Un petit coup de pouce en Iptables !

Forum d'assistance et d'échange sur l'installation, la configuration, et l'utilisation des système Linux et BSD. Vous pouvez y poster vos questions concernant ces systèmes d'exploitation en faisant l'effort préalable de rechercher dans le forum, dans les manuels et les documentations que la réponse n'y figure pas.

Modérateur: modos Ixus

Un petit coup de pouce en Iptables !

Messagepar snipalt » 06 Sep 2004 15:42

Comme les autres Forums ont l'air un peu Mort :

Une petite question sans Ipatbles !
--> J'ai déjà lu Le guide De Survie, et un tas de Doc, mais j'ai encore du Mal et très peu de temps !


http://forums.ixus.net/viewtopic.php?t=20452
ciao ciao
********
A chaque fois que j'aimerai partir là où j'aimerais vraiment être, c'est déjà là où je suis car j'y suis déjà. Qui suis-je ?
Avatar de l’utilisateur
snipalt
Premier-Maître
Premier-Maître
 
Messages: 66
Inscrit le: 14 Mai 2004 15:58
Localisation: Audun-le-Tiche

Messagepar romangeur » 06 Sep 2004 16:23

Une petite ruse qui vient du site d'Antolien ...

Tout bloquer d'abord, puis autoriser ensuite (inversement de la politique d'ipcop 1.4)
Vous avez envie d'être plus retrictif avec vos utilisateurs et de leur autoriser de faire seulement du http, https, ftp pour tout le lan, et autoriser le pop3 juste pour une @ip (par exemple...)

En ligne de commande, authentifié en tant que root, tapez :

root@ipcop:~ # vi /etc/rc.d/rc.firewall

vous êtes dans le fichier de configuration des règles du firewall ipcop.

Tapez "156G " pour aller à la ligne 106, soit la ligne " /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT"


Ajoutez un # au début afin de la commenter, ce qui nous donne :

# /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT

Sortez du mode insert et tapez " :wq " pour enregistrer les modifications et quitter vi.

Nous allons maintenant éditer un autre fichier, ce qui permet une meilleure lisibilité de vos propres règles :

root@ipcop:~ # vi /etc/rc.d/rc.firewall.local

insérez vos autorisations après la ligne
## add your 'start' rules here

#Comme exemple nous allons autoriser le lan (en 10.0.0.0/24) à faire du http,https,ftp.

/sbin/iptables -A FORWARD -i eth0 -s 10.0.0.0/24 -m multiport -p tcp --dport 80,443,21 -m state --state NEW -j ACCEPT

#Voici une règle spécifique pour que l'@ip 10.0.0.20 ait le droit de récupérer des e-mails en pop3

/sbin/iptables -A FORWARD -i eth0 -s 10.0.0.20 -p tcp --dport 110 -m state --state NEW -j ACCEPT

Après avoir entré toutes vos règles, vous pouvez enregistrer et quitter vi (:wq)

Pour appliquer les règles tapez /etc/rc.d/rc.firewall restart (rc.firewall.local est appelé par le rc.firewall)

:wink: ça devrait t'aider ...
Intel PIII 1.1 GHz DD 4 Go 128 Mo SDRAM
Modem Wanadoo 1Mo
Ipcop1.4.5 AddonServer2.3 + BOT
AddonSquidFranck78
Avatar de l’utilisateur
romangeur
Premier-Maître
Premier-Maître
 
Messages: 61
Inscrit le: 23 Juil 2004 14:22
Localisation: Totalement à l'ouest

Messagepar snipalt » 06 Sep 2004 16:34

Clair, net précis !


Mais le Pb, c'est que je ne peux pas inverser cette poilitique ! ! !
Et mon script ne semble pas être prit en compte !



J'ai dével une appli qui permet dans le cadre d'un Lycée, un choix d'une politique de restriction.

Un Firewall concentre tous les réseaux [salles], par défaut le Firewall doit être transparent [on ne doit même pas ressentir sa présece], mais lorsqu'il y a baisse d'écoute le prof peut choisir de bloquer Internet pour sa salle, et uniquement ! Toute mon appli trourne, il faut maintenant lui ajouter au moins un script [histoire de montrer que ça marche]

Et ça ne pourra marcher que comme ça ! Montrez moi que c'est possible ! ! !

Merci d'avance !
ciao ciao
********
A chaque fois que j'aimerai partir là où j'aimerais vraiment être, c'est déjà là où je suis car j'y suis déjà. Qui suis-je ?
Avatar de l’utilisateur
snipalt
Premier-Maître
Premier-Maître
 
Messages: 66
Inscrit le: 14 Mai 2004 15:58
Localisation: Audun-le-Tiche

Messagepar grosbedos » 06 Sep 2004 16:59

salut,

le probleme c'est qu'il ne faut pas utiliser -A mais -I
(genre iptables -I FORWARD -d IP -j DROP)
et fait attention...la je suppose que tu n'utilises pas le proxy !
et il ne faut pas utiliser INPUT mais FORWARD
et essaye de préciser les interfaces d'entrée et sortie....(je ne connais pas ta config pour les interfaces..donc ce n'est qu'un exemple)

iptables -N <CHAIN>
iptables <A-D> FORWARD -i ppp0 -o eth0 --protocol tcp -m multiport --sports 80,443 -m state --state ESTABLISHED,RELATED -j <CHAIN>
iptables <A-D> FORWARD -i eth0 -o ppp0 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED,RELATED -j <CHAIN>
iptables <A-D> <CHAIN> -d <IP> -j DROP
iptables <A-D> <CHAIN> -s <IP> -j DROP
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar guiguid » 06 Sep 2004 16:59

remplace le -A (append)

par du -I numdeligne (Insert à la numdeligne position)

pour avoir tout bon iptables -I 1 ....

salut.
Avatar de l’utilisateur
guiguid
Vice-Amiral
Vice-Amiral
 
Messages: 636
Inscrit le: 10 Avr 2003 00:00
Localisation: 66

Messagepar grosbedos » 06 Sep 2004 18:28

et au fait,
il existe une distribution qui repondrai à tes besoins je pense,
c'est censornet,
une de ces utilités et de gérer l'acces au web, par classe, groupe...le tout avec authentification sur controleur de domaine...gerer des black listes etc.
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar snipalt » 07 Sep 2004 09:31

:( :( :(

ça ne marche toujours pas ! ! !

Configuration de mon Client :
IP : 172.33.0.7
MASQUE : 255.255.255.0
DNS 1 : 195.83.142.200


Configuration du serveur :
172.33.0.1, 255.255.255.0

---------------------------------------------------------------------------------------

Script généré : : :
Code: Tout sélectionner

0  #Empeche l utilisateur de faire du http   

1  #creation de la chaine si elle n existe pas   

2  iptables -N reseau_test   

3  # on renvoie vers reseau_test (-j reseau_test)   

4  #http source   

5  iptables -I FORWARD -i ppp0 -o eth0 --protocol tcp -m multiport --sports 80,443 -m state --state ESTABLISHED,RELATED -j reseau_test   

6  #http destination   

7  iptables -I FORWARD -i eth0 -o ppp0 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED,RELATED -j reseau_test   

8  #refus pour tout les paquets du sous reseau a rentrer dans chaine   

9  iptables -I reseau_test -d 172.33.0.0/24 -j DROP   

10  iptables -I reseau_test -s 172.33.0.0/24 -j DROP   

nombre total de commandes :5-- commandes réussies :5-- commandes échouées :0--


Voila ce qu'il me renvoie, sur le serveur tout s'est bien passé, pourquoi l'accès à Internet est-il encore possible ? ? ? ? Il ne me reste moins d'une journée pour trouver la solution ! Je balise !

Merci[/code]
ciao ciao
********
A chaque fois que j'aimerai partir là où j'aimerais vraiment être, c'est déjà là où je suis car j'y suis déjà. Qui suis-je ?
Avatar de l’utilisateur
snipalt
Premier-Maître
Premier-Maître
 
Messages: 66
Inscrit le: 14 Mai 2004 15:58
Localisation: Audun-le-Tiche

Messagepar antolien » 07 Sep 2004 10:10

Bonjour,

Tu n'aurais pas inversé les interfaces ?

