filtre bloquer le port 80

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

filtre bloquer le port 80

Messagepar infoges » 01 Fév 2005 20:38

salut,

j'ai un proxy qui tourne (squid :3128) et j'aimerais que les client passe uniquement sur ce port pour allé sur le net. Car meme en direct il y vont toujours!!
J'aimerais bloquer le port 80 de mon ipcop car par defaut il est ouvert!!
Je pense cependant a une regles iptables...

Merci d'avance
la science est une obligation pour chacun!!
infoges
Major
Major
 
Messages: 74
Inscrit le: 02 Sep 2004 19:28

Messagepar dpfpic » 01 Fév 2005 21:17

Bonsoir

Pour bloquer le port 80, il suffit de rajouter la ligne suivante :

/sbin/iptables -A CUSTOMFORWARD -i eth0 -o ppp0 -p tcp -m mport --dports 80 -j DROP

sous la ligne : ## add your 'start' rules here

dans le fichier rc.firewall.local qui se trouve dans /etc/rc.d/

Dans la ligne eth0 correspond a la carte green.

et pour activer les modifs, il faut faire : /etc/rc.d/rc.firewall restart

Voila !

DPFPIC
Processeur : 2 x AMD Opteron(tm) Processor 252 (2,6 GHz)
Mémoire : 4 Go
Disque Dur : 2 x 1To en RAID 1
Os :SmeServeur 7.4 (Centos 4.7)
Serveur Web/MySQL/PHP/Ftp/Mail
Avatar de l’utilisateur
dpfpic
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 160
Inscrit le: 24 Mai 2003 00:00

Messagepar infoges » 01 Fév 2005 23:18

salut,

Je te remercie infiniment j'ai bloquer le port 80 et mes machines peuvent allé sur le net que par le port de mon proxy, mes machines n'ont effectivement plus la possibilité d'y aller en direct c'est a dir par le port 80. Cependant le temps de connexion au site est long (j'exagere mais par le port 80 "en direct" etait beaucoup plus rapide). Il n'ya a pas quelquechose a modifier pour acceleré le temps d'acces aux pages?

De plus lorsque je suis par le port 80 (au niveau de mes clients) je pingue les sites (l'exterieur)
j'aurais voulu en fait bloquer les paquets icmp.

Pour finir j'aurais voulut savoir aussi pour les regles qu'on edite, si elles doivent etre forcement dans le fichier rc.firewall.local
la science est une obligation pour chacun!!
infoges
Major
Major
 
Messages: 74
Inscrit le: 02 Sep 2004 19:28

Messagepar MI6Fred » 02 Fév 2005 17:37

Autre solution : tu actives le proxy transparent ;)
Non seulement tout le traffic HTTP passera par ton proxy, mais en plus les clients mal configurés (sans proxy) auront tout de même accès au web puisque toutes les requêtes vers le port 80 seront redirigés vers le port de ton proxy. Je sais qu'à l'université on n'a qu'un proxy (et pas de lien proxy transparent), et c'est super lourd parce que tous les logiciels sur tous les clients doivent être configurés pour utiliser le proxy, alors qu'avec un proxy transparent tout est ... transparent ! Le filtrage reste actif, les quotas et autorisations aussi, mais rien à configurer autre part que sur le serveur, vraiment le pied ;)
MI6Fred
Premier-Maître
Premier-Maître
 
Messages: 70
Inscrit le: 11 Oct 2004 19:07

Messagepar Yoda » 02 Fév 2005 19:17

slt

je t'avais envoyé un ptit lien dans ton post rubrique "securité"

http://ipcop.hn.org/

bye
J'ai les noms de ceux qui font les cons.... (M.Coluche)
Avatar de l’utilisateur
Yoda
Vice-Amiral
Vice-Amiral
 
Messages: 511
Inscrit le: 22 Avr 2003 00:00
Localisation: Luxembourg

Messagepar infoges » 02 Fév 2005 20:49

salut,

Je te remercie pour ton lien il est super !!
Mais j'ai encore une question: quel est la difference entre le fichier /etc/rc.d/rc.firewall.local et le fichier /etc/rc.d/rc.firewall ??

et si j'edite un fichier par ex: vi "monfirewall" et que j'edite des regles en prenant exemple sur une documentation? Est ce que cela aura le meme effet ?

Merci encore

@+
la science est une obligation pour chacun!!
infoges
Major
Major
 
Messages: 74
Inscrit le: 02 Sep 2004 19:28


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron