Comment bloquer une @ ip

par **fabdunet13** » 02 Mai 2006 13:07

comment faire pour bloquer une @ip sous IPCOP .
je veux que 192.168.1.3 ne puisse pas comuniquer avec mon server IPCOP 192.168.1.254
je veux que 192.168.1.3 soit banis du server ipcop .
Aucun paquet doit ètre émis et resut par 192.168.1.3 sur le server ipcop 192.168.1.2.

Comment de doit faire ? et qu'esse que je doit faire ??

MERCI

par **jdh** » 02 Mai 2006 13:15

Je ne vois pas bien le rôle de l'IPCOP (192.168.1.2) entre un PC (192.168.1.3) et un serveur (192.168.1.254) : les paquets du PC vont directement au serveur SANS passer par l'IPCOP.

Donc ?

Ou alors je n'ai rien compris : il n'y que 2 adresses en jeu : un PC (192.168.1.3) et un IPCOp (192.168.1.254). Et alors une ligne comme "iptables -A INPUT -s 192.168.1.3 -j DROP" doit faire l'affaire.

par **testeur290306** » 02 Mai 2006 13:16

bonjour,
le serveur ipcop c'est le 192.168.1.254 et pas le 192.168.1.2

par défaut ipcop laisse sortir mais pas rentrer.
je pense que 192.168.1.3 est un machine du réseau local?
tu désactiver la commande ping sur l'ipcop pour le green
sinon l'interface est protégé par mot de passe, donc sécurisé si il ya un mot de passe correct.sinon il ya des addons pour bloquer les ports je crois
regarde sur le forum

si ta config est comme jdh la compris pas besoin d'ipcop.
je suis d'accord avec lui

par **fabdunet13** » 02 Mai 2006 13:36

comment faire pour bloquer une @ip sous IPCOP .
je veux que 192.168.1.3 ne puisse pas comuniquer avec mon server IPCOP 192.168.1.254
je veux que 192.168.1.3 soit banis du server ipcop .
Aucun paquet doit ètre émis et resut par 192.168.1.3 sur le server ipcop 192.168.1.254

Comment de doit faire ? et qu'esse que je doit faire ??
je veux autoriser tout le monde à comuniquer avec mon server ipcop sauf UN .

je veux pas que 192.168.1.254 (Server ipcop) distribu le DHCP sur 192.168.1.3
je veux que mon server IPCOP ne émet et reçoit aucun paquet (INPUT OUTPUT) de l'@ip 192.168.1.3

COMMENT FAIRE !!

par **fabdunet13** » 02 Mai 2006 13:40

si je tape cella :
iptables -A INPUT -s 192.168.1.3 -j DROP

192.168.1.3 reçoit toujours le DHCP et pingue le server ipcop !!

par **jdh** » 02 Mai 2006 14:45

Bien sur les 2 lignes

iptables -A INPUT -s 192.168.1.3 -j DROP
iptables -A OUTPUT -d 192.168.1.3 -j DROP

permettent d'éviter tout traffic ... sauf l'étape initiale du DHCP (pas encore d'adresse ip !).

Enfin c'est l'idée ...

par **fabdunet13** » 02 Mai 2006 16:12

ha merci sa marche nikel !!
si si je veux filtrer aussi le trafic internet je fait comment !!!!

par **fabdunet13** » 02 Mai 2006 18:19

jdh a écrit:Bien sur les 2 lignes

iptables -A INPUT -s 192.168.1.3 -j DROP
iptables -A OUTPUT -d 192.168.1.3 -j DROP

permettent d'éviter tout traffic ... sauf l'étape initiale du DHCP (pas encore d'adresse ip !).

Enfin c'est l'idée ...

Slt si je tape ces lignes :

iptables -A INPUT -s 192.168.1.3 -j DROP
iptables -A OUTPUT -d 192.168.1.3 -j DROP

je bloque l'axée au server IPCOP, ya plu de ping plu rien , impécable . Mais j'ais toujours internet sur 192.168.1.3 .

Comment faire pour le bloquer ... ???

par **jdh** » 02 Mai 2006 19:22

FORWARD ? non ?

par **fabdunet13** » 02 Mai 2006 20:54

si je tape ces lignes de commandes , je filtre le réseaux mais j'ais toujours le net !!!

iptables -A INPUT -s 192.168.1.212 -j DROP
iptables -A OUTPUT -d 192.168.1.212 -j DROP
iptables -A FORWARD -i 192.168.1.212 -j DROP (YA UNE ERREUR ICI MAIS OU ???? )

par **fabdunet13** » 02 Mai 2006 21:15

Je veux filtrer tout le monde par default et autoriser uniquement les PC de mon réseau a communiqué avec IPCOP.

mes ip à autoriser sont 192.168.1.3 192.168.1.212 ect...

Comment faire car j'ais taper ce si et da ne fonctionne pas.

iptables -A INPUT -s 0.0.0.0 -j DROP
iptables -A OUTPUT -d 0.0.0.0 -j DROP
iptables -A FORWARD -i 0.0.0.0 -j DROP

iptables -A INPUT -s 192.168.1.3 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.3 -j ACCEPT
iptables -A FORWARD -i 192.168.1.3 -j ACCEPT

iptables -A INPUT -s 192.168.1.212 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.212 -j ACCEPT
iptables -A FORWARD -i 192.168.1.212 -j ACCEPT

et j'ais tapper ce ci et sa fonctionne non plu : (ca me bloque tout)

iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP

iptables -A INPUT -s 192.168.1.3 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.3 -j ACCEPT
iptables -A FORWARD -i 192.168.1.3 -j ACCEPT

iptables -A INPUT -s 192.168.1.212 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.212 -j ACCEPT
iptables -A FORWARD -i 192.168.1.212 -j ACCEPT

par **old7** » 02 Mai 2006 21:53

fabdunet13 a écrit:Je veux filtrer tout le monde par default et autoriser uniquement les PC de mon réseau a communiqué avec IPCOP.

Fabdunet13 que veux-tu faire exactement : empêcher tes utilisateur d'ouvrir la fenêtre de contrôle de IPCop ou les empêcher d'accéder à internet ?

... a lire le début de ton post, il me semble que c'est la deuxième solution que tu cherche ?

De mémoire, il me semble que BOT (Block Out Traffic) est ta solution.
Par défaut il ferme tout accès de GREEN vers RED (l'inverse de ce que fait IPCop). Il faut, si j'ai bonne mémoire, authoriser ce qui peut sortir. A vérifier !

[edit]
Pour BOT, j'ai fais une rapide recherche (très succinte ;) et je n'ai pas vu qu'il est possible de bloquer les accès pour une station ou un utilisateur .... A confirmer.

En y réfléchissant, c'est plus au niveau de proxy que tu peux interdire certains accès RED.
Donc, toujours de mémoire, regarde aussi Squid-Guard, Dansguardian et AdvancedProxy il y en a au moins un qui permet de limiter l'accés vers l'extérieur. .. et de plus ce serait configurable, pour toi, via les écrans IPCop ... un peu plus agréable que l'interface IPTABLES ;). En son temps, j'avais fais une recherche de ce type pour IPCop.
... enfin, de plus compétents que moi te diront ce qui te convient le mieux.
[/edit]

[edit 2]
c'est Squidguard.
http://franck78.ath.cx/squidGuard-doc/f ... rd-fr.html
voir : 04.1. Règles applicables au réseau / plage IP interdite

Bon, cette fois j'arrête et je te laisse le temps de répondre.
[/edit 2]

A+

par **fabdunet13** » 02 Mai 2006 22:34

Je v te dire ce que je veux exactement

Par default quand kk1 ce connecte sur mon réseaux en WIFI par exemple, ipcop donne une @ip au client (DHCP) et ils à internet.

Moi je veux que quand kk1 ce connecte sur mon réseau en WIFI, qu'ils est rien tu tout !!! la personne doit me contacter pour avoir le net

pour l'instant j'ais trouver une solution :

iptables -A INPUT -s 192.168.1.0 -j DROP
iptables -A OUTPUT -d 192.168.1.0 -j DROP

iptables -A INPUT -s 192.168.1.1 -j DROP
iptables -A OUTPUT -d 192.168.1.1 -j DROP

iptables -A INPUT -s 192.168.1.2-j DROP
iptables -A OUTPUT -d 192.168.1.2 -j DROP

iptables -A INPUT -s 192.168.1.3 -j DROP
iptables -A OUTPUT -d 192.168.1.3 -j DROP

iptables -A INPUT -s 192.168.1.4 -j DROP
iptables -A OUTPUT -d 192.168.1.4 -j DROP

iptables -A INPUT -s 192.168.1.5-j DROP
iptables -A OUTPUT -d 192.168.1.5 -j DROP

etc... jusqu 192.168.1.255

et si je veux autoriser une IP (192.168.1.4) à ce connecter sur le serveur je tape :

iptables -D INPUT -s 192.168.1.4 -j DROP
iptables -D OUTPUT -d 192.168.1.4 -j DROP
iptables -D INPUT -s 192.168.1.4 -j ACCEPT
iptables -D OUTPUT -d 192.168.1.4 -j ACCEPT

mais c'est trop long !!! T’imagine taper tout sa !! Et son filtre pas l'accès au net !!!

par **fabdunet13** » 02 Mai 2006 22:38

iptables -A INPUT -s 192.168.1.212 -j DROP
iptables -A OUTPUT -d 192.168.1.212 -j DROP
iptables -A FORWARD -i 192.168.1.212 -j DROP

maleuresement ces lignes de commande ne filtre pas le net !!! mais que le réseaux !!

si le pc client 192.168.1.212 ping 192.168.1.254 sa marche pas ( c'est normal c'est mon but )
si le pc client 192.168.1.212 ping www.google.fr sa marche pas ( c'est normal c'est mon but )
si le pc client 192.168.1.212 ouvre internet exploreur sa marche et sa c'est pas normal

par **fabdunet13** » 02 Mai 2006 22:39

je pence que je peux pas ètre plus clair que cella !!!

Comment bloquer une @ ip

Comment bloquer une @ ip

Qui est en ligne ?