-i (input) interface d'entrée
-o (output) interface de sortie

donc ce serait plutôt -i eth0 -o ppp0
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar grosbedos » 07 Sep 2004 10:38

ou le proxy activé..
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar antolien » 07 Sep 2004 10:53

Oui, le proxy en transparent
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Franck78 » 07 Sep 2004 11:27

Code: Tout sélectionner

0  #Empeche l utilisateur de faire du http   
1  #creation de la chaine si elle n existe pas   
2  iptables -N reseau_test   
3  # on renvoie vers reseau_test (-j reseau_test)   
4  #http source   
5  iptables -I FORWARD -i ppp0 -o eth0 --protocol tcp -m multiport --sports 80,443 -m state --state ESTABLISHED,RELATED -j reseau_test   
6  #http destination   
7  iptables -I FORWARD -i eth0 -o ppp0 -p tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED,RELATED -j reseau_test   
8  #refus pour tout les paquets du sous reseau a rentrer dans chaine   
9  iptables -I reseau_test -d 172.33.0.0/24 -j DROP   
10  iptables -I reseau_test -s 172.33.0.0/24 -j DROP   


5,9: plutôt inutile non ? Chaque élève de la salle se comporte seulement en client.

Le code ipcop iptables s'occupe 'déjà' de ce qui est ESTABLISHED,RELATED.
La seule chose à faire est de ne pas laisser démarrer la connexion.

La seule ligne utile serait la ligne 10, et placée dans PREROUTING:

iptables -t nat -I PREROUTING -s 172.33.0.0/24 -p tcp -m multiport --dports 80,443,800 -j DROP
IMHO


bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar snipalt » 07 Sep 2004 11:46

iptables -t nat -I PREROUTING -s 172.33.0.0/24 -p tcp -m multiport --dports 80,443 -j DROP



Bien joué ! ! ! !

Hé bien celle-ci je ne l'avais pas vu, et elle mériterait bien de se trouver dans le manuel de susrvie ! ! !


Merci Franck ! Tu me permets de finir mon projet ! MAintenant, reste 7 jours pour rendre mon rapport ! ! !



Merci 10000 fois !
ciao ciao
********
A chaque fois que j'aimerai partir là où j'aimerais vraiment être, c'est déjà là où je suis car j'y suis déjà. Qui suis-je ?
Avatar de l’utilisateur
snipalt
Premier-Maître
Premier-Maître
 
Messages: 66
Inscrit le: 14 Mai 2004 15:58
Localisation: Audun-le-Tiche

Messagepar snipalt » 07 Sep 2004 15:16

Et dans la même logique, le blocage de Mails (SMTP//POP3) suit la même logique ? ? ?

Merci
ciao ciao
********
A chaque fois que j'aimerai partir là où j'aimerais vraiment être, c'est déjà là où je suis car j'y suis déjà. Qui suis-je ?
Avatar de l’utilisateur
snipalt
Premier-Maître
Premier-Maître
 
Messages: 66
Inscrit le: 14 Mai 2004 15:58
Localisation: Audun-le-Tiche

Messagepar Franck78 » 07 Sep 2004 16:20

ben oui !
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar snipalt » 07 Sep 2004 16:41

Donc ::::::

iptables -t nat -I PREROUTING -s 172.33.0.0/24 -p udp -m multiport --dports 110,25 -j DROP

--> Je suis un peu perplexe :? !

Et un petit blocage d'MSN sur le port 1863 ? ? ? Par l'exemple !


Merci de ton aide ! ! !


Après plus aucune question ! Promi 8) !
ciao ciao
********
A chaque fois que j'aimerai partir là où j'aimerais vraiment être, c'est déjà là où je suis car j'y suis déjà. Qui suis-je ?
Avatar de l’utilisateur
snipalt
Premier-Maître
Premier-Maître
 
Messages: 66
Inscrit le: 14 Mai 2004 15:58
Localisation: Audun-le-Tiche

Suivant

Retour vers Linux et BSD (forum généraliste)

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron