IPCHAINS & IPCOP!!!!!

[nemesis]

bon alors je reste zen je me detends et je parle calmement humpffff pffffff... <BR> <BR>alors voilà j'ai un peu gratter partout sur le net ds des bouquins pour voir comment ke ça marche ipchaineuuuuuuuuusssssss... <BR> <BR>bon alors je vois des ipchaines-restaure des ipchaines-saves .... et qud j'essaye sur mon petit ipcop pour voir comme ça bha scronch commande non reconnue... grrrr ça commence bien... <BR> <BR>bon alors voilà dans un but informatif productif et en vue d'un how to simplifié mais dédié a ipcop je voudrai savoir : <BR> <BR>1- comment je fais our créer une regle ipchaines pou mon firewall... <BR>(dans quelle chaine etc...) <BR>2-comment je fais pour les rendre recupérables au prochain boot de ma bécanne <BR>3-a quoi servent exactement les differentes fenetre de l'amin web parlant de forward de port (et je souhait autre chose que bha a forwarder les port un exemple concret commenté et detaillé serait cool pour tous les nob qui se font peter un plomb sur ipchaines ss ipcop...). <BR>4-quelles regles sont selon vous utiles pour un firewall (red orange green...) <BR> <BR>voilà et pi si vous avez d'autres idées de trucs utiles à savoir sur ipcop et le firewalling bha je suis tte ouïes!!!! <BR> <BR>@pluche <BR> <BR>nemesis tres sgrgneugneu ce soir!!!! <IMG SRC="images/smiles/icon_mad.gif"> <IMG SRC="images/smiles/icon_mad.gif">

[leonezzar]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-02-24 21:33, nemesis a écrit: <BR>2-comment je fais pour les rendre recupérables au prochain boot de ma bécanne <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>tu ajoutes la règle dans le fichier /etc/rc.d/rc.firewall.up <BR> <BR>faut dire merci a antolien c'est lui qui me l'a apris <IMG SRC="images/smiles/icon_wink.gif">

[nemesis]

t'as pas un exemple de ce fichier avec des règles??? <BR>et si ça peut etre commenté... c encore mieux!!! <BR> <BR>merci en tout cas ça donne une piste <BR>et merce antholien

[leonezzar]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-02-24 21:47, nemesis a écrit: <BR>t'as pas un exemple de ce fichier avec des règles??? <BR>et si ça peut etre commenté... c encore mieux!!! <BR> <BR>merci en tout cas ça donne une piste <BR>et merce antholien <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR># ouverture des ports pour vpn Windows XP derriere ipcop <BR>ipchains -A forward -p tcp -s 192.168.236.81 -d 0/0 1723 -j MASQ <BR>ipchains -A forward -p 47 -s 192.168.236.81 -d 0/0 -j MASQ <BR>ipmasqadm portfw -a -P tcp -L $@_ip_internet 1723 -R 192.168.236.81 1723 <BR>ipfwd --masq 192.168.236.81 47 & <BR> <BR>192.168.236.81 = @ ip du pc windows XP qui accepte les connections entrantes <BR>0/0 = accepte toutes les adresses exterieures <BR> <BR> <BR>sinon j'ai trouve cse liens c'est en francais en plus <BR> <BR><!-- BBCode auto-link start --><a href="http://www.ac-creteil.fr/reseaux/systemes/linux/outils-tcp-ip/Linux-ipchains.html" target="_blank">http://www.ac-creteil.fr/reseaux/systemes/linux/outils-tcp-ip/Linux-ipchains.html</a><!-- BBCode auto-link end --> <BR> <BR><!-- BBCode auto-link start --><a href="http://www.freenix.fr/unix/linux/HOWTO/IPCHAINS-HOWTO.html" target="_blank">http://www.freenix.fr/unix/linux/HOWTO/IPCHAINS-HOWTO.html</a><!-- BBCode auto-link end --> <BR> <BR>faut encore remercie antolien pour les 4 lignes <BR>decidement !!! <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>_________________ <BR>En avant, toujours en avant, l'histoire ne ce repete jamais.<BR><BR><font size=-2></font>

[nemesis]

nurf comprends po... j'ai mis la regle suivante et ça marche po... <BR> <BR> <BR>ipchains -A input -s 127.0.0.1 -p icmp -j DENY <BR> <BR> <BR>murfff <BR> <BR> <BR>_________________ <BR>making war may be preparing peace but making peace is surly preparing war<BR><BR><font size=-2></font>

[nemesis]

arf j'ai peut etre une idée... <BR> <BR>le -A fait un append (insertion en fin de liste) peut etre faut-il faire plutot -I pour que les regles définies par l'utilisateur soient lues en premier... <BR> <BR>car en effet mon but etait de tester le blocage des ping ...mais sur la chaine input si je me souvien bien de la config de base d'ipcop, tout ce ki vient du green est accepté dc comme je ping du green et ke la regle est en fin de chaine elle n'est po lue... <BR> <BR> <BR>c ça ou pas???

[Groslolo]

Si c'est pour un blocage des pings, fallait le dire tout de suite ! <BR> <BR>iptables -A INPUT -p icmp --icmp-type ping -j DROP <BR> <BR>C'est ce que j'utilise et ça marche bien...

[nemesis]

et tu l'as mis à la fin de ta chaîne input?? <BR> <BR>parce que moi j'ai rejeté tout le tréafic icmp et ça repond qud meme au ping... <BR> <BR>autre question quand je fais un ipchaines -L j'ai tt plein de chaînes qui s'affiche ( input output forward ça ça me semble logique... mais y en a d'autre dt j'ai oublié le nom...) et elles ne sont po vides.... dc je sais po si faut que j'ajoute mes regles en haut de chaîne ou en bas de chaîne vu ke celle ci sont parcourues de haut en bas....

[grosbedos]

chai pa il est compliqué ce firewall.... <BR>deja toutes les regles definies dans le gui ne sont pas dans rc.firewall.up.. <BR>elle sont qd mem invoqué la, mais les donné sont stocké dans d'autre fichier.. <BR> <BR>il y a pa mal de chaine..en plus d input output forward... <BR>la chaine block g po tro callé ce ke c'été...g l'impression que c la dedan qu'il faut rajouter les chaines et pa trop sur input output... <BR>y a la chaine squid, xtaccess (pour charger les regles de "acces aux services externes" cad ouvrir un port de l'exterieur), ipsec pour les vpn si je m'abuse... <BR> <BR>si tu veu un peu caller commen ca march au niveau des chaines et des cibles va voir ca <BR><!-- BBCode auto-link start --><a href="http://www.netfilter.org/unreliable-guides/fr/packet-filtering-HOWTO-7.html" target="_blank">http://www.netfilter.org/unreliable-guides/fr/packet-filtering-HOWTO-7.html</a><!-- BBCode auto-link end --> et li le passage sur les "chaines créées par l'utilisateur". c appliqué a iptables mais c pareil pour ipchains... <BR> <BR>autremen je pense que c une bonne idée di voir un peu plus clair sur cte firewall, moi je patoge grave!!!!!!(sur certaine distrib y se limite au trois chaine par defaullt c plu facile a callé, mai peut-etr tro basik aussi!) <BR> <BR>voila ji par troi jour la mai j'espere ke le chmilblik va avancé!!o tou k je reviendrai voir ce post! <BR>cio <BR>

[nemesis]

nurf........ <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-02-25 09:08, Groslolo a écrit: <BR>Si c'est pour un blocage des pings, fallait le dire tout de suite ! <BR> <BR>iptables -A INPUT -p icmp --icmp-type ping -j DROP <BR> <BR>C'est ce que j'utilise et ça marche bien... <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>juste comme ça en passant ipcop 1.2 = noyeau 2.2 donc iptables... comment dire absent est le mot le plus gentil... <BR> <BR>non par contre en mettant le -I ça marche du tonere de dieux dc je pense les rajouter ttes avec -I ds le rd.c ou rc.d je sais plus enfin un truc de ce genre quoi.. <BR> <BR>dès que j'ai finis je ferai un chti post pour montrer ce que j'ai fait voilàààà <BR> <BR>(moi j'aime bien comprendre comment ça marche les trucs pas vous....)

[West]

Salut, <BR> <BR>j'aimerai profiter de ce poste pour qu'on me fixe certaines choses concernant INPUT et OUPUT sur les interfaces !! <BR> <BR>Bon alors une interface physique sur IPCOP a une entreé et une sortie, mais de quel coté de l'interface D deux coté ? si oui donc ça fait en tout 2 INPUT et 2 OUPUT : 1 input/output à gauche de l'interface et 1 input/output à droite ! <BR>C bien ça ? bien sur quand on mais D regle ds par ex la chaine OUTPUT elles seront vérifier à gauche et à droite de l'interface ? <BR> <BR>Ds le graph D courbes de traffic d'IPCOP G une entrée sortie par interface ! C normale ? pourquoi ? <BR>Par ex ds ce graph, sur mon LAN(vert) G en unplod -> outgoing, pour moi ça devrait etre en incoming vu que mon pc clinet envoie les données d'uplod vers l'interface LAN de IPCOP, donc qui dit "vers" di incoming, non ? <BR> <BR>Le fait de fowarder est ce qu'il zappe le output/Input de droite de l'interface LAN ? <BR> <BR>Tout ça m'embrouille depuis que G utilisé Winroute qui considere LE firewall comme un cercle et tout ce qui vas vers lui est Input et l'inverse ouput, le pb c que Ipcop on a plusieurs interface et G du mal à savoir ce qui est réllement consideré comme input, ouput, ds quel sens, oû, etc... <BR> <BR>Si quelqu'un peut m'éclairer la dessus merci, car je suis maxi embrouiller <BR> <BR> <BR> <BR>_________________ <BR>MALAAAAAAADD' !!!!<BR><BR><font size=-2></font>

[nemesis]

murfff bon je vais dire ce que je pense etre bon mais attention j'ai pas le pretention de tt savoir même si ça se trouve je me trompe.... <BR> <BR> <BR>alors voila tu as en gros 2 ou 3 zone selon ta config : red green et orange ... <BR> <BR>alors chaque zone a une entrée et une sortie... <BR> <BR>donc tte donnée transitant du orange ou du red -> green via le firewall est considérée comme de l'input et tout ce qui sort est considéré comme de l'output... <BR> <BR>consideerons kk chose de la forme : <BR> A <BR> | <BR> FIREWALL <BR> | | <BR> B C <BR> <BR>pour A : tt ce qui vient de et/ou de C est de l'input <BR> tt ce qui va vers B ou C est de l'output <BR> <BR>idem pour B par rapport à C et A ou pour C par rapport à B et A <BR> <BR>donc en fait la chaîne input définit les règles relatives à tes differentes zones lorsque un paquet demande à entrer dans une de ces zones et de même pour l'output... <BR> <BR>voilààà j'espère avoir été assez clair.<IMG SRC="images/smiles/icon_confused.gif"> <BR>@+ <BR>nico <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR> <BR> <BR>_________________ <BR>making war may be preparing peace but making peace is surly preparing war<BR><BR><font size=-2></font>

[West]

Ok, ça va mieux ! <BR> <BR>Mais G 1 autre question si on considere le A comme interface LAN, les postes qui sont reliés à cette interface LAN de IPCOP suivent ils les meme regles que B et C ? <BR> <BR>En gros tout ce qui va de ma carte ethernet du pc client, vers ma carte ethernet de IPCOP est considéré comme Input vu de cette carte IPCOP ? vu qu'on est LAN vers LAN ! <BR> <BR> <BR>Une derniere chose, les regles, ds rc.firwall.up, sont traités de haut en bas, la dessus on est daccord ! <BR> <BR>Mais si une regle contre dit l'autre qu'est qui ce passe ? <BR> <BR>ipchains -A input -p all -s 0/0 -j deny <BR> <BR>ipchains -A input -p tcp -s 0/0 -j accept <BR> <BR>qu'est ce qui ce passe ici ? il refuse tous les tcp et passe au paquet suivant ? ou il continu avec le paquet jusqu'a la fin ? <BR>

[nemesis]

attention!!!! on réfléchit en termes de zones (de réseau quoi!) pas de cartes.. <BR> <BR>a ma connaissance les cartes du firewall acceptent tous les paquets mais ensuite le firewall fait son boulot et choisit soit de laisser passer soit de forwarder soit de rejeter les paquet selon sont jeux de regles... <BR> <BR>pour ce qui est des règles si deux regles se contredisent il aplique de tte façon la premiere regle qui correspond au paquet traité dc la deuxieme n'est pas lue... <BR>d'ou l'importance de faire gaffe à ce ke l'on fait et de l'ordre ds lequel on le fait (enfin je crois lol) <BR>a+

[West]

G une autre question de noob !! <BR> <BR>pourquoi faut rejouter d module particulier pour ipchain genre irc_chépokoi, quake_chépokoi ? ne peut on pas fwarder directement leurs ports ? C koi l'avantage d'avoir C modules ? <BR> <BR> <BR>