[1.4b3] Ping, Tout bloquer, Antispoofing

par **antolien** » 16 Mai 2004 12:02

Je viens de regarder un peu la nouvelle version d'ipcop, alors déjà un grand bravo sur le travail qui à été fait. L'interface est bien jolie...

Alors comme mon site n'etait pas à jour en ce qui concerne le chapitre "changement de la politique par défault d'ipcop" et que j'ai vu certains qui faisaient un peu au hazard pour que ça marche sur la 1.4.

'edit:'
Voici un premier jet :

http://antolien.free.fr/ipcop/ipcop-sid/

Attention si vous utilisez un dns externe (pas le proxy d'ipcop) il faudra ajouter le port 53 en udp et tcp.

Si quelqu'un peut tester et me dire ce qu'ils en pensent.

Cordialement.

ps: je vais arriver à trouver un titre :roll:

par **SIMS** » 16 Mai 2004 12:18

Bonjour,

Merci beaucoup Antolien pour cette explication très claire et très utile.

Maintenant que tu as regardé la version 1.4 j'espère que tu pourras aussi clore le débat pour bloquer le ping sur l'interface RED pour les versions 1.4 (il y a plein de solution différentes sur ce forum et tout le monde se tirent dans les pates pour savoir laquelle est la bonne).

par **SIMS** » 16 Mai 2004 12:20

Nota : je ne veux pas relancer pour la 20eme fois le débat "pour ou contre le ping".

par **antolien** » 16 Mai 2004 22:04

Dites moi ce qui ne vous plaît pas (et aussi ce qui vous plaît :lol:

)

par **Gesp** » 16 Mai 2004 22:32

Es-ce que maintenant, tu ne pourrais pas mettre tes règles dans rc.firewall.local?

C'est plus résistant aux mises à jours et dans le backup, donc rien à remettre en cas de réinstallation.

par **popoch** » 16 Mai 2004 22:38

c est vraiment bien...

merci une fois de plus...

par **antolien** » 16 Mai 2004 22:40

C'est ce que j'ai essayé de faire, mais dans la mesure du possible, car c'est clair que je dire j'autorise tout dans le rc.firewall, et de tout bloquer par la suite, c'est très laid...

par exemple pour tout bloquer, c'est mieux de virer la règle qui autorise tout du lan, et d'ajouter le reste dans le local.

C'est ce que je trouve le plus optimisé...

Je te sent irrité GESP :oops:

par **Franck78** » 16 Mai 2004 22:52

Oui Antolien

rc.firewall.local pour les modifs perso.

Comme celui que je t'avais envoyé il y a longtemps (dispo sur mon "www")

Pour les ping:

Tu acceptes GREEN. Et ORANGE ?????
Je ferai plutot un -i RED - J DROP

Pour la limite de flood ping, je suggère aussi de les limiter aussi en taille:

Code: Tout sélectionner: ## Le traitement des paquets ICMP commence ici ## Si ils ne sont pas ACCEPT ou WATCH, ils sont droppés $IPTABLES -N ICMP $IPTABLES -A ICMP -p icmp --icmp-type echo-reply -j ACCEPT $IPTABLES -A ICMP -p icmp --icmp-type port-unreachable -j ACCEPT $IPTABLES -A ICMP -p icmp --icmp-type echo-request -m length --length 100:0xffff -j DROP $IPTABLES -A ICMP -p icmp --icmp-type echo-request -j WATCH $IPTABLES -A ICMP -p icmp --icmp-type destination-unreachable -j WATCH $

par **antolien** » 16 Mai 2004 23:01

J'ai pas pensé au orange, puisque j'ai fait le test en green+red...
Pour la taille du ping, je l'ajouterai..

Sinon, vous me gonflez avec votre rc.firewall.local, je ne veux pas un truc qui passe par 15 règles avant d'être bloqué ](*,)

Au pire, il y a 2 règles à modifier si vous réinstallez où si une maj ecrase le rc.firewall, c'est pas la mort :!:

par **popoch** » 16 Mai 2004 23:17

@Franck78

tu ajouterais tes regles ds le rc.firewall.local ou ds le rc.firewall ?

par **Franck78** » 16 Mai 2004 23:28

dans rc.firewall.local

D'ailleurs je vais vérifier de ce pas qu'il est bien sauvegardé dans le backup.

rc.firewall est écrabouillé à chaque installe. Tu peux le recopier comme l'autre tu vas me dire. Mais en cas d'update, tu fais quoi. Tu recommences tes insertions dans le nouveau (qui a certainement évolué....) ??

Je confirme: rc.firewall.local est bien inclus dans la sauvegarde. Antolien UTILISES le stp !!!

par **antolien** » 16 Mai 2004 23:34

Non !

Toutes les règles spécifiques sont dans le local, c'est déjà ça.

par **antolien** » 16 Mai 2004 23:44

en faisant avec le rc.firewall.local on aurait :

1 - Politique par défaut -> policy DROP

2 - Règle du rc.firewall, j'autorise tout du lan

3 - Règle du rc.firewall.local , ah bah non finalement je drop tout du lan

4 - Bon, je me décide à ouvrir pour un protocole...

avec ma modif du rc.firewall direct :

1 - Politique par défaut -> policy DROP

2 - dans le rc.local , j'autorise les ports que je veux.

C'est pas plus logique non ? ?

par **Gesp** » 17 Mai 2004 00:03

Ok pas de problème pour moi, tu as raison pour l'ordre des règles.

Je pense que cela aurait été bien de changer en rien ne sort et on autorise que ce qui est nécessaire.

Il est assez facile de comprendre pourquoi cela n'a pas été fait maintenant.
- d'abord cela fait plus d'un an que la V1.3 est sortie :-(

- ensuite shorewall est prévu dans une prochaine version donc si on avait mis un éditeur basique, la transcription des règles de traduction risquait d'être assez coton peut-être.

par **Franck78** » 17 Mai 2004 00:32

Tu disposes des chaines CUSTOM{INPUT|OUTPUT|FORWARD|PREROUTING|POSTROUTING} pour toi.

elle sont appelées avant celles d'IpCop
mais après la vérif des paquets $%#&!

ce qui t'évite de faire des erreurs grossières.

Donc tu peux insérer tes trucs a toi avant.
Et aussi après si tu utilises directement INPUT FORWARD OUTPUT...

Ils ont mis ca en place, pour qu'on l'utilise non ?

Je persiste à dire que c'est une erreur de modifier pour des truc importants rc.firewall

Il peut meme être remplacé par un simple mise à jour.....
(quand les fix sortiront)

[1.4b3] Ping, Tout bloquer, Antispoofing

[1.4b3] Ping, Tout bloquer, Antispoofing

Qui est en ligne ?