouterai..

Sinon, vous me gonflez avec votre rc.firewall.local, je ne veux pas un truc qui passe par 15 règles avant d'être bloqué ](*,)

Au pire, il y a 2 règles à modifier si vous réinstallez où si une maj ecrase le rc.firewall, c'est pas la mort :!:
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar popoch » 16 Mai 2004 23:17

@Franck78

tu ajouterais tes regles ds le rc.firewall.local ou ds le rc.firewall ?


:D :D :D
:D :D :D


Cordialement popoch
Avatar de l’utilisateur
popoch
Vice-Amiral
Vice-Amiral
 
Messages: 582
Inscrit le: 05 Mars 2004 01:00
Localisation: Brest / Lannion / Rennes

Messagepar Franck78 » 16 Mai 2004 23:28

dans rc.firewall.local


D'ailleurs je vais vérifier de ce pas qu'il est bien sauvegardé dans le backup.

rc.firewall est écrabouillé à chaque installe. Tu peux le recopier comme l'autre tu vas me dire. Mais en cas d'update, tu fais quoi. Tu recommences tes insertions dans le nouveau (qui a certainement évolué....) ??


Je confirme: rc.firewall.local est bien inclus dans la sauvegarde. Antolien UTILISES le stp !!!
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar antolien » 16 Mai 2004 23:34

Non !

Toutes les règles spécifiques sont dans le local, c'est déjà ça.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar antolien » 16 Mai 2004 23:44

en faisant avec le rc.firewall.local on aurait :

1 - Politique par défaut -> policy DROP

2 - Règle du rc.firewall, j'autorise tout du lan

3 - Règle du rc.firewall.local , ah bah non finalement je drop tout du lan

4 - Bon, je me décide à ouvrir pour un protocole...

avec ma modif du rc.firewall direct :

1 - Politique par défaut -> policy DROP

2 - dans le rc.local , j'autorise les ports que je veux.

C'est pas plus logique non ? ?
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Gesp » 17 Mai 2004 00:03

Ok pas de problème pour moi, tu as raison pour l'ordre des règles.

Je pense que cela aurait été bien de changer en rien ne sort et on autorise que ce qui est nécessaire.

Il est assez facile de comprendre pourquoi cela n'a pas été fait maintenant.
- d'abord cela fait plus d'un an que la V1.3 est sortie :-(
- ensuite shorewall est prévu dans une prochaine version donc si on avait mis un éditeur basique, la transcription des règles de traduction risquait d'être assez coton peut-être.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar Franck78 » 17 Mai 2004 00:32

Tu disposes des chaines CUSTOM{INPUT|OUTPUT|FORWARD|PREROUTING|POSTROUTING} pour toi.

elle sont appelées avant celles d'IpCop
mais après la vérif des paquets $%#&!

ce qui t'évite de faire des erreurs grossières.

Donc tu peux insérer tes trucs a toi avant.
Et aussi après si tu utilises directement INPUT FORWARD OUTPUT...

Ils ont mis ca en place, pour qu'on l'utilise non ?



Je persiste à dire que c'est une erreur de modifier pour des truc importants rc.firewall

Il peut meme être remplacé par un simple mise à jour.....
(quand les fix sortiront)
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron