Résolu : bloquer tout sauf le port 80 ?

par **white-rider** » 13 Mai 2005 16:22

Bonjour à tous,

J'ai un ipcop 1.4.2 avec les dernières mises à jour et je souhaite bloquer tout les ports sauf le 80 pour les pc qui se connectent.
J'ai utilisé les infos de Anatolien et j'arrive à tout bloquer mais le port 80 ne s'ouvre pas. Cela fait comme si le programme n'allait pas sur le fichier rc.firewall.locall.
Quelle est la solution ?

par **loberty** » 13 Mai 2005 18:40

Bonjour,

Il faudrait que tu indiques précisément ce que tu as fait.

Mais saches que par défaut, rc.firewall.local n'accepte pas les appellations du type $GREEN et $RED.
En effet, il faut au préalable charger les fichiers qui définissent ces constantes.

Sinon c'est peut être juste un problème de syntaxe.

Saches que si tu ne veux pas gérer les règles via une saisie manuelle de IPTABLE, tu peux utiliser l'addon, BOT qui te permet de faire la même chose mais en utilisant l'interface d'IPCOP.

A+

par **white-rider** » 14 Mai 2005 13:44

Merci pour ta réponse

Indique moi où se trouve cet addon BOT.

Pour l'instant, je peux tout bloquer : plus rien ne passe.
Je mets la ligne suivante en commentaire dans rc.firewall :

# /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT

ensuite j'ai rajouté la commande pour accepter le port 80 dans rc.firewall.local :

/sbin/iptables -A FORWARD -i eth0 -s 10.0.0.0/24 -m multiport -p tcp --dport 80,21 -m state --state NEW -j ACCEPT

mais il n'y a plus d'accès internet.

a+

par **micjack** » 14 Mai 2005 14:09

Salut,

Je ne connait pas tes regles, mais ca devrait faire l'affaire..

iptables -A FORWARD -i eth0 -o ppp0 -p tcp -m multiport --dport 80,21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

puis pour l'autre sens

iptables -A FORWARD -i ppp0 -o eth0 -p tcp --sport -m multiport 80,21 -m state --state ESTABLISHED,RELATED -j ACCEPT

Je remplacerais à ta place eth0 et ppp0 par les variables definies... J'ai pas testé, j'ai pas IPCop

par **antolien** » 14 Mai 2005 14:18

Normalement en fait les paquets retours sont déjà acceptés par défaut (ESTABLISHED,RELATED)

Je pense plutôt à un bloquage du dns si tu as un dns externe, qui empêche la résolution et donc pas d'accès à internet.

Il faut donc ajouter le port 53 en udp en forward.

Si ça marche toujours pas, une capture tcpdump est utile pour voir ce qui se passe, et regarder aussi les logs pour voir les paquets bloqués.

par **white-rider** » 14 Mai 2005 14:28

merci pour les infos

je teste tout cela lundi et je vous tiens au courant

a+

par **m2nis** » 16 Mai 2005 08:24

white-rider a écrit:Merci pour ta réponse
Je mets la ligne suivante en commentaire dans rc.firewall :

# /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT

ensuite j'ai rajouté la commande pour accepter le port 80 dans rc.firewall.local :

/sbin/iptables -A FORWARD -i eth0 -s 10.0.0.0/24 -m multiport -p tcp --dport 80,21 -m state --state NEW -j ACCEPT

Vu la classe utilisée, ce ne serait pas plutôt "10.0.0.0/8"? Sinon, une fois les modifications faites, faites-vous un "/etc/rc.d/rc.firewall restart"?

par **micjack** » 16 Mai 2005 09:06

Si y'a un truc de certain, c'est qu' effectivement, si tout le reseau green a été bloqué, il manque le dns vers le Green...Donc forcement, comme l'a dit Antolien, pas de Web..

Dans un cas courrant cela donnerait en definitive (si vraiment tout est bloqué )

iptables -A FORWARD -i eth0 -o ppp0 -p tcp -m multiport --dport 80,21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth0 -o ppp0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -p udp --sport 53 -j ACCEPT

A, adapter en fonction d'IPCop (d'ordinaire, ces regles fonctionnent parfaitement)

m2nis a écrit:Vu la classe utilisée, ce ne serait pas plutôt "10.0.0.0/8"?

Par contre, pourquoi specifier une classe d'adresse ? dans la mesure ou l'on considere que tout le reseau eth0 est autorisé vers Red .. Suivant le cas, elle serrait pas mieux dans une regle nat ?

par **m2nis** » 16 Mai 2005 10:30

micjack a écrit:Si y'a un truc de certain, c'est qu' effectivement, si tout le reseau green a été bloqué, il manque le dns vers le Green...Donc forcement, comme l'a dit Antolien, pas de Web..

Pas en dhcp avec le firewall défini comme serveur dns. Mais est-ce la cas?

micjack a écrit:Par contre, pourquoi specifier une classe d'adresse ? dans la mesure ou l'on considere que tout le reseau eth0 est autorisé vers Red ..

C'est peut-être un premier pas vers une autorisation partielle uniquement?

par **micjack** » 16 Mai 2005 10:46

Vu qu'il a decommenté cette ligne, forcement, y'a pas grand chose qui passe ( rien du tout )

white-rider a écrit:# /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT

Mais bon, j'utilise pas IPCop, donc ne sais pas si y'a d'autres regles qui font passer autre chose, c'est juste une idée :wink:

par **m2nis** » 16 Mai 2005 10:59

micjack a écrit:Vu qu'il a decommenté cette ligne, forcement, y'a pas grand chose qui passe ( rien du tout )
white-rider a écrit:# /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT

Vi vi. Itoo!

Ca permet de changer la règle de "tout ce qui sort est autorisé" à "rien ne sort sauf ce qui est autorisé". C'est la première chose que j'ai appris à faire. ;-)

micjack a écrit:Mais bon, j'utilise pas IPCop, donc ne sais pas si y'a d'autres regles qui font passer autre chose, c'est juste une idée

Les règles que l'on souhaite définir pour autoriser le trafic s'ajoutent normalement dans le fichier "/etc/rc.d/rc.firewall.local". Pour les dns, si on est en dhcp et que le firewall est défini comme "dns primaire", les pc sur green interrogent le firewall (ce qui est autorisé) au lieu d'aller directement sur internet. Donc pas besoin d'ouvrir le port 53.

par **white-rider** » 16 Mai 2005 20:24

Je reprends la parole pour, déjà vous remercier de votre aide sympa pour mon petit souci.
Je suis effectivement avec un DNS externe et je vais tester demain vos solutions qui me semblent très intéressantes.

Par contre, j'ai une autre question :

dans la ligne écrite par Micjack :
iptables -A FORWARD -i eth0 -o ppp0 -p tcp -m multiport --dport 80,21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

a quoi correspond "ppp0" ?

a+

par **micjack** » 16 Mai 2005 21:03

C'est ton interface Red...

m2nis a écrit:Vi vi. Itoo! Smile Ca permet de changer la règle de "tout ce qui sort est autorisé" à "rien ne sort sauf ce qui est autorisé"

C'est bien ce que j'ai decrit... Par contre, j'ai ecrit une erreur non reprise! en disant que White-Rider a "decommentée" une ligne, alors que c'est "commentée" pour que du green vers red plus rien ne passe... (d'ou le but)

Reste alors à faire passer le dns venant du red ...

par **white-rider** » 17 Mai 2005 13:32

tout va bien. J'ai mis en place les règles que vous m'avez indiqué et cela fonctionne très bien.
J'ai même pu ouvrir MSN messenger .
J'ai utilisé eth1 au lieu de ppp0.
Donc merci à Anatolien pour sa doc et autres qui ont bien voulu m'aider.
A+

Résolu : bloquer tout sauf le port 80 ?

Résolu : bloquer tout sauf le port 80 ?

Qui est en ligne ?