Verrouiller accès du GREEN vers RED selon plage horaire ???

par **Teo** » 17 Oct 2004 23:06

Bonjour, bonsoir ...

J’ai fouillé les différents posts sur ce sujet, mais comme je suis un user sans connaissances en programmation je me demandais si ce qui est raconté dans ce post est configurable ou si il faut absolument modifier du code :

viewtopic.php?t=19812&highlight=iptable

j’avoue que je n’y comprends rien et je ne sais pas où faire tout çà :!:

Aussi existe-il une manière simple et paramétrable pour autoriser l’accès à Internet des PC de mon réseau GREEN durant des plages horaires paramétrables pour chaque PC :?:

Merci par avance de vos réponses :idea:

par **Yvan** » 18 Oct 2004 07:24

Bonjour

viewtopic.php?t=9451&highlight=iptables+bloque

Anatolien y a mis une solution avec iptables et crontab

A+ Yvan

par **Teo** » 19 Oct 2004 21:23

merci Yvan de ta réponse, je regarde ce post

par **erreipnaej** » 19 Oct 2004 22:31

Bonsoir,

J'avais fait ça sur la version 1.3.
Ca a un peu changé sur la 1.4 car maintenant c'est fcrontab et l'emplacement des fichiers est changé.
Les fichiers de blocage et déblocage sont installés dans le directory /perso

Blockip

Code: Tout sélectionner: #!/bin/bash cd / cd perso iptables -I FORWARD -s XXX.XXX.XXX.XXX -j DROP

Deblockip

Code: Tout sélectionner: #!/bin/bash cd / cd perso iptables -D FORWARD -s XXX.XXX.XXX.XXX -j DROP

Dans le fichier /etc/crontab (IpCop 1.3) ou /var/spool/cron/root.orig (IpCop 1.4) rajouter les lignes suivantes:

Code: Tout sélectionner: # Connection IP 00 8 * * 1 root /perso/deblockip #déblocage IP lundi matin 8h 00 19 * * 1 root /perso/blockip #blocage IP lundi soir 19h 00 8 * * 2 root /perso/deblockip #déblocage IP mardi matin 8h 00 19 * * 2 root /perso/blockip #blocage IP mardi soir 19h 00 8 * * 3 root /perso/deblockip #déblocage IP mercredi matin 8h 00 19 * * 3 root /perso/blockip #blocage IP mercredi soir 19h 00 8 * * 4 root /perso/deblockip #déblocage IP jeudi matin 8h 00 19 * * 4 root /perso/blockip #blocage IP jeudi soir 19h 00 8 * * 5 root /perso/deblockip #déblocage IP vendredi matin 8h 30 23 * * 5 root /perso/blockip #blocage IP vendredi soir 23h30 00 10 * * 6 root /perso/deblockip #déblocage IP samedi matin 10h 30 23 * * 6 root /perso/blockip #blocage IP samedi soir 23h30 00 10 * * 0 root /perso/deblockip #déblocage IP dimanche matin 10h 00 19 * * 0 root /perso/blockip #blocage IP dimanche soir 19h 30 12 * * * root /perso/blockip #blocage 12h30 00 14 * * * root /perso/deblockip #déblocage 14h00 #End connection IP

Chaque ligne se lit comme ça:

Code: Tout sélectionner: minutes heure jour_du_mois (0-31) mois (1-12) jour (O-dimanche – 6-samedi) User /chemin/script

Par ces modifs, IpCop va autoriser la connection de l’IP xxx.xxx.xxx.xxx
du lundi au jeudi de 8h à 12h30 et 14h à 19h
le vendredi de 8h à 12h30 et 14h à 23h
le samedi de 10h à 12h30 et 14h à 23h
et le dimanche de 10h à 12h30 et 14h à 19h
et la bloquer le reste du temps.

Avec WinSCP, vérifier le groupe (root), le propriétaire (root) et mettre les droits RWX pour root (700)

--Edit------------
D'aprés ce que j'ai lu sur tous les post, bloquer les FORWARD suffit.
Perso, j'utilise DansGuardian en proxy transparent et j'ai rajouté des régles pour bloquer les INPUT et les OUTPUT car j'avais des connections qui passaient les fichiers blockip et deblockip sont devenus ainsi:

blockip

Code: Tout sélectionner: /sbin/iptables -I FORWARD -s xxx.xxx.xxx.xxx -j DROP /sbin/iptables -I INPUT -s xxx.xxx.xxx.xxx -j DROP /sbin/iptables -I OUTPUT -s xxx.xxx.xxx.xxx -j DROP

deblockip

Code: Tout sélectionner: /sbin/iptables -D FORWARD -s xxx.xxx.xxx.xxx -j DROP /sbin/iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP /sbin/iptables -D OUTPUT -s xxx.xxx.xxx.xxx -j DROP

--Edit------------

Bonne chance

par **Teo** » 20 Oct 2004 22:29

merci de ton aide erreipnaej

j'ai suivi pas à pas tes explications et dans 30 minutes je vais vérifier si une IP de mon GREEN est bien bloquée .

Par contre pour bloquer plusieurs IP sauf une , ou puis-je trouver la synthaxe :?:

( je ne vais quand même pas couper la branche surlaquelle je suis assis )

par **erreipnaej** » 20 Oct 2004 22:48

Bonsoir,

Une bonne recherches sur Google s'impose.
Pour ma part, j'ai pioché en majorité sur http://christian.caleca.free.fr/netfilter/ qui est quelquepart une bible. =D>

Il y a aussi http://www.lea-linux.org/.
Pour bloquer une plage d'IP, je ne connais pas exactement la syntaxe. :oops:

Une solution est de tout saisir dans le fichier cron #-o

, mais c'est pas top!
Pour mon cas je n'ai qu'une machine à bloquer (celle de mon fils).
Mais ça apprends vite ces petites bétes (15 ans) et je pense qu'il va pas tarder à changer d'IP sans rien demander. $T\'en veux une ?$
Merci les logs pour retrouver.
Si ça se produit, je pense activer le serveur DHCP et reduire le masque de réseau.
En assignant les baux en fonction de la Mac Adress, ça devrait permettre d'avoir toujours les mêmes machines avec les mêmes IP et si tu forces une IP autre, il devrait y avoir conflit. Enfin je pense.
J'aviserais le moment venu

Au cas ou tu trouves, post la soluce pour les Ixusiens.
@+

PS c'est marrant, toi aussi t'a une IP qui a tous les droits!

par **Teo** » 20 Oct 2004 23:21

bonsoir ,

Zut ça passe toujours malgré le code !! trop fort Ipcop

Je vais compléter les paquets FOWARD par les INPUT OUTPUT, mais demain.

Pour l’adresse IP, j’utilise le serveur DHCP pour une partie de mon réseau, mais rien n’oblige un utilisateur de choisir une adresse fixe en dehors de la zone d’adressage et il passe sans problème. ( moi aussi j’ai 3 petites bêtes à la maison qui vont à partir de vendredi et durant 1 semaine abuser du net sauf si je réussi à limiter un peu ...)

J’ai trouvé le ! à placer devant l’IP et qui est équivalent à excepter, c’est déjà une piste...

Merci erreipnaej de ta réponse en tous cas.

par **Teo** » 21 Oct 2004 21:35

bonsoir,

bon marche toujours pas :cry:

, j’ai relu différent post sur ce sujet et j’ai testé les points suivants :

Si je fais ps –A j’ai bien une tâche fcron qui tourne

J’ai édité le fcrontab –e pour le compiler et j’obtiens avec :wq
Modifications will be taken into account right now.

Par contre j'ai tapé la commande iptables -L mais je ne trouve aucune info sur l'adresse IP qui est sensée être bloquée.

Faut-il lancer quelque chose de particulier de plus ?

par **erreipnaej** » 21 Oct 2004 21:43

Bonsoir,

Moi j'ai fait les changements dans /var/spool/cron/root.orig.
Si je fait un Iptables -L, les régles bloquant les IP à verrouiller sont affichées.
J'ai fait des test avec un portable et à partir du moment ou l'IP est bloquée, plus rien ne passe (mail, web, MSN, Skype, etc....)
Pour moi but atteint!
@+

par **freddyraf** » 21 Oct 2004 21:49

bonsoir à tous!!!

j'ai un problême similaire mais peit être un peut moins compliquer
Cher moi j'ai une ipcop 1.3 et jusqu'ici jai une adresse activedans mon réseau dérrière lequel est d'ailleur configurer un telnet; tel que m'indique mon outil de Controle fiable.
Je ne sais donc pas comment bloque cette adresse sur mon ipcop.
Je la fouille dépuis toujours sans suite.

Merçi d'avance
Freddyraf

par **erreipnaej** » 21 Oct 2004 21:59

Bonsoir,

Tu tapes en ligne de commande depuis putty les lignes suivantes en remplacant xxx.xxx.xxx.xxx par l'IP concernée.

Code: Tout sélectionner: /sbin/iptables -I FORWARD -s xxx.xxx.xxx.xxx -j DROP /sbin/iptables -I INPUT -s xxx.xxx.xxx.xxx -j DROP /sbin/iptables -I OUTPUT -s xxx.xxx.xxx.xxx -j DROP

Attention, au prochain reboot c'est perdu.

Pour le mettre en permanent, il faut mettre ça dans rc.firewall, je crois, mais attention à la position dans le script.
Je ne connais pas assez iptables pour t'en dire plus.
@+

par **Teo** » 21 Oct 2004 22:26

Merci de ton aide

Effectivement si à partir de PUTTY je tape la règle à la main je bloque et débloque l’IP sans problème.

Donc mon souci vient du fcron ...

Mon fichier de blocage IP 198.168.0.3 =

Code: Tout sélectionner: #!/bin/bash cd / cd bos iptables -I FORWARD -s 198.168.0.3 -j DROP

extrait du Fichier root.orig de configuration modifié par winSCP ou via Putty par la cde fcontrab –e

Code: Tout sélectionner: # Connection IP 00 8 * * * root /bos/deblockip #déblocage IP matin 8h 00 21 * * * root /bos/blockip #blocage IP soir 21h #End connection IP

j’ai même essayé ( vu dans certain post )

Code: Tout sélectionner: # Connection IP 00 8 * * * /bos/deblockip #déblocage IP matin 8h 00 21 * * * /bos/blockip #blocage IP soir 21h #End connection IP

mais ce planificateur ne marche pas !!!!

par contre je n'ai pas touché au rc.firewall :?:

dans la mesure ou je souhaite utiliser cron

par **freddyraf** » 21 Oct 2004 22:38

merci infiniment Errei....

Je vais l'éssayer dès demain et je vous tiendrais informé de mon résultat

Bonsoir à vous

par **erreipnaej** » 21 Oct 2004 22:41

Bonsoir,

Un point que tu a peut être oublié???

les fichier blockip et deblockip doivent être en chmod 700 pour que root puisse les executer.
Avec Winscp, click droit sur le fichier et propriétés!

Je me suis fait piéger sur mon IpCop 1.3 et une deuxiéme fois lors du passage en 1.4.
@+

par **Teo** » 21 Oct 2004 23:26

ok ça marche :wink:

gros merci à erreipnaej

je n'ose pas dire mon erreur :oops:

j'avais créé ma partition pour fichier script dans root et non à la racine, c'est çà de recopier sans refléchir :wink:

Verrouiller accès du GREEN vers RED selon plage horaire ???

Verrouiller accès du GREEN vers RED selon plage horaire ???

Qui est en ligne ?