regle plus poussées sur le firewall

par **Troyan** » 29 Oct 2006 01:27

Bonjour,

je viens d'installer ipcop en remplacement de mon routeur physique !
toutefois je recherche une chose.

il y'a des regles de nat ca c'est je l'ai fait !

toutefois j'aimerais utiliser un port mais uniquement si cela viens d'une ip precise !
comment puis je faire une chose pareil ?.

faut'il installer un plug in particulier ?

Merci !

par **Woudamaster** » 29 Oct 2006 07:38

L'ajout de l'addon Block Out Traffic te permettera du paramétrage de firewall, tout cela sous l'interface web, c'est bien plus sympatic que IPtables.

@+

par **Troyan** » 29 Oct 2006 12:58

yes mais c'est l'entrant que je veux bloquer ? et non le traffic sortant !

precision en fait je voudrais pouvoir dire voila sur le port XXXX seul les ip XXX.xxx.xxx.xxx peuvent rentrer le reste est bloqué !

par **jdh** » 29 Oct 2006 14:37

IPCOP devrait toujours être accompagné de BOT qui malgré son nom ne doit pas seulement gérer le traffic en sortie ... (mais je peux me tromper : je ne connais pas bien BOT j'en ai seulement vu une démo avec Franck78).

Remplacer un routeur par IPCOP est une bonne idée, surtout on ajoute un filtrage solide. Or IPCOP de base de filtra pas beaucoup mieux qu'un routeur ou une box usuelle. Donc il faut bien commencer par BOT.

par **Troyan** » 30 Oct 2006 01:39

oui ca à l'air tres puissant un peut trop peut etre :/

mais bon faut que je fasse des essais car apparemment ca à l'air de bloquer un peut trop de truc now

par **gui82** » 30 Oct 2006 12:55

ou alors tu va à la mano éditer le fichier /etc/rc.firewall.local. T'as règle devrait ressembler à quelque chose du genre :

iptables -A INPUT -s <ip particulière> --dport <port particulier> -j ACCEPT

à affiner forcément!

par **Franck78** » 30 Oct 2006 13:20

Troyan a écrit:oui ca à l'air tres puissant un peut trop peut etre :/

@jdh,
Salut; voila pourquoi le choix a été fait dès l'origine de ne pas bloquer tout en sortie. Ne pas décourager le lambda moyen pour pas grand chose (at home of course) première cible d'IPCop (souvenir, lu quelque part).

par **Troyan** » 30 Oct 2006 19:59

ben justement
je suis preneur pour des astuces
en fait j'aimerais tout bloquer venant du rouge !
sauf les queqlues ports que j'ai besoin comme le 80 par exemple
et certain qui viennent d'une ip bien specifique !
exemple un port SQL mais uniquement en provenance de l'ip XXX.xxx.xxx.xxx

par contre j'aimerais que tout ce qui vienne du reseau vert est le droit de sortir sur tout les ports et toutes les ip !

sur mon ancien routeur je faisait ca tres simplement

je suis preneur de toutes les infos !

Merchiiiiiiiiiiiiiiiii

par **jdh** » 30 Oct 2006 21:14

Un IPCOP de base fait ça (installation neuve sans BOT) Mais c'est ni plus ni moins le fonctionnement d'un routeur. Alors pourquoi utiliser un IPCOP pour remplacer un routeur basic ?

Si on veut utiliser un IPCOP, c'est pour faire plus de choses et avec plus de sécurité, non ?

par **micjack** » 30 Oct 2006 21:25

Salut,

L'interface Red est déja en bloquage total venant du Web, si non, ce ne serrait pas un firewall :lol:

Ce n'est pas sur le INPUT qu'il faut établir la régle, puisque ce que tu demande est en fait un simple transfert de port trés restrictif (enfin si j'ai compris ton probleme)

Un simple transfert de port se fait généralement sur une interface réseau -i ethx et effectivement toutes IP venant du Web en a accés (en générale, c'est pour autoriser un accés publique vers un serveur interne)

Mais en fait, tu veux faire la mêmle chose, mais uniquement pour une ou plusieurs IP ?

Par logique, comme cela ca devrais le faire, en remplacant -i ethx par -s [IP] (Jamais testé, jamais eu l'utilité

)

iptables -t nat -A PREROUTING -s [IP] -p tcp --dport [port] -j DNAT --to-destination 192.168.x.x:[port]

192.168.x.x n'est qu'un exemple, tu met la classe C qui se trouve sur ton reseau actuel... Puis si il y'a aussi de l 'udp tu fais la modif à ce niveau ( -p tcp )

par **Troyan** » 30 Oct 2006 21:45

héhé bon alors je suppose que si tu me donne tout cela via les lignes de commande c'est que j'ai aucune possibilité de faire cela via l'interface de ipcop ?

autre question bon ok admettons que j'arrive à tout comprendre mais que dans quelques temps cela evolue comment je vais pouvoir voir ce qui est deja deja inscrit dans mon iptables ?

Merci à toi de toutes ces reponses

par **micjack** » 31 Oct 2006 00:57

Troyan a écrit:héhé bon alors je suppose que si tu me donne tout cela via les lignes de commande c'est que j'ai aucune possibilité de faire cela via l'interface de ipcop ?

Puisque tout est déja bloqué en entrée, BOT a été normalement constitué pour bloquer en sortie (chose que proposait déja Antolien à la main, et cela fonctionnait) Je suppose que cela a été adapté par une interface, ou quelqu'un a eu la même idée de penser que cela n'est pas normal que tout puisse sortir... Mais bon, cela ne repond pas à ta question...

Concernant en entrée, donc coté Red, c'est normal que il n y a rien de pondu pour cela, mise à part un transfert de port depuis 0.0.0.0 qui est le Wan (et non par sur une IP) comme je disais plus haut, je ne vois pas trop l'utilité pour un produit clé en main.

Maintenant, il est peut etre interéssant de créer une interface qui gére cela comme dans ton ex routeur, mais en attendant, rien ne t'empeche de créer des régles à la main (comme déja dit)

Au fait, c'est quelle marque ton ex routeur, c'est rare de rencontrer une autorisation par IP

Si non, je n'utilise pas IPCop, mais il est trés facile de deviner quelles régles se cachent derriére tout addons, donc de l'écrire soi même en attendant...

par **Troyan** » 31 Oct 2006 01:18

ok je t'avoue que linux et moi c'est une premiere car je voulais un nouveau routeur plus polyvalent et surtout evolutif.

ipcop tourne donc sur mon windows 2003, dans une machine virtuelle vmware !

pour les regles de mon ancien routeur
j'avais fait comme dans ipcop transfert de port
et dans le firewall j'avais autoriser que les ip xxx pour le port XXX

mon routeur ete un zywall 2 de zyxel !!

vala !
c'est pas bien mechant mais un port comme celui de SQL subit continuellement des requetes de XXX ip d'ou l'interet de ne permettre son acces qu'a des machines que l'on connait !

idem pour la prise en main via TSWeb connaissant les machine qui peuvent y acceder je peux autoriser uniquement ces PC et non tout le monde se qui garantie encore plus de securité !

vala rien de mechant mais plus sur !
Ch.

par **micjack** » 31 Oct 2006 01:28

Effectivement, je comprend mieux ta requette... :wink:

En générale, tu peux le faire effectivement sur la plus part des routeur (même sur une Box) mais en utilsant plusieurs onglets de configuration... L'un sur le transfert de port ---> IP destination, puis en basculant sur le firewall qui autorise une IP source-- > IP destination ...

Mais comme je te disais, je n'utilise pas IPCop, et si cela n'existe pas, soit c'est d'écrire les régles à la main (puisque fonctionnent en sorties) soit cela existe et personne te donne la réponse ou ils n'en savent rien, soit c'est à créer...

C'est peut etre prévu pour une utilisation avec Squid par les ACL, donc pas besoin de pondre un truc suplémentaire...

Un jour, j'avais posé une question de plein front "pourquoi je ferait plus confiance en un Firewall qu'à un proxy" Un proxy, à mon sens, bien configuré (meme en frontal sur le Net ) vaut un Firewall .. Mais bon, la je suis HS, mais par experience (cela n'engage que moi) je reste sur la conviction qu'un Proxy reste impenetrable en étant bien configuré (rôle de passerelle avec authentification/droits et tout le tralala)

par **Troyan** » 31 Oct 2006 08:51

je te crois sur parole mais la ca me depasse un peu !
squid c'est quoi exactement ?

regle plus poussées sur le firewall

regle plus poussées sur le firewall

Qui est en ligne ?