Ipcop 1.2 -> problème pour bloquer FTP et mail.

[ShonGail]

hello, <BR> <BR>j'ai ajouté ces règles à la fin du rc.firewall.up : <BR> <BR>

Code: Tout sélectionner

<BR># bloquer ftp <BR>ipchains -I input -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 20 <BR>ipchains -I input -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 21 <BR> <BR>#bloquer mail <BR>#ipchains -I input -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 110 <BR>#ipchains -I input -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 25 <BR> <BR>#exception ftp <BR>#ipchains -I input -j ACCEPT -p tcp -s 192.168.0.252/32 -d 0.0.0.0/0 20 <BR>#ipchains -I input -j ACCEPT -p tcp -s 192.168.0.252/32 -d 0.0.0.0/0 21 <BR> <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.0.253/32 -d 0.0.0.0/0 20 <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.0.253/32 -d 0.0.0.0/0 21 <BR> <BR>#ipchains -I input -j ACCEPT -p tcp -s 192.168.0.204/32 -d 0.0.0.0/0 20 <BR>#ipchains -I input -j ACCEPT -p tcp -s 192.168.0.204/32 -d 0.0.0.0/0 21 

<BR> <BR>En l'état cela fonctionne. Je bloque le FTP pour tout le réseau sauf une seule IP. <BR> <BR>mais si je décommente les règles concernant les mails ou une de celles concernant l'exception FTP, alors ipcop refuse de lancer la connexion (adsl avec speedtouch home ethernet) au redemarrage <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Quel peut-etre le problème <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Merci

[nemesis]

juste un truc : <BR> <BR>je pense que tu devrai mettre les exception avant le bloquage en effet ipchains lis les règles de haut en bas et il applique la première règle trouvée correspondant au paquet en cours de traitement donc même si t'avais pas ton problème de connexion je pense (je suis pas sur non plus <IMG SRC="images/smiles/icon_lol.gif"> ) que ton ip ne serait pas autorisée à ouvrir le ftp.... <BR> <BR>par contre je vois pas ce qui peut bloquer la connex... dsl <BR>tcho

[ShonGail]

ok merci je vais inverser l'ordre des règles. <BR> <BR>une fois mon fichier rc.firewall.up modifié; suis-je obligé de redémarrer ipcop ou y'a t'il moyen que les règles soient prises en compte de suite ?

[grosbedos]

ben tu execute rc.firewall.down puis le rc.firewall.up....mais en local sur la machine..pas par ssh <IMG SRC="images/smiles/icon_wink.gif">

[nemesis]

ouai mais bon un bon reboot est pas mal non plus...

[ShonGail]

exécuter, cela signifie simplement taper rc.firewall.down et rc.firewall.up à la suite ? <BR> <BR> <BR>PS : je testerai cela après 17h, quand la connexion ne sera plus utilisée.

[ShonGail]

bon j'ai mis les règles dans cet ordre là : <BR> <BR>#exception ftp <BR> <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.0.18/32 -d 0.0.0.0/0 20 <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.0.18/32 -d 0.0.0.0/0 21 <BR> <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.0.253/32 -d 0.0.0.0/0 20 <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.0.253/32 -d 0.0.0.0/0 21 <BR> <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.0.207/32 -d 0.0.0.0/0 20 <BR>ipchains -I input -j ACCEPT -p tcp -s 192.168.0.207/32 -d 0.0.0.0/0 21 <BR> <BR># bloquer ftp <BR>ipchains -I input -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 20 <BR>ipchains -I input -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 21 <BR> <BR>#bloquer mail <BR>#ipchains -I input -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 110 <BR>#ipchains -I input -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 25 <BR> <BR> <BR>et le FTP est bloqué sur tout le réseau <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Vous êtes sur que les exceptions doivent etre placées avant la règle générale ?

[ShonGail]

J'ai replacé les exceptions après la règle générale et elles fonctionnent toutes <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Bizarre quand même, la dernière fois ou j'ai dépassé une exception, la connexion ne démarrait pas <IMG SRC="images/smiles/icon_confused.gif">

[nemesis]

ah bha ça... enfin toutes les docs que j'ai pu consulter sur ipchaines indiquent que c'est la première règle correspondant a un paquet traité qui est prise en compte!!! <BR> <BR>dc si ton paquet correspond a une machine pouvant passer en ftp (dc une des exception !) il doit passer le firewall sinon il est bloqué. <BR> <BR>un truc que tu peux faire c commenter les exception et voir ce k'il se passe car si en les commentant tu as une machine kelle k'elle soit qui fait du ftp tes regle de bloquage ne sont pas bonne dejà ça reglera un pb <BR> <BR>en suite commente tes regles de bloquage (ss debloquer les exception) et là ça doit passer pour ttes les machines et enfin décomente tes regles une a une pour voir d'ou viens le crache je vois ke ça pour te deplanter dsl... <BR>@+ <BR>nico

[ShonGail]

A priori la règle générale fonctionne puisque je n'ai pas accès au ftp sauf sur les 3 ip définies dans les exceptions <BR> <BR> <BR>je vais essayer le mail maintenant <IMG SRC="images/smiles/icon_biggrin.gif">

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-04-29 13:53, ShonGail a écrit: <BR> <BR> <BR>Vous êtes sur que les exceptions doivent etre placées avant la règle générale ? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>IPTables lit les règles dans l'ordre ou elles sont dans les chaines. <BR> <BR>Mais il faut savoir aussi que -I fait une insertion en tete de chaine (donc la nouvelle règle sera la première executée) et -A fait un "append", donc la nouvelle règle sera regardée en dernier. <BR> <BR> <BR>Un bon moyen pour ne pas se melanger les pedales et d'ecrire les règles dans l'ordre et d'utiliser -A. <BR> <BR>Il faut les inverser si on utilise -I, donc ton premier script etait bon ! <BR> <BR>Autre point, lorsque les paquets sont destines à une machine distante c'est la chaine forward de la table FILTER (table par defaut donc pas besoin de la specifier) qui doit etre utilisée. <BR> <BR>La chaine input est reservée aux paquets pour la machine locle (le firewall), et doit donc etre utilisée pour les acces ssh au firewall par exemple. <BR> <BR>Moi je ferais un truc du genre : <BR> <BR>#Authoriser FTP et MAIL pour une IP: <BR>iptables -A forward-p tcp -s 192.168.0.204/32 --dport 21 -j ACCEPT <BR>iptables -A forward-p tcp -s 192.168.0.204/32 --dport 25 -j ACCEPT <BR>iptables -A forward-p tcp -s 192.168.0.204/32 --dport 110 -j ACCEPT <BR> <BR># Bloquer le reste <BR>iptables -A forward-p tcp -s 192.168.0.0/24 --dport 21 -j DROP <BR>iptables -A forward-p tcp -s 192.168.0.0/24 --dport 25 -j DROP <BR>iptables -A forward-p tcp -s 192.168.0.0/24 --dport 110 -j DROP <BR> <BR> <BR>Voila voila.... <BR> <BR> <BR>Thomas <BR> <BR> <BR> <BR>

[nemesis]

ah bha vi j'avais pas fait gaffe au coup du -I oups dsl..... <BR>et ici on parle de ipchaines (v 1.2 d'ipcop pour iptable c'est v 1.3 voilààà) <BR>tcho

[tomtom]

Ha bah oui moi j'avais pas fait gaffe que c'est ipchains donc oubliez le truc de la table forward / input !!! <BR> <BR> <BR>Mais il y en a qui osent encore utiliser ipchains ???? Faut migrer là, faut migrer.... <BR> <BