blocage de ports

[daniel.dls]

Salut à tous,

Je bataille depuis quelques jours avec IPCOP pour bloquer les ports. Avant de poster ce sujet, j'ai bien lu tous ceux qui en parlent et j'avoue que plus je les lis moins je comprends ! ! !

Config :

@IP Publique FIXE <---> IPCOP (@IP 192.168.10.99) <-------> PC (@IP 192.168.10.20)

Je tente désespérement de bloquer MSN sur les postes utlisateurs. Afin de tester les règles que je créé, j'ai tenté de bloquer le port 80 afin de couper l'accés à internet : sans succés

J'ai pourtant réussi à configurer URLFILTER qui fonctionne correctement (ouf quelque chose qui marche !!)

J'utilise IPCOP 1.4.10 et je le configure depuis l'interface IE d'un poste utilisateur avec l'@ 192.168.10.99:445 et ça aussi ça fonctionne (mais ça fait 2 trucs qui fonctionnent ! ! ! )

Je pense que je suis passé à côté de quelque chose mais quoi ? ! ? !

De plus, je n'arrive pas à pinguer mon @IP Fixe publique (Réseau ASTER Education Nationale).



Si quelqu'un peut me donner un coup de pouce pour le blocage des ports et/ou pour le blocage d'MSN sur les postes utilisateurs, je 'en remerci d'avance.



@++

DANIEL

[kinkey]

Le sujet de msn a largement été évoqué fait une recherche ! Mais pour info msn est capable de ce connecter par n'importe quel port ouvert. De plus urlfilter filtre les URL donc tout ce qui passe par le navigateur internet, si tu veux bloquer les ports en sortie utilise BOT (BlockOutTraffic). Le port 80 ne gere pas l'accès à internet, il gere les connexions faites pour le http (en principe), donc si tu bloc le 80 tu empeche tout connexion par un navigateur vers un serveur http utilisant le port 80.

De plus, je n'arrive pas à pinguer mon @IP Fixe publique (Réseau ASTER Education Nationale).

Depuis où ? réseau vert ou rouge (green ou red) ?

Quelque lecture :
http://forums.fr.ixus.net/viewtopic.php?t=24737 , cherche : Comment autoriser/interdire des flux, protocoles, ou ports ?

[daniel.dls]

En premier lieu, je te remercie de la rapidité de ta réponse


Je jette un coup d'oeil du cote de BlockOut et je te tiens au courant

@+


DANIEL

[daniel.dls]

J'ai installé BLOCKOUT comme indiqué.

Lorsque j'ai lancé la console d'aministration, il m'a indiqué que j'avais une configuration invalide et ma demandé l'@ MAC et le port. J'ai renseigné l'adresse MAC de mon RED et depuis plus aucun accés à quoi que ce soir : ni à 192.168.10.99:445 (Console IPCOP), ni à internet, .....


C'est grave ? ! ? !


Et surtout, comment m'en sortir puisque je ne configure mon IPCOP que depuis l'interface IE ?

[kinkey]

Mauvaise réponse, l'adresse qui t'étais demandé est celle de ton poste à partir duquel tu administre ton ipcop. Il me semble avoir déjà vue sur le forum l'astuce pour régler ce problème.

Il fallait lire la documentation avant de se jeter sauvagement http://blockouttraffic.de/gettingstarted.html

[daniel.dls]

Il fallait lire la documentation avant de se jeter sauvagement http://blockouttraffic.de/gettingstarted.html

J'adorerai avoir une telle sagesse mais l'autodidacte que je suis défonce plutôt la porte avant de vérifier si la clé n'est pas dessus


J'ai désinstallé BLOCKOUT j'ai repris la main, je suis tes conseils pour la doc


A suivre ............

[kinkey]

T'inquiete pas, après avoir fait deux ou trois boullette tu va vite devenir sage

[daniel.dls]

Là sur la digestion, j'ai toujours pas internet. J'aurai pas du reprendre 2 fois des frites !!! J'ai beau ajouter de belles règels rien n'y fait

Voici ma configuration :

GREEN @IP 192.168.10.20

----> IPCOP @IP 192.168.10.99

IPCOP ------> @IP 81.80.xxx.xxx

j'ai tenté de mettre ceci dans " /etc/rc.d/rc.firewall" trouver sur un Forum :

# localhost and ethernet.
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP
/sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT
/sbin/iptables -A FORWARD -i $GREEN_DEV -p tcp -m multiport --dport 80,443,110,25,21,20 -j ACCEPT
/sbin/iptables -A FORWARD -i $GREEN_DEV -j DROP

Rien n'y fait. Je n'arrive même pas à pinguer ma machine IPCOP 192.168.10.99 depuis ma machine Client 192.168.10.20.


s'y je m'endorts pas d'ici là je ne désespère pas de trouver !!!!!

[kinkey]

Je n'ai jamais touché au règle donc je vais pas pouvoir t'aider. Mais au contraire vu que tu a pas mal trifouillé ton install est-ce qui ne serait pas plus simple de reprendre à zéro (reinstall).

[daniel.dls]

Je viens de rajouter

AUTORISER Green Address -----> IPCOP

et j'accède désormais à internet et j'ai pas d'MSN

jusque là ça pourrait être pas mal sauf que WINDOWS UPDATE ne fonctionne plus .... GRRRRR


comme un problème n'arrive jamais seul : impossible de pinguer mon adresse publique 81.80.xxx.xxx depuis un PC extérieur à ce réseau afin d'administrer IPCOP depuis un site à disctance

[kinkey]

Au contraire il me semble que le ping de l'interface rouge n'est pas possible. Enfin elle envoie pas de réponse.

[daniel.dls]

Je n'arrive toujours pas à acceder à mon IPCOP à distance via l'interface d'administration d'IE :


https://81.80.xxx.xxx:445



GRRRRRRRRRRRRRRRRR



Il ne faudrait pas que cela provienne du fait que mon IPCOP se trouve sur le ASTER de l'Education Nationale

[Billou02]

Salut,

https://81.80.xxx.xxx:445

Change le port d'ecoute de ton ipcop.
pour cela, va voir sur le newbie kit et cherche l'instruction suivante :

Code: Tout sélectionner

setreservedports

@+

[daniel.dls]

......Mais au contraire vu que tu a pas mal trifouillé ton install est-ce qui ne serait pas plus simple de reprendre à zéro (reinstall)......

j'ai suivi ton conseil car il me semblait effectivement que c'était la chose raisonnable à faire.


J'en profite pour faire un TuTo ça peut toujours servir ....


encore merci de vos conseils .... qui a dit que l'informaticien vivait dans sa bulle ? ? ? Certains informations pourraient donner des leçons de solidarité professionnelle a bien d'autres personnes


@+

[daniel.dls]

Salut,

https://81.80.xxx.xxx:445

Change le port d'ecoute de ton ipcop.
pour cela, va voir sur le newbie kit et cherche l'instruction suivante :

Code: Tout sélectionner

setreservedports

@+

Quel est l'intérêt de changer le port d'écoute d'IPCOP ? ?