Je cherche a regler depuis ce matin mon addon BOT.
Je cherche a bloquer tous et autoriser seulement les machines du reseau green a sortir pour les protocols DNS, HTTP, HTTPS, SMTP et POP.
J'ai commence par mettre la regle HTTP et DNS pour test mais des que j'active BOT, l'acces a une page est bloque ... DNS en premier lieu - resolution de noms impossible.
La facon dont j'ai procede est :
Regle ACCEPT
Adresse green source vers Adresse red service 53
J'ai active la journalisation mais je ne vois pas ou on peut avoir des elements pour creuser le sujet
Qu'est ce que je n'ai pas compris ???
Merci de votre aide, je souhaite vraiment continuer avec Ipcop
Franck
Regles pour autoriser DNS, HTTP, ... a sortir
Modérateur: modos Ixus
6 messages
• Page 1 sur 1
Regles pour autoriser DNS, HTTP, ... a sortir
par passeleguef » 20 Avr 2005 19:39
- passeleguef
- Quartier Maître
- Messages: 22
- Inscrit le: 18 Mars 2005 10:19
Re: Regles pour autoriser DNS, HTTP, ... a sortir
par Kentarus » 20 Avr 2005 20:28
passeleguef a écrit:... Qu'est ce que je n'ai pas compris ???
Qu'est-ce que tu as mis comme "Accès à IPCop"? C'est là que tu dois commencer...
Et le port 53, c'est là qu'il doit être ouvert: Source "green network" et destination IPCop
Kentarus
- Kentarus
- Second Maître
- Messages: 37
- Inscrit le: 15 Fév 2005 10:00
par passeleguef » 20 Avr 2005 20:52
J'ai mis seulement ces 2 regles en ACCEPT
Acces Ipcop
Pour autoriser DNS a sortir depuis Vert :
Source = Green network
Destination = IPCop : domain
et pour HTTP
Source = Green network
Destination = IPCop : http
Savez vous, comment tracer les paquets qui sont bloques par BOT, pour que je puisse comprendre mon probleme ???
Merci
Franck
Acces Ipcop
Pour autoriser DNS a sortir depuis Vert :
Source = Green network
Destination = IPCop : domain
et pour HTTP
Source = Green network
Destination = IPCop : http
Savez vous, comment tracer les paquets qui sont bloques par BOT, pour que je puisse comprendre mon probleme ???
Merci
Franck
- passeleguef
- Quartier Maître
- Messages: 22
- Inscrit le: 18 Mars 2005 10:19
par passeleguef » 20 Avr 2005 21:55
Lorsque j'active BOT avec ces 2 regles j'ai
GREEN-ACCEPT eth0 UDP 192.x.x.1 1282 00:0d:yy:yy:yy:yy 192.x.x.254 53(DOMAIN)
Je precise que 192.x.x.0 est mon reseau green et 254 et mon poste passerelle IPCOP
Ceci enregistré dans le journal systeme.
Est ce que ceci signifi que c'est bloqué ??
GREEN-ACCEPT eth0 UDP 192.x.x.1 1282 00:0d:yy:yy:yy:yy 192.x.x.254 53(DOMAIN)
Je precise que 192.x.x.0 est mon reseau green et 254 et mon poste passerelle IPCOP
Ceci enregistré dans le journal systeme.
Est ce que ceci signifi que c'est bloqué ??
- passeleguef
- Quartier Maître
- Messages: 22
- Inscrit le: 18 Mars 2005 10:19
par passeleguef » 21 Avr 2005 07:59
Je poste mes reponses.
Apres avoir planche sur le sujet et bien valider mes tests, j'ai compris que
1- Regle DNS
DNS doit bien etre configure source = Green Network , destination = Ipcop, service = domain (53) car Ipcop fait office de DNS et c'est lui qui retransfert la requete s'il ne sait pas repondre. Test avec nslookup -q=ns wanadoo.fr ( qui renvoi les ip des serveurs de noms du domaine wanadoo.fr)
Ce test est OK. Verif avec regle active et inactive.
2- Regles HTTP, SMTP, POP, HTTPS
Ces regles la sont au contraire du simple forward donc l'ip de destination n'est plus ipcop mais bien any sur autre reseau. Mes tests sous telnet sont OK.
source = Green Network , destination = Autre reseau - parametre ANY, service = http (80) , .....
J'ai capté qu'il faut utiliser les connexions (onglet Etat) pour voir les connexions en cours et tracer sa propre requete pour voir ce qui se passe. La journalisation demandée d'une regle se stocke dans journal du pare feu.
Franck
Apres avoir planche sur le sujet et bien valider mes tests, j'ai compris que
1- Regle DNS
DNS doit bien etre configure source = Green Network , destination = Ipcop, service = domain (53) car Ipcop fait office de DNS et c'est lui qui retransfert la requete s'il ne sait pas repondre. Test avec nslookup -q=ns wanadoo.fr ( qui renvoi les ip des serveurs de noms du domaine wanadoo.fr)
Ce test est OK. Verif avec regle active et inactive.
2- Regles HTTP, SMTP, POP, HTTPS
Ces regles la sont au contraire du simple forward donc l'ip de destination n'est plus ipcop mais bien any sur autre reseau. Mes tests sous telnet sont OK.
source = Green Network , destination = Autre reseau - parametre ANY, service = http (80) , .....
J'ai capté qu'il faut utiliser les connexions (onglet Etat) pour voir les connexions en cours et tracer sa propre requete pour voir ce qui se passe. La journalisation demandée d'une regle se stocke dans journal du pare feu.
Franck
- passeleguef
- Quartier Maître
- Messages: 22
- Inscrit le: 18 Mars 2005 10:19
Solution
par Kentarus » 21 Avr 2005 08:44
Hello,
J'avais donné la "solution" dans un de mes messages au sujet de la nouvelle version de BlockOutTraffic avant hier, je crois, en répondant à quelqu'un au sujet des ports à ouvrir...
Et j'avais fait une suggestion aux administrateur: créer quelques part une zone ou rubrique ou fiches peu importe, de francisation des docs, de trucs et astuces et autres soluces addon par addon pour éviter ce genre de cas...
Kentarus
passeleguef a écrit:Je poste mes reponses.
Apres avoir planche sur le sujet et bien valider mes tests, j'ai compris que
...
J'avais donné la "solution" dans un de mes messages au sujet de la nouvelle version de BlockOutTraffic avant hier, je crois, en répondant à quelqu'un au sujet des ports à ouvrir...
Et j'avais fait une suggestion aux administrateur: créer quelques part une zone ou rubrique ou fiches peu importe, de francisation des docs, de trucs et astuces et autres soluces addon par addon pour éviter ce genre de cas...
Kentarus
- Kentarus
- Second Maître
- Messages: 37
- Inscrit le: 15 Fév 2005 10:00
6 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité