Bloquer une IP externe

[J-J]

Bonjour,


Je me demandais s'il était possible de bloquer une IP externe (venant du WAN) sans un add-on.

Merci.

[MI6Fred]

Pourquoi ne pas utiliser d'addons ?
Sinon, bloquer une IP externe ne sert pas à grand chose, rien n'empêchera l'attaquant de changer d'IP ... pour quelque chose d'un peu plus ciblé, mieux vaut utiliser un blocage par adresse mac.

D'ailleurs, est-ce qu'il existe un plugin qui permette d'utiliser la base de donnée du serveur DHCP pour authoriser l'accès au net (seuls ceux qui se sont authentifiés via DHCP et qui ont telle adresse mac ont le droit d'accéder au net) ?

[J-J]

Pourquoi ne pas utiliser d'addons ?
Sinon, bloquer une IP externe ne sert pas à grand chose, rien n'empêchera l'attaquant de changer d'IP ...

Tu as raison.

mieux vaut utiliser un blocage par adresse mac.

C'est possible avec un add-on ?

[jdh]

Ah bon ! L'adresse MAC !

En interne on peut se baser sur l'adresse MAC. Mais sur Internet, il est impossible de se baser sur l'adresse MAC car elle change au gré des routeurs. Cf le protocole ARP.

Il faut aussi d'ailleurs se méfier : on peut ET change d'adresse IP ET changer d'adresse MAC. Ca n'est pas simple sous Windows mais c'est très simple sous Linux :

ifconfig eth0 down
ifconfig eth0 hw ether 01:02:03:04:05:06
ifconfig eth0 up

(voir Wikipedia)

Pour info, une bonne page sur le protocole ARP http://www.arp-sk.org/article/arp.html. (même si c'est daté de 2002)

[J-J]

Suite au message de Gandalf :

"Snort est un IDS ( Intrusion Detection Service ) càd qu'il va capter certaines trames caractéristiques d'attaques éventuelles et te remonter les alertes. Toutefois il remonte un peu n'importe quoi dès fois, genre si tu as un FTP et que qqu'un se logue en anonymous tu auras des remontées car ce peut être une tentative d'intrusion ! Il faut bien lire les logs tous les jours et essayer de les comprendre. Tu auras aussi bcp de traces de scan de tous les genres ! Et quand tu mets snort à jour et bien tu télécharges un certains nombres de règles nouvelles du style IF DETECT ------- THEN -------- mais ce ne sont que des logs, si tu veux une action derrière il faut passer par Guardian qui bloque toutes les adresses sniffés. Perso je l'ai en manuel, comme ça dès qu'une IP particulière me chatouille de trop près je la bloque"

http://forums.fr.ixus.net/viewtopic.php ... =intrusion

Je me demandais comment faire pour interdire une ip manuellement, en ligne de commande ou via DansGardian esce possible ?

[Gandalf]

...ou via DansGardian esce possible ?

Ne confonds pas DansGardian et Guardian, j'utilisais Guardian pour bloquer des IPs dans le GUI de IPCOP en V 1.3 !!!! Si cet addon t'interresse je crois que c'était guiguid qui l'avait dévelopé/amélioré, je ne suis plus au courant de ce qui se fait sous la V 1.4.8 !

[antolien]

C'est une nouvelle mode de donner des conseils et de ne pas répondre à la question ?

Pour bloquer une ip, sans addon :

Logué en root via ssh (port 222)

root@ipcop:~ # vi /etc/rc.d/rc.firewall.local

## add your 'start' rules here

/sbin/iptables -t nat -A PREROUTING -i eth1 -s 81.255.x.x -j DROP

:wq

root@ipcop:~ # /etc/rc.d/rc.firewall restart

edit:tu es libre de la bloquer à ta convenance, là c'est en prerouting, eth1 etant l'interface wan

[MI6Fred]

Je pensais qu'il voulait simplement bloquer une IP de son réseau local sans fil, c'est pourquoi je lui avais conseillé un plugin et un filtrage mac. Sinon, la dernière version de BlockOutTraffic fait ça très bien, depuis l'interface et avec pas mal d'options supplémentaires (bloquer certains ports, à certaines heures, ...) :
http://firewalladdons.sourceforge.net/b ... affic.html

Par contre, réagir à des alertes SNORT m'intéresse assez, est-ce qu'il existe des solutions fiables pour le faire automatiquement ?
Et est-ce que vous avez des solutions pour bloquer de manière fiable les clients non authorisés ? J'avais vu des interfaces web avec une authentification DHCP, mais c'est peut-être un peu lourd ...

[J-J]

Je pensais qu'il voulait simplement bloquer une IP de son réseau local sans fil, c'est pourquoi je lui avais conseillé un plugin et un filtrage mac. Sinon, la dernière version de BlockOutTraffic fait ça très bien, depuis l'interface et avec pas mal d'options supplémentaires (bloquer certains ports, à certaines heures, ...) :
http://firewalladdons.sourceforge.net/b ... affic.html

Par contre, réagir à des alertes SNORT m'intéresse assez, est-ce qu'il existe des solutions fiables pour le faire automatiquement ?
Et est-ce que vous avez des solutions pour bloquer de manière fiable les clients non authorisés ? J'avais vu des interfaces web avec une authentification DHCP, mais c'est peut-être un peu lourd ...

Guardian doit le faire. Je vais tester cela.

[c3dx4]

Bonjour,

J'ai appliqué ce qu'a dit Antolien :

Code: Tout sélectionner

## add your 'start' rules here

iptables -t nat -A PREROUTING -i eth1 --source 64.x.y.1 -j DROP
iptables -t nat -A POSTROUTING -d 64.x.y.1 -j DROP

     ;;
  stop)
        ## add your 'stop' rules here
....

Cependant voici ce que j'obtiens malgré le restart du process,
et même de la machine :

Code: Tout sélectionner

ping 64.x.y.160.1

Réponse de 64.x.y.1 : octets=32 temps=110 ms TTL=243
Réponse de 64.x.y.1 : octets=32 temps=111 ms TTL=243



Je ne comprends pas d'où vient le problème ...
Merci de votre aide

[c3dx4]

Bonjour,

Quelqu'un aurait-il une idée à propos des raisons du non-fonctionnement
de ces règles entrées "à la mano" ?

[micjack]

iptables -t nat -A PREROUTING -i eth1 --source 64.x.y.1 -j DROP

Ptet bien que chez toi c'est eth0, pppoe