Pleins de problèmes [Dansguardian IPCOP]

par **famam** » 17 Juin 2004 22:43

Bonjour,

Depuis 15 jours je m'arrache les cheveux si je continu de vais etre chauve rapidement lol
je vous explique mes problemes

1er : Comment faire pour filtrer sur dansguardian suivant l'IP les Sites autorisés
(en deux mot l'IP¨192.168.1.67 n'a que le droit d'aller sur Deux Sites et pas plus !

2eme : Comment empecher cette $%#&! de MSN de ce lancer !
J'ai essayé avec les IPTABLES, bloquer les ports MSN mais rien n'y fais c'est que c'est tenasse cette p'tite bestiole !!!!

3eme : heuu je crois que c'est tout snif ....

Merci bcp de votre aide ...

Famam

___________________________
Pour ma passerelle :
PC : 400 Mhz / 256 Mo / 4Go / 2 cartes Réseaux

*IPCOP 1.3
*Dansguardian
*Pluging pour gerer Dansguardian sur l'interface d'IPCOP

par **lucyfire** » 18 Juin 2004 22:49

pour ta première question, c'est pas possible de le faire directement avec Dans (du moins j'en suis arrivé à cette conclusion), par contre il doit y avoir moyen de lancer plusieurs instances de Dans qui écoute sur des ports différent dont un ou tu interdits tous par une expression régulière * et en mettant en whitelist(exceptionsitelist) les sites en questions.

ça reste de la théorie car j'ai pas expérimenté encore.

Pour la seconde je t'invite a regarder certains de mes posts, ma méthode bien que couteuse en charge était fonctionnelle (pas essyé avec la dernière version de MSN) plus aucune identification de type passport ne fonctionne, par contre certains messengers sont encore plus compliqués à couper.

Bref la méthode est expérimentale.

++

lcf

par **famam** » 20 Juin 2004 08:31

Je viens de trouver ca sur le foum mais je ne sais pas comme le mettre sur mon IPCOP (desole je suis movice)

... Peux tu me dire ce que je dois faire ?
Des copiers coller sur mon fichier : etc/squi/squid.conf

Merci bcp

lucyfire a écrit:ça marche au poil évidement ! j'y ai pas pensé du tout j'aurais trouvé pour rc.sysinit mais pas pour la reconnecion en rc.updatered
 
 merci.
 
 voilà le script entier qui permet de se debarraser de msn mess yahoo mess et aol mess la section kazaa n'est pas encore testé. Je n'ai rien contre ces programmes mais dans un lycée ça evite de daubé mes stations.
 
 #!/bin/sh
 
 /sbin/iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE
 
 # Msn Messenger
 /sbin/iptables -I FORWARD -s 192.168.2.0/24 -p tcp --dport 1863 -j DROP
 
 # AOL Messenger
 /sbin/iptables -I FORWARD -s 192.168.2.0/24 -p tcp --dport 5190 -j DROP
 /sbin/iptables -I FORWARD -s 192.168.2.0/24 -p tcp --dport 4099 -j DROP
 
 # Yahoo Messenger
 
 /sbin/iptables -I FORWARD -s 192.168.2.0/24 -p tcp --dport 5050 -j DROP
 /sbin/iptables -I FORWARD -d scs.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP
 /sbin/iptables -I FORWARD -d scsa.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP
 /sbin/iptables -I FORWARD -d cs.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP
 /sbin/iptables -I FORWARD -d scs-fooa.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP
 /sbin/iptables -I FORWARD -d scs-foob.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP
 /sbin/iptables -I FORWARD -d scs-fooc.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP
 /sbin/iptables -I FORWARD -d scs-food.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP
 /sbin/iptables -I FORWARD -d scs-fooe.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP
 /sbin/iptables -I FORWARD -d scs-foof.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP
 /sbin/iptables -I FORWARD -d http.pager.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP
 /sbin/iptables -I FORWARD -d msg.edit.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP
 /sbin/iptables -I FORWARD -d chat.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP
 /sbin/iptables -I FORWARD -d messenger.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP
 /sbin/iptables -I FORWARD -d address.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP
 
 # Kazaa
 #/sbin/iptables -A INPUT -i ppp0 -p tcp --dport 1214 -j REJECT --reject-with tcp-reset
 #/sbin/iptables -A FORWARD -i ppp0 -p tcp --dport 1214 -j REJECT --reject-with tcp-reset
 #/sbin/iptables -I FORWARD -p tcp -m string --string "KazaaClient" -j REJECT --reject-with tcp-reset

par **lucyfire** » 20 Juin 2004 10:07

salut,

bon tu as pas deterré le post le plus récent, en fait ça donne:

# bloque msn messenger
#/sbin/iptables -I FORWARD -p tcp -m string --string "TWN" -j REJECT --reject-with tcp-reset
/sbin/iptables -I FORWARD -p tcp -m string --hex-string "|20 54 57 4e 20|" -j REJECT --reject-with tcp-reset # bloque la chaine TWN et deux caractères non imprimables

# bloque AOL messenger
/sbin/iptables -I FORWARD -p tcp -m string --string "-AOL" -j REJECT --reject-with tcp-reset
#/sbin/iptables -I FORWARD -p tcp -m string --string "versi" -j REJECT --reject-with tcp-reset # risque de faux positifs

# bloque yahoo messenger
/sbin/iptables -I FORWARD -p tcp -m string --string "3sid" -j REJECT --reject-with tcp-reset

# bloque ICQ prob
/sbin/iptables -I FORWARD -p tcp -m string --string "3ICQ" -j REJECT --reject-with tcp-reset
/sbin/iptables -I FORWARD -p tcp -m string --string "cbHostIP" -j REJECT --reject-with tcp-reset
/sbin/iptables -I FORWARD -p tcp -m string --string "DisplayCL" -j REJECT --reject-with tcp-reset

# bloque ICQ light
/sbin/iptables -I FORWARD -p tcp -m string --string "ICQBasic" -j REJECT --reject-with tcp-reset

tu dois le mettre dans /etc/rc.d/rc.firewall avant le exit 0

++

lcf

par **famam** » 20 Juin 2004 11:58

GRRRRRRRRRRRRRRRRRRRRRRRRR :twisted:

voila mon fichier rc.firewall

Et ca fonctionne pas ... j'ai redemarrer mon ipcop ...

snif snif

#!/bin/sh

. /var/ipcop/ppp/settings
. /var/ipcop/ethernet/settings
IFACE=`/bin/cat /var/ipcop/red/iface | /usr/bin/tr -d '\012'`

iptables_init() {
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# Reduce DoS'ing ability by reducing timeouts
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_timestamps
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog

# Flush all rules and delete all custom chains
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -X
/sbin/iptables -t nat -X

# Set up policies
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
# DansGuardian Transparent Filtering Setup
/sbin/iptables -t nat -A PREROUTING -i $GREEN_DEV -p tcp --dport 80 -j REDIRECT --to-port 8080
/sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 800 -j DROP
/sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 3128 -j DROP
/sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 8000 -j DROP
/sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 8001 -j DROP

# This chain will log, then DROPs "Xmas" and Null packets which might
# indicate a port-scan attempt
/sbin/iptables -N PSCAN
/sbin/iptables -A PSCAN -p tcp -m limit --limit 10/minute -j LOG --log-prefix "TCP Scan? "
/sbin/iptables -A PSCAN -p udp -m limit --limit 10/minute -j LOG --log-prefix "UDP Scan? "
/sbin/iptables -A PSCAN -p icmp -m limit --limit 10/minute -j LOG --log-prefix "ICMP Scan? "
/sbin/iptables -A PSCAN -f -m limit --limit 10/minute -j LOG --log-prefix "FRAG Scan? "
/sbin/iptables -A PSCAN -j DROP

# Disallow packets frequently used by port-scanners, XMas and Null
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j PSCAN
/sbin/iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j PSCAN
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -j PSCAN
/sbin/iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j PSCAN
}

iptables_red() {
/sbin/iptables -F RED
/sbin/iptables -t nat -F RED

# PPPoE / PPTP Device
if [ "$IFACE" != "" ]; then
# PPPoE / PPTP
if [ "$DEVICE" != "" ]; then
/sbin/iptables -A RED -i $DEVICE -j ACCEPT
fi
if [ "$RED_TYPE" = "PPTP" -o "$RED_TYPE" = "PPPOE" ]; then
if [ "$RED_DEV" != "" ]; then
/sbin/iptables -A RED -i $RED_DEV -j ACCEPT
fi
fi
fi

if [ "$IFACE" != "" -a -f /var/ipcop/red/active ]; then
# DHCP
if [ "$RED_DEV" != "" -a "$RED_TYPE" = "DHCP" ]; then
/sbin/iptables -A RED -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
/sbin/iptables -A RED -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
fi
if [ "$PROTOCOL" = "RFC1483" -a "$METHOD" = "DHCP" ]; then
/sbin/iptables -A RED -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
/sbin/iptables -A RED -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
fi

# Allow IPSec
/sbin/iptables -A RED -p 47 -i $IFACE -j ACCEPT
/sbin/iptables -A RED -p 50 -i $IFACE -j ACCEPT
/sbin/iptables -A RED -p 51 -i $IFACE -j ACCEPT
/sbin/iptables -A RED -p udp -i $IFACE --sport 500 --dport 500 -j ACCEPT

# Outgoing masquerading
/sbin/iptables -t nat -A RED -o $IFACE -j MASQUERADE
fi
}

# See how we were called.
case "$1" in
start)
iptables_init

# Limit Packets- helps reduce dos/syn attacks
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 10/sec

# CUSTOM chains, can be used by the users themselves
/sbin/iptables -N CUSTOMINPUT
/sbin/iptables -A INPUT -j CUSTOMINPUT
/sbin/iptables -N CUSTOMFORWARD
/sbin/iptables -A FORWARD -j CUSTOMFORWARD
/sbin/iptables -t nat -N CUSTOMPREROUTING
/sbin/iptables -t nat -A PREROUTING -j CUSTOMPREROUTING

# Accept everyting connected
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# localhost and ethernet.
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT
/sbin/iptables -A FORWARD -i $GREEN_DEV -j ACCEPT

# accept all traffic from ipsec interfaces
/sbin/iptables -A INPUT -i ipsec+ -j ACCEPT
/sbin/iptables -A FORWARD -i ipsec+ -j ACCEPT

# Port forwarding
if [ "$ORANGE_DEV" != "" ]; then
# This rule enables a host on ORANGE network to connect to the outside
/sbin/iptables -A FORWARD -i $ORANGE_DEV -o ipsec+ -j DROP
/sbin/iptables -A FORWARD -i $ORANGE_DEV -p tcp \
-o ! $GREEN_DEV -j ACCEPT
/sbin/iptables -A FORWARD -i $ORANGE_DEV -p udp \
-o ! $GREEN_DEV -j ACCEPT
fi

# RED chain, used for the red interface
/sbin/iptables -N RED
/sbin/iptables -A INPUT -j RED
/sbin/iptables -t nat -N RED
/sbin/iptables -t nat -A POSTROUTING -j RED

iptables_red

# XTACCESS chain, used for external access
/sbin/iptables -N XTACCESS
/sbin/iptables -A INPUT -j XTACCESS

# PORTFWACCESS chain, used for portforwarding
/sbin/iptables -N PORTFWACCESS
/sbin/iptables -A FORWARD -j PORTFWACCESS

# DMZ pinhole chain. setdmzholes setuid prog adds rules here to allow
# ORANGE to talk to GREEN.
/sbin/iptables -N DMZHOLES
/sbin/iptables -A FORWARD -o $GREEN_DEV -j DMZHOLES

# Custom prerouting chains (for transparent proxy and port forwarding)
/sbin/iptables -t nat -N SQUID
/sbin/iptables -t nat -A PREROUTING -j SQUID
/sbin/iptables -t nat -N PORTFW
/sbin/iptables -t nat -A PREROUTING -j PORTFW

# last rule in input and forward chain is for logging.
/sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT "
/sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT "
;;
stop)
iptables_init

# Accept everyting connected
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# localhost and ethernet.
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT

if [ "$RED_DEV" != "" -a "$RED_TYPE" = "DHCP" ]; then
/sbin/iptables -A INPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
/sbin/iptables -A INPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
fi
if [ "$PROTOCOL" = "RFC1483" -a "$METHOD" = "DHCP" ]; then
/sbin/iptables -A INPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
/sbin/iptables -A INPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
fi

/sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT "
/sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT "
;;
reload)
iptables_red
;;
restart)
$0 stop
$0 start
;;
*)
echo "Usage: $0 {start|stop|reload|restart}"
exit 1
;;
esac
# bloque msn messenger
#/sbin/iptables -I FORWARD -p tcp -m string --string "TWN" -j REJECT --reject-with tcp-reset
/sbin/iptables -I FORWARD -p tcp -m string --hex-string "|20 54 57 4e 20|" -j REJECT --reject-with tcp-reset # bloque la chaine TWN et deux caractères non imprimables

# bloque AOL messenger
/sbin/iptables -I FORWARD -p tcp -m string --string "-AOL" -j REJECT --reject-with tcp-reset
#/sbin/iptables -I FORWARD -p tcp -m string --string "versi" -j REJECT --reject-with tcp-reset # risque de faux positifs

# bloque yahoo messenger
/sbin/iptables -I FORWARD -p tcp -m string --string "3sid" -j REJECT --reject-with tcp-reset

# bloque ICQ prob
/sbin/iptables -I FORWARD -p tcp -m string --string "3ICQ" -j REJECT --reject-with tcp-reset
/sbin/iptables -I FORWARD -p tcp -m string --string "cbHostIP" -j REJECT --reject-with tcp-reset
/sbin/iptables -I FORWARD -p tcp -m string --string "DisplayCL" -j REJECT --reject-with tcp-reset

# bloque ICQ light
/sbin/iptables -I FORWARD -p tcp -m string --string "ICQBasic" -j REJECT --reject-with tcp-reset

exit 0

par **lucyfire** » 20 Juin 2004 12:11

j'imagine que tu veux dire que ça marche toujours !! :lol:

Faisons le point tu veux bloquer msn messenger ? si oui ma règle marche aussi avec la nouvelle version.

Fais attention que chaque règle soit sur une ligne complète pour les plus longue et pas comme ça:

/sbin/iptables -I FORWARD -p tcp -m string --hex-string "|20 54 57 4e 20|" -j REJECT --reject-with tcp-reset

j'ai bien compris ta question ?

lcf

par **famam** » 20 Juin 2004 17:22

bon ou je suis nul ou mon ipcop et mon dansguardian fonctionnent mal

j'ai mis ce que vous m'avez donné et j'ai tjs MSN Messenger 6.2 ...

Pkoi ca fonctionne tjs !! ???? snif snif

Merci de votre aide

Voila a la ligne pret mon rc.firewall ....

_________________________
#!/bin/sh

. /var/ipcop/ppp/settings
. /var/ipcop/ethernet/settings
IFACE=`/bin/cat /var/ipcop/red/iface | /usr/bin/tr -d '\012'`

iptables_init() {
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# Reduce DoS'ing ability by reducing timeouts
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_timestamps
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog

# Flush all rules and delete all custom chains
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -X
/sbin/iptables -t nat -X

# Set up policies
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
# DansGuardian Transparent Filtering Setup
/sbin/iptables -t nat -A PREROUTING -i $GREEN_DEV -p tcp --dport 80 -j REDIRECT --to-port 8080
/sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 800 -j DROP
/sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 3128 -j DROP
/sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 8000 -j DROP
/sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 8001 -j DROP

# This chain will log, then DROPs "Xmas" and Null packets which might
# indicate a port-scan attempt
/sbin/iptables -N PSCAN
/sbin/iptables -A PSCAN -p tcp -m limit --limit 10/minute -j LOG --log-prefix "TCP Scan? "
/sbin/iptables -A PSCAN -p udp -m limit --limit 10/minute -j LOG --log-prefix "UDP Scan? "
/sbin/iptables -A PSCAN -p icmp -m limit --limit 10/minute -j LOG --log-prefix "ICMP Scan? "
/sbin/iptables -A PSCAN -f -m limit --limit 10/minute -j LOG --log-prefix "FRAG Scan? "
/sbin/iptables -A PSCAN -j DROP

# Disallow packets frequently used by port-scanners, XMas and Null
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j PSCAN
/sbin/iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j PSCAN
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -j PSCAN
/sbin/iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j PSCAN
}

iptables_red() {
/sbin/iptables -F RED
/sbin/iptables -t nat -F RED

# PPPoE / PPTP Device
if [ "$IFACE" != "" ]; then
# PPPoE / PPTP
if [ "$DEVICE" != "" ]; then
/sbin/iptables -A RED -i $DEVICE -j ACCEPT
fi
if [ "$RED_TYPE" = "PPTP" -o "$RED_TYPE" = "PPPOE" ]; then
if [ "$RED_DEV" != "" ]; then
/sbin/iptables -A RED -i $RED_DEV -j ACCEPT
fi
fi
fi

if [ "$IFACE" != "" -a -f /var/ipcop/red/active ]; then
# DHCP
if [ "$RED_DEV" != "" -a "$RED_TYPE" = "DHCP" ]; then
/sbin/iptables -A RED -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
/sbin/iptables -A RED -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
fi
if [ "$PROTOCOL" = "RFC1483" -a "$METHOD" = "DHCP" ]; then
/sbin/iptables -A RED -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
/sbin/iptables -A RED -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
fi

# Allow IPSec
/sbin/iptables -A RED -p 47 -i $IFACE -j ACCEPT
/sbin/iptables -A RED -p 50 -i $IFACE -j ACCEPT
/sbin/iptables -A RED -p 51 -i $IFACE -j ACCEPT
/sbin/iptables -A RED -p udp -i $IFACE --sport 500 --dport 500 -j ACCEPT

# Outgoing masquerading
/sbin/iptables -t nat -A RED -o $IFACE -j MASQUERADE
fi
}

# See how we were called.
case "$1" in
start)
iptables_init

# Limit Packets- helps reduce dos/syn attacks
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 10/sec

# CUSTOM chains, can be used by the users themselves
/sbin/iptables -N CUSTOMINPUT
/sbin/iptables -A INPUT -j CUSTOMINPUT
/sbin/iptables -N CUSTOMFORWARD
/sbin/iptables -A FORWARD -j CUSTOMFORWARD
/sbin/iptables -t nat -N CUSTOMPREROUTING
/sbin/iptables -t nat -A PREROUTING -j CUSTOMPREROUTING

# Accept everyting connected
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# localhost and ethernet.
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT
/sbin/iptables -A FORWARD -i $GREEN_DEV -j ACCEPT

# accept all traffic from ipsec interfaces
/sbin/iptables -A INPUT -i ipsec+ -j ACCEPT
/sbin/iptables -A FORWARD -i ipsec+ -j ACCEPT

# Port forwarding
if [ "$ORANGE_DEV" != "" ]; then
# This rule enables a host on ORANGE network to connect to the outside
/sbin/iptables -A FORWARD -i $ORANGE_DEV -o ipsec+ -j DROP
/sbin/iptables -A FORWARD -i $ORANGE_DEV -p tcp \
-o ! $GREEN_DEV -j ACCEPT
/sbin/iptables -A FORWARD -i $ORANGE_DEV -p udp \
-o ! $GREEN_DEV -j ACCEPT
fi

# RED chain, used for the red interface
/sbin/iptables -N RED
/sbin/iptables -A INPUT -j RED
/sbin/iptables -t nat -N RED
/sbin/iptables -t nat -A POSTROUTING -j RED

iptables_red

# XTACCESS chain, used for external access
/sbin/iptables -N XTACCESS
/sbin/iptables -A INPUT -j XTACCESS

# PORTFWACCESS chain, used for portforwarding
/sbin/iptables -N PORTFWACCESS
/sbin/iptables -A FORWARD -j PORTFWACCESS

# DMZ pinhole chain. setdmzholes setuid prog adds rules here to allow
# ORANGE to talk to GREEN.
/sbin/iptables -N DMZHOLES
/sbin/iptables -A FORWARD -o $GREEN_DEV -j DMZHOLES

# Custom prerouting chains (for transparent proxy and port forwarding)
/sbin/iptables -t nat -N SQUID
/sbin/iptables -t nat -A PREROUTING -j SQUID
/sbin/iptables -t nat -N PORTFW
/sbin/iptables -t nat -A PREROUTING -j PORTFW

# last rule in input and forward chain is for logging.
/sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT "
/sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT "
;;
stop)
iptables_init

# Accept everyting connected
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# localhost and ethernet.
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT

if [ "$RED_DEV" != "" -a "$RED_TYPE" = "DHCP" ]; then
/sbin/iptables -A INPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
/sbin/iptables -A INPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
fi
if [ "$PROTOCOL" = "RFC1483" -a "$METHOD" = "DHCP" ]; then
/sbin/iptables -A INPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
/sbin/iptables -A INPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
fi

/sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT "
/sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT "
;;
reload)
iptables_red
;;
restart)
$0 stop
$0 start
;;
*)
echo "Usage: $0 {start|stop|reload|restart}"
exit 1
;;
esac

# bloque msn messenger
/sbin/iptables -I FORWARD -p tcp -m string --string "TWN" -j REJECT --reject-with tcp-reset
/sbin/iptables -I FORWARD -p tcp -m string --hex-string "|20 54 57 4e 20|" -j REJECT --reject-with tcp-reset
# bloque la chaine TWN et deux caractères non imprimables

# bloque AOL messenger
/sbin/iptables -I FORWARD -p tcp -m string --string "-AOL" -j REJECT --reject-with tcp-reset
/sbin/iptables -I FORWARD -p tcp -m string --string "versi" -j REJECT --reject-with tcp-reset
# risque de faux positifs

# bloque yahoo messenger
/sbin/iptables -I FORWARD -p tcp -m string --string "3sid" -j REJECT --reject-with tcp-reset

# bloque ICQ prob
/sbin/iptables -I FORWARD -p tcp -m string --string "3ICQ" -j REJECT --reject-with tcp-reset
/sbin/iptables -I FORWARD -p tcp -m string --string "cbHostIP" -j REJECT --reject-with tcp-reset
/sbin/iptables -I FORWARD -p tcp -m string --string "DisplayCL" -j REJECT --reject-with tcp-reset

# bloque ICQ light
/sbin/iptables -I FORWARD -p tcp -m string --string "ICQBasic" -j REJECT --reject-with tcp-reset

exit 0

par **pkaer** » 20 Juin 2004 21:27

Salut,

Décidement, je crois que je viens de te répondre pour un autre PB.

Courage, il y a un début a tout et l'on est tjrs débutant sur qq chose (*@!=#) de M$ Exchange 2k3)

Pour ton problème, 2 pistes :

1) A mon avis dans ton rc.firewall, tu as mis tes lignes trop bas. A l'endroit ou tu les as placées, circulez, il n'y a plus rien à voir. En clair tu les as positionnées juste après "l'usage" de rc.firewall, il aurait fallu les mettre juste après la dernière ligne "/sbin/iptables" et avant les ";;" c'est à dire après :

/sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT "

et avant

;;
stop)

2) comme toutes tes règles sont en -I (pour INPUT), tu aurais tout intéret à les insérer dans le fichier rc.firewall.local

Bonne chance
@+
PK

par **famam** » 20 Juin 2004 22:03

Bon j'ai etais sage je t'ai écouté mais rien a faire c'est que c'est tenasse cette p'tite MER- - - - de MSN Messanger ....

Bon tu peux le voir j'ai mis apres /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT "

Pour mon fichier rc.firewall.local je le trouve celui la car dans rc.d il n'y est pas ...

Merci bcp
Famam

#!/bin/sh

. /var/ipcop/ppp/settings
. /var/ipcop/ethernet/settings
IFACE=`/bin/cat /var/ipcop/red/iface | /usr/bin/tr -d '\012'`

iptables_init() {
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# Reduce DoS'ing ability by reducing timeouts
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_timestamps
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog

# Flush all rules and delete all custom chains
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -X
/sbin/iptables -t nat -X

# Set up policies
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
# DansGuardian Transparent Filtering Setup
/sbin/iptables -t nat -A PREROUTING -i $GREEN_DEV -p tcp --dport 80 -j REDIRECT --to-port 8080
/sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 800 -j DROP
/sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 3128 -j DROP
/sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 8000 -j DROP
/sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 8001 -j DROP

# This chain will log, then DROPs "Xmas" and Null packets which might
# indicate a port-scan attempt
/sbin/iptables -N PSCAN
/sbin/iptables -A PSCAN -p tcp -m limit --limit 10/minute -j LOG --log-prefix "TCP Scan? "
/sbin/iptables -A PSCAN -p udp -m limit --limit 10/minute -j LOG --log-prefix "UDP Scan? "
/sbin/iptables -A PSCAN -p icmp -m limit --limit 10/minute -j LOG --log-prefix "ICMP Scan? "
/sbin/iptables -A PSCAN -f -m limit --limit 10/minute -j LOG --log-prefix "FRAG Scan? "
/sbin/iptables -A PSCAN -j DROP

# Disallow packets frequently used by port-scanners, XMas and Null
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j PSCAN
/sbin/iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j PSCAN
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -j PSCAN
/sbin/iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j PSCAN
}

iptables_red() {
/sbin/iptables -F RED
/sbin/iptables -t nat -F RED

# PPPoE / PPTP Device
if [ "$IFACE" != "" ]; then
# PPPoE / PPTP
if [ "$DEVICE" != "" ]; then
/sbin/iptables -A RED -i $DEVICE -j ACCEPT
fi
if [ "$RED_TYPE" = "PPTP" -o "$RED_TYPE" = "PPPOE" ]; then
if [ "$RED_DEV" != "" ]; then
/sbin/iptables -A RED -i $RED_DEV -j ACCEPT
fi
fi
fi

if [ "$IFACE" != "" -a -f /var/ipcop/red/active ]; then
# DHCP
if [ "$RED_DEV" != "" -a "$RED_TYPE" = "DHCP" ]; then
/sbin/iptables -A RED -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
/sbin/iptables -A RED -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
fi
if [ "$PROTOCOL" = "RFC1483" -a "$METHOD" = "DHCP" ]; then
/sbin/iptables -A RED -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
/sbin/iptables -A RED -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
fi

# Allow IPSec
/sbin/iptables -A RED -p 47 -i $IFACE -j ACCEPT
/sbin/iptables -A RED -p 50 -i $IFACE -j ACCEPT
/sbin/iptables -A RED -p 51 -i $IFACE -j ACCEPT
/sbin/iptables -A RED -p udp -i $IFACE --sport 500 --dport 500 -j ACCEPT

# Outgoing masquerading
/sbin/iptables -t nat -A RED -o $IFACE -j MASQUERADE
fi
}

# See how we were called.
case "$1" in
start)
iptables_init

# Limit Packets- helps reduce dos/syn attacks
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 10/sec

# CUSTOM chains, can be used by the users themselves
/sbin/iptables -N CUSTOMINPUT
/sbin/iptables -A INPUT -j CUSTOMINPUT
/sbin/iptables -N CUSTOMFORWARD
/sbin/iptables -A FORWARD -j CUSTOMFORWARD
/sbin/iptables -t nat -N CUSTOMPREROUTING
/sbin/iptables -t nat -A PREROUTING -j CUSTOMPREROUTING

# Accept everyting connected
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# localhost and ethernet.
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT
/sbin/iptables -A FORWARD -i $GREEN_DEV -j ACCEPT

# accept all traffic from ipsec interfaces
/sbin/iptables -A INPUT -i ipsec+ -j ACCEPT
/sbin/iptables -A FORWARD -i ipsec+ -j ACCEPT

# Port forwarding
if [ "$ORANGE_DEV" != "" ]; then
# This rule enables a host on ORANGE network to connect to the outside
/sbin/iptables -A FORWARD -i $ORANGE_DEV -o ipsec+ -j DROP
/sbin/iptables -A FORWARD -i $ORANGE_DEV -p tcp \
-o ! $GREEN_DEV -j ACCEPT
/sbin/iptables -A FORWARD -i $ORANGE_DEV -p udp \
-o ! $GREEN_DEV -j ACCEPT
fi

# RED chain, used for the red interface
/sbin/iptables -N RED
/sbin/iptables -A INPUT -j RED
/sbin/iptables -t nat -N RED
/sbin/iptables -t nat -A POSTROUTING -j RED

iptables_red

# XTACCESS chain, used for external access
/sbin/iptables -N XTACCESS
/sbin/iptables -A INPUT -j XTACCESS

# PORTFWACCESS chain, used for portforwarding
/sbin/iptables -N PORTFWACCESS
/sbin/iptables -A FORWARD -j PORTFWACCESS

# DMZ pinhole chain. setdmzholes setuid prog adds rules here to allow
# ORANGE to talk to GREEN.
/sbin/iptables -N DMZHOLES
/sbin/iptables -A FORWARD -o $GREEN_DEV -j DMZHOLES

# Custom prerouting chains (for transparent proxy and port forwarding)
/sbin/iptables -t nat -N SQUID
/sbin/iptables -t nat -A PREROUTING -j SQUID
/sbin/iptables -t nat -N PORTFW
/sbin/iptables -t nat -A PREROUTING -j PORTFW

# last rule in input and forward chain is for logging.
/sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT "
/sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT "
;;
stop)
iptables_init

# Accept everyting connected
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# localhost and ethernet.
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT

if [ "$RED_DEV" != "" -a "$RED_TYPE" = "DHCP" ]; then
/sbin/iptables -A INPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
/sbin/iptables -A INPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
fi
if [ "$PROTOCOL" = "RFC1483" -a "$METHOD" = "DHCP" ]; then
/sbin/iptables -A INPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
/sbin/iptables -A INPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
fi

/sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT "
/sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT "

# bloque msn messenger
/sbin/iptables -I FORWARD -p tcp -m string --string "TWN" -j REJECT --reject-with tcp-reset
/sbin/iptables -I FORWARD -p tcp -m string --hex-string "|20 54 57 4e 20|" -j REJECT --reject-with tcp-reset
# bloque la chaine TWN et deux caractères non imprimables

# bloque AOL messenger
/sbin/iptables -I FORWARD -p tcp -m string --string "-AOL" -j REJECT --reject-with tcp-reset
/sbin/iptables -I FORWARD -p tcp -m string --string "versi" -j REJECT --reject-with tcp-reset
# risque de faux positifs

# bloque yahoo messenger
/sbin/iptables -I FORWARD -p tcp -m string --string "3sid" -j REJECT --reject-with tcp-reset

# bloque ICQ prob
/sbin/iptables -I FORWARD -p tcp -m string --string "3ICQ" -j REJECT --reject-with tcp-reset
/sbin/iptables -I FORWARD -p tcp -m string --string "cbHostIP" -j REJECT --reject-with tcp-reset
/sbin/iptables -I FORWARD -p tcp -m string --string "DisplayCL" -j REJECT --reject-with tcp-reset

# bloque ICQ light
/sbin/iptables -I FORWARD -p tcp -m string --string "ICQBasic" -j REJECT --reject-with tcp-reset
;;
reload)
iptables_red
;;
restart)
$0 stop
$0 start
;;
*)
echo "Usage: $0 {start|stop|reload|restart}"
exit 1
;;
esac

exit 0

par **pkaer** » 20 Juin 2004 22:16

Salut,

Si tu ne trouves pas rc.firewall.local.... c'est que tu ne dois pas être en 1.4.0bx

Pour ton rc.firewall, tu as mis tes lignes non pas avant :

;;
stop)

mais avant

;;
reload)

en effet la commande
/sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT "
se trouve à plusieurs endroits.

Maintenant, je ne peux te garantir que cela va fonctionner car d'après Lucyfire, tu as trouvé cela sur un post assez ancien et le critère de bloquage se fait sur des seules chaines de caractères. Si elles ont changées depuis, c'est mort

@+
PK

par **lucyfire** » 20 Juin 2004 22:26

pour faire plus simple tu créè un fichier msn_block tu mets les règles dedans et tu le lance à la main ./msn_block (passe le en 755).

en faisant un iptables -L FORWARD tu verras les règles de la table FORWARD tu dois voir le match on string TWN

par contre si au lancement du fichier tu as une erreur c'est que le mod match_string iptables n'est pas présent.... je crois que tu as une 1.3 et je me souviens plus si il est présent.

les dernières règles que j'ai postées fonctionnent même avec le dernier msn messenger (version de la semaine derniere en fait on bloque toutes les identifications de type passport microsoft).

++

lcf

par **pkaer** » 20 Juin 2004 22:29

Petite question,

Si tu veux bloquer MSN, pourqoui tu bloques pas les ports de ce dernier

http://www.faqxp.com/f/409.asp

et ceux ci

Ports 6891-6900 enable File send,
Port 6901 is for voice communications
Allows Voice, PC to Phone, Messages, and Full File transfer capabilities.
Thnx to Brad King & Bill Finch Jr.
IN TCP 6891 - 6900
IN TCP 1863
IN UDP 1863
IN UDP 5190
IN UDP 6901
IN TCP 6901

Si tu veux le faire simplement, utilises l'addon BlockOutTraffic (IPCop 1.3 et 1.4)
http://firewalladdons.sourceforge.net/utilities.html
elle ferme tous tes ports de ton LAN vers INTERNET et tu n'ouvres que ceux qui t'intéressent.

A mon avis ce serait plus simple que de se palucher les règles IPTABLES

@+
PK

par **lucyfire** » 20 Juin 2004 22:35

Salut pkaer,

c'est un peu plus compliqué que ça car les msn like sont du genre persistant donc quand tu leur bouche un passage il essayent via d'autres ports etc etc et finallement devines ce qu'ils essayent ? le port 80 :lol:

et là si tu le bloque personne ne surf ! :lol:

++

lcf

par **kerozene** » 21 Juin 2004 09:33

salut à tous,

je ne suis pas sûr mais j'ai plutôt l'impression qu'il ne voudrait pas que le programme se lance, que le problème n'est donc pas de bloquer les communications mais plutôt de l'empècher de se lancer. Alors dans ce cas là tu peux le désinstaller, tu trouveras la procédure sur google en cherchant "désinstaller MSN".

++

K.

par **lucyfire** » 21 Juin 2004 09:42

Salut,

Oh ben si c'est ça c'est que je ne sais plus lire entre les lignes ! :lol:

++

lcf

Pleins de problèmes [Dansguardian IPCOP]

Pleins de problèmes [Dansguardian IPCOP]

Re: Pleins de problèmes [Dansguardian IPCOP]

Qui est en ligne ?