La ligne non efficace contre le Ping !!!!!!

[BRUN]

Tout d'abord, bonjour à Tous


Voir sur http://ipcop.hn.org/ipcop-sid/ping.htm, qui est trés explicite et détaillé.

Version: ipcop-1.4.6

Problème sur les réponses Ping.

J'ai appliqué cette ligne de commande comme ci dessous (gras).
------------------------------------------------------------------------------------------
Bloquer les pings ne respecte pas vraiment les standards, et je vous conseille alors plutôt

d'améliorer votre sécurité tout en gardant la réponse aux pings :

vi /etc/rc.d/rc.firewall

Tapez 146G pour aller à la ligne 146 :
et modifiez la ligne suivante :

/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

pour obtenir ceci :

/sbin/iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 1/s --limit-burst 4 -j ACCEPT

Il ne vous reste plus qu'a appliquer les règles en tapant /etc/rc.firewall restart .
------------------------------------------------------------------------------------------
La ligne en gras n'a aucun effet sur mon IpCop, pourquoi ??????
Quand je Ping l'interface Red, voici la réponse:

C:\>ping 192.168.1.129 -t
Envoi d'une requête 'ping' sur 192.168.1.129 avec 32 octets de données :
Réponse de 192.168.1.129 : octets=32 temps<1ms TTL=64
Réponse de 192.168.1.129 : octets=32 temps<1ms TTL=64
Réponse de 192.168.1.129 : octets=32 temps<1ms TTL=64
Réponse de 192.168.1.129 : octets=32 temps<1ms TTL=64
Réponse de 192.168.1.129 : octets=32 temps<1ms TTL=64
Réponse de 192.168.1.129 : octets=32 temps<1ms TTL=64
.................................
.................................

Merci d'avance pour toutes les réponses

[Muzo]

Salut,

Parce que la règle que tu as écrite fait le contraire de ce que tu veux faire!

Merci de lire ceci avant de répondre :
[TUTORIAL] Guide de Survie Iptable/Netfilter

[yarglaheu]

Quand je Ping l'interface Red, voici la réponse:

C:\>ping 192.168.1.129 -t

192.168.1.129 en Red ??? ça ressemble à l'interface GREEN

[antolien]

Pourquoi ne pas lire le début de la page ?

--------------------------------------------------------------------------------------
1 - Bloquage des pings pour ipcop v1.4

Le ping est un message permettant de contrôler la présence d'un hôte sur un réseau.

Une fois installé et fonctionnel, vous ne souhaitez plus que votre firewall ipcop réponde à ce message.
Ici, l'interface est prise en compte, ipcop répondra aux ping sur l'interface GREEN mais pas sur les autres interfaces..

En ligne de commande, authentifié en tant que root, tapez :

root@ipcop:~ # vi /etc/rc.d/rc.firewall

vous êtes dans le fichier de configuration des règles du firewall ipcop.

Tapez "146G " pour aller à la ligne 106, soit la ligne "/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT"
ajoutez cette ligne :

/sbin/iptables -A INPUT -p icmp --icmp-type 8 -i $GREEN_DEV -j ACCEPT

/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP

Sortez du mode insert et tapez " :wq " pour enregistrer les modifications et quitter vi.

Ce qui est en rouge est le paramètre modifié. Ce qui est en gras est ajouté.

Pour que les règles soient appliquées, il suffit de relancer le script en tapant "/etc/rc.d/rc.firewall restart" en ligne de commande.

Resultat : Après cette modification, lorsque quelqu'un enverra une requette icmp vers votre firewall, il aura : délai d'attente dépassé.

[micjack]

Juste une question, pourquoi il y aurrait une difference d'une version à l'autre d'IPCop concernant cette regle ?

C'est pourtant basé uniquement sur le INPUT qui est une chaine standard et pas personelle... Si encore il y'avait une regle avec des variables sur les interface ou des chaines perso, je comprendrait mieux, mais la non... Mais si la regle ne fonctionne pas, c'est qu'il y'a forcement une raison, mais je vois pas

Puis effectivement, si il a fait son test depuis sont Windows ( c:\ ) c'est normal comme resultat..
C:\>ping 192.168.1.129 -t ... Donc tu as du pinguer ta carte Green (tout depend dans quel sens tu te trouve sur le Firewall, Red ou Green)

Il faut que tu fasse tes test ping depuis internet sur ton IP publique...
Ou que tu branche un PC en Red pour faire le meme test sur ton IP privée Red..

[Franck78]

Salut,
[quote="BRUN"]

/sbin/iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 1/s --limit-burst 4 -j ACCEPT

La ligne en gras n'a aucun effet sur mon IpCop, pourquoi ??????
/quote]

Cette ligne est faite pour accepter ou rejeter le ping selon la quantité de ping recue. Pourquoi affirmer qu'elle ne fonctionne pas sans préciser à quelle fréquence tu balances les pings....

Pour info, la prochaine version d'ipcop inclue la possibilité de désactver le ping. Ca devrait réduire ce sujet récurrent (ca marche pas) à pourquoi le faire ou non (non moins récurrent) !


Bye

[BRUN]

Merci pour vos réponses.

J'ai omis de vous précisé que je travaille sous VMWare et donc de ce faite le Red est en 192.168.1.0/24.

J'ai pris cette régle (voir lien) en pensant qu'IpCop ne répondrais qu'a 4 ping max.

Config sous VMWare
Un Xp sous chaque réseau.
Red: 192.168.1.0/24.
Orange: 173.16.0.0/24.
Green: 193.168.1.0/24.
IpCop 1.4.6.

------------------------------------------------------------------------------------
Pour Muzo:
Parce que la règle que tu as écrite fait le contraire de ce que tu veux faire!
Merci de lire ceci avant de répondre :
[TUTORIAL] Guide de Survie Iptable/Netfilter
---------
J'ai lu les liens avant de poster mais cela ne m'a permis de détecter l'erreur?
-------------------------------------------------------------------------------------


Merci d'avance pour votre aide

[Muzo]

Ben, moi je viens d'apprendre que l'on pouvait limiter le ping en fonction du nombre de pings recu.

[micjack]

Ben toi si tu a apris quelquechose Muzo, moi je sais toujours pas pourquoi cette régle ne peut etre applicable d'une version à l'autre d'IPCop

C'est justement la raison que je veux comprendre de ce sujet "effetivement recurent" de ceux qui confirment "ca marche pas!" et la premiere question qui est posée par les contributeurs c'est "quelle version d'IPCop a tu?" Donc, en quoi la version a une imprtance sur cette régle iptables qui est etablie uniquenet sur le INPUT ?