[RESOLU] Limiter l'acces a la page web d'IPCOP

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[RESOLU] Limiter l'acces a la page web d'IPCOP

Messagepar xandre » 28 Nov 2006 12:04

Bonjour,
j'ai eu beau chercher dans le forum un topic se rapprochant de mon probleme, je n'ai rien trouvé. J'ai ptete mal cherché...
Bref, voila ma situation :
j'accede a la page web d'IPCOP depuis n'importe quel poste du reseau vert.

Ce que je voudrais c'est limiter cet acces a quelques adresses IP.

Je suppose qu'une regle Iptables devrait regler l'affaire mais laquelle ?
Dernière édition par xandre le 04 Déc 2006 18:10, édité 1 fois au total.
xandre
Premier-Maître
Premier-Maître
 
Messages: 49
Inscrit le: 11 Mai 2006 16:26

Messagepar xandre » 28 Nov 2006 12:11

Ben voila j'ai mal cherché, c'etait dans le newbie kit.

http://forums.ixus.fr/viewtopic.php?p=199127#199127

loberty
/sbin/iptables/ -I INPUT -s !10.0.083 -p tcp --destination-port 81 -j DROP
cela signifie : interdire (DROP) toute connexion à IPCOP (INPUT) sur le port 81 provenant de toute machine excepté 10.0.0.83 (! 10.0.0.83)

Cependant, est il possible d'autoriser PLUSIEURS IP (genre 3-4 seulement) ?
exemple :
/sbin/iptables/ -I INPUT -s !10.0.083 -p tcp --destination-port 81 -j DROP
/sbin/iptables/ -I INPUT -s !10.0.084 -p tcp --destination-port 81 -j DROP
/sbin/iptables/ -I INPUT -s !10.0.085 -p tcp --destination-port 81 -j DROP

Est ce que cela permettra a ces 3 ip d'acceder a Ipcop via la page web ?
xandre
Premier-Maître
Premier-Maître
 
Messages: 49
Inscrit le: 11 Mai 2006 16:26

Messagepar tomtom » 28 Nov 2006 12:40

sbin/iptables/ -I INPUT -s !10.0.083 -p tcp --destination-port 81 -j DROP
/sbin/iptables/ -I INPUT -s !10.0.084 -p tcp --destination-port 81 -j DROP
/sbin/iptables/ -I INPUT -s !10.0.085 -p tcp --destination-port 81 -j DROP


Oula, il y a ces règles dans le newbie kit ? A mon avis, elles vont bloquer l'accès à tout le réseau vert (dans le cas des 3 règles ;) ).

Sinon, je pense que le plus simple pour ton cas est d'utiliser la contrib BOT (Block Out Traffic) qui te permettra de limiter les accès à IPCop depuis l'interface web, et en plus te permettra de controler le traffic sortant ;)

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Franck78 » 28 Nov 2006 13:08

D'abord c'est 10.0.0.x (avec un point)

Ensuite un peu de logique:

la première régle dit

Jeter tout ce qui n'a pas comme IP source 10.0.0.83 et destination port 81

la deuxiéme dit la même chose mais pour une autre IP: 10.0.0.84

Mais puisque 10.0.0.84 n'est pas 10.0.0.83, la première règle a déjà agit....

Donc la solution 'logique' est fausse. (mais l'esprit y est, le serveur web d'admin est bien en port 81 mais surtout en 445).

=> BOOLE


Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar xandre » 28 Nov 2006 13:53

/sbin/iptables/ -I INPUT -s !10.0.0.83 -p tcp --destination-port 81 -j DROP
/sbin/iptables/ -I INPUT -s !10.0.0.84 -p tcp --destination-port 81 -j DROP
/sbin/iptables/ -I INPUT -s !10.0.0.85 -p tcp --destination-port 81 -j DROP
je me doutais de la tournure des opérations.


Et en raisonnant a l'inverse ?
Le but est de tout bloquer puis d'ouvrir au cas par cas...

/sbin/iptables/ -I INPUT -s 10.0.0.0 -p tcp --destination-port 445 -j DROP
/sbin/iptables/ -I INPUT -s 10.0.0.83 -p tcp --destination-port 445 -j ACCEPT
/sbin/iptables/ -I INPUT -s 10.0.0.84 -p tcp --destination-port 445 -j ACCEPT
xandre
Premier-Maître
Premier-Maître
 
Messages: 49
Inscrit le: 11 Mai 2006 16:26

Messagepar Franck78 » 28 Nov 2006 14:50

Ca sera mieux en utilisant CUSTOMINPUT

J'aime pas trop -I car il faut lire à "l'envers" les règles. Piègeant.

/sbin/iptables/ -I INPUT -s 10.0.0.0 -p tcp --destination-port 445 -j DROP

c'est mieux ainsi:

/sbin/iptables/ -I INPUT -p tcp --destination-port 445 -j DROP
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar xandre » 30 Nov 2006 12:43

Franck78 a écrit:Ca sera mieux en utilisant CUSTOMINPUT


Excuse moi Franck mais je n'ai pas saisi ta remarque.


Pour la suite, si j'ai bien compris, il faut que je rentre ces regles :

je bloque tout acces au port 445 SANS indiquer d'adresse reseau :
/sbin/iptables/ -I INPUT -p tcp --destination-port 445 -j DROP

j'autorise au cas par cas ensuite :
/sbin/iptables/ -I INPUT -s 10.0.0.83 -p tcp --destination-port 445 -j ACCEPT
/sbin/iptables/ -I INPUT -s 10.0.0.84 -p tcp --destination-port 445 -j ACCEPT
xandre
Premier-Maître
Premier-Maître
 
Messages: 49
Inscrit le: 11 Mai 2006 16:26

Messagepar shwing » 30 Nov 2006 17:12

Il y a ceci aussi :
Question: Rendre impossible la vue de la page index.cgi

Mots-clé: httpd.conf , password, mot de passe, sécurité, home page, authentification, page de garde,

Réponse: modifier le fichier httpd.conf aux lignes 58 à 65 modifier ceci


<Files index.cgi>
Satisfy Any
Allow from All
</Files>

<Files credits.cgi>
Satisfy Any
Allow from All
</Files>

par ceci:

<Files index.cgi>
AllowOverride None
Options None
AuthName "Restricted"
AuthType Basic
AuthUserFile /var/ipcop/auth/users
Require user admin
</Files>

<Files credits.cgi>
AllowOverride None
Options None
AuthName "Restricted"
AuthType Basic
AuthUserFile /var/ipcop/auth/users
Require user admin
</Files>

lancer la commande "killall httpd" et relancer par "httpd -DSSL"



qui pour moi ceci devrait être de base dans ipcop. mais bon la modif est facile et rapide à faire.
Avatar de l’utilisateur
shwing
Amiral
Amiral
 
Messages: 1246
Inscrit le: 14 Mars 2004 01:00
Localisation: GE/CH

Messagepar Franck78 » 30 Nov 2006 20:16

xandre a écrit:
Franck78 a écrit:Ca sera mieux en utilisant CUSTOMINPUT


Excuse moi Franck mais je n'ai pas saisi ta remarque.




Mais simplement tu t'es posé 1% du problème. Tu as bien la commande qui résout ton problème. Maintenant tu ne peux pas arriver en terrain conquis, poussez-vous, mes règles sont prioritaires, etc...

Il te faut vérifier comment ajouter ça proprement dans l'existant, voir qui appele quoi, ce qui est prévu.

C'est la démarche logique, IPCop ou pas.

Qu'est-ce qui te garanti que le coeur de l'IPCop ne vires pas régulièrement la chaine INPUT....? Rien!
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar tomtom » 01 Déc 2006 09:19

Heu, installer BOT? ça te dit toujours pas??? :-ooo:

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar xandre » 01 Déc 2006 12:02

@shwing : merci pour le rappel. J'avais vu cette solution mais ne l'ai pas testée. Ce qui serait bien pour accompagner cette methode serait de lister tous les cgi. En effet, si j'ai bien compris, si index.cgi n'est plus accessible, il faut appeler les autres cgi via la barre d'adresse du navigateur.

@Tomtom :
J'ai essayé BOT. Le truc c'est que des qu'il est installé, toutes les regles sont remises a zéro. Il faut TOUT recréer. Sinon cet add-on est tres bien. J'avoue j'ai la flemme de "tout" refaire.

@Franck : en gros il faut que j'entre ces regles PROPREMENT dans Ipcop. Pas les balancer a l'arrache via la ligne de commande. J'y songeais effectivement. Et bien entendu, tests de bon fonctionnement obligatoires avant la "mise en production".
xandre
Premier-Maître
Premier-Maître
 
Messages: 49
Inscrit le: 11 Mai 2006 16:26

Messagepar Franck78 » 02 Déc 2006 13:28

@Franck : en gros il faut que j'entre ces regles PROPREMENT dans Ipcop. Pas les balancer a l'arrache via la ligne de commande. J'y songeais effectivement. Et bien entendu, tests de bon fonctionnement obligatoires avant la "mise en production".

C'est l'évidence même. En répondant à la contrainte 'PROPREMENT', tu découvriras ce que IPCop met à ta dispo (pas beaucoup documenté).
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité