salut,
j'ai un proxy qui tourne (squid :3128) et j'aimerais que les client passe uniquement sur ce port pour allé sur le net. Car meme en direct il y vont toujours!!
J'aimerais bloquer le port 80 de mon ipcop car par defaut il est ouvert!!
Je pense cependant a une regles iptables...
Merci d'avance
filtre bloquer le port 80
Modérateur: modos Ixus
6 messages
• Page 1 sur 1
filtre bloquer le port 80
par infoges » 01 Fév 2005 20:38
la science est une obligation pour chacun!!
- infoges
- Major
- Messages: 74
- Inscrit le: 02 Sep 2004 19:28
par dpfpic » 01 Fév 2005 21:17
Bonsoir
Pour bloquer le port 80, il suffit de rajouter la ligne suivante :
/sbin/iptables -A CUSTOMFORWARD -i eth0 -o ppp0 -p tcp -m mport --dports 80 -j DROP
sous la ligne : ## add your 'start' rules here
dans le fichier rc.firewall.local qui se trouve dans /etc/rc.d/
Dans la ligne eth0 correspond a la carte green.
et pour activer les modifs, il faut faire : /etc/rc.d/rc.firewall restart
Voila !
DPFPIC
Pour bloquer le port 80, il suffit de rajouter la ligne suivante :
/sbin/iptables -A CUSTOMFORWARD -i eth0 -o ppp0 -p tcp -m mport --dports 80 -j DROP
sous la ligne : ## add your 'start' rules here
dans le fichier rc.firewall.local qui se trouve dans /etc/rc.d/
Dans la ligne eth0 correspond a la carte green.
et pour activer les modifs, il faut faire : /etc/rc.d/rc.firewall restart
Voila !
DPFPIC
Processeur : 2 x AMD Opteron(tm) Processor 252 (2,6 GHz)
Mémoire : 4 Go
Disque Dur : 2 x 1To en RAID 1
Os :SmeServeur 7.4 (Centos 4.7)
Serveur Web/MySQL/PHP/Ftp/Mail
Mémoire : 4 Go
Disque Dur : 2 x 1To en RAID 1
Os :SmeServeur 7.4 (Centos 4.7)
Serveur Web/MySQL/PHP/Ftp/Mail
-
dpfpic - Enseigne de vaisseau
- Messages: 160
- Inscrit le: 24 Mai 2003 00:00
par infoges » 01 Fév 2005 23:18
salut,
Je te remercie infiniment j'ai bloquer le port 80 et mes machines peuvent allé sur le net que par le port de mon proxy, mes machines n'ont effectivement plus la possibilité d'y aller en direct c'est a dir par le port 80. Cependant le temps de connexion au site est long (j'exagere mais par le port 80 "en direct" etait beaucoup plus rapide). Il n'ya a pas quelquechose a modifier pour acceleré le temps d'acces aux pages?
De plus lorsque je suis par le port 80 (au niveau de mes clients) je pingue les sites (l'exterieur)
j'aurais voulu en fait bloquer les paquets icmp.
Pour finir j'aurais voulut savoir aussi pour les regles qu'on edite, si elles doivent etre forcement dans le fichier rc.firewall.local
Je te remercie infiniment j'ai bloquer le port 80 et mes machines peuvent allé sur le net que par le port de mon proxy, mes machines n'ont effectivement plus la possibilité d'y aller en direct c'est a dir par le port 80. Cependant le temps de connexion au site est long (j'exagere mais par le port 80 "en direct" etait beaucoup plus rapide). Il n'ya a pas quelquechose a modifier pour acceleré le temps d'acces aux pages?
De plus lorsque je suis par le port 80 (au niveau de mes clients) je pingue les sites (l'exterieur)
j'aurais voulu en fait bloquer les paquets icmp.
Pour finir j'aurais voulut savoir aussi pour les regles qu'on edite, si elles doivent etre forcement dans le fichier rc.firewall.local
la science est une obligation pour chacun!!
- infoges
- Major
- Messages: 74
- Inscrit le: 02 Sep 2004 19:28
par MI6Fred » 02 Fév 2005 17:37
Autre solution : tu actives le proxy transparent 
Non seulement tout le traffic HTTP passera par ton proxy, mais en plus les clients mal configurés (sans proxy) auront tout de même accès au web puisque toutes les requêtes vers le port 80 seront redirigés vers le port de ton proxy. Je sais qu'à l'université on n'a qu'un proxy (et pas de lien proxy transparent), et c'est super lourd parce que tous les logiciels sur tous les clients doivent être configurés pour utiliser le proxy, alors qu'avec un proxy transparent tout est ... transparent ! Le filtrage reste actif, les quotas et autorisations aussi, mais rien à configurer autre part que sur le serveur, vraiment le pied
Non seulement tout le traffic HTTP passera par ton proxy, mais en plus les clients mal configurés (sans proxy) auront tout de même accès au web puisque toutes les requêtes vers le port 80 seront redirigés vers le port de ton proxy. Je sais qu'à l'université on n'a qu'un proxy (et pas de lien proxy transparent), et c'est super lourd parce que tous les logiciels sur tous les clients doivent être configurés pour utiliser le proxy, alors qu'avec un proxy transparent tout est ... transparent ! Le filtrage reste actif, les quotas et autorisations aussi, mais rien à configurer autre part que sur le serveur, vraiment le pied
- MI6Fred
- Premier-Maître
- Messages: 70
- Inscrit le: 11 Oct 2004 19:07
par infoges » 02 Fév 2005 20:49
salut,
Je te remercie pour ton lien il est super !!
Mais j'ai encore une question: quel est la difference entre le fichier /etc/rc.d/rc.firewall.local et le fichier /etc/rc.d/rc.firewall ??
et si j'edite un fichier par ex: vi "monfirewall" et que j'edite des regles en prenant exemple sur une documentation? Est ce que cela aura le meme effet ?
Merci encore
@+
Je te remercie pour ton lien il est super !!
Mais j'ai encore une question: quel est la difference entre le fichier /etc/rc.d/rc.firewall.local et le fichier /etc/rc.d/rc.firewall ??
et si j'edite un fichier par ex: vi "monfirewall" et que j'edite des regles en prenant exemple sur une documentation? Est ce que cela aura le meme effet ?
Merci encore
@+
la science est une obligation pour chacun!!
- infoges
- Major
- Messages: 74
- Inscrit le: 02 Sep 2004 19:28
6 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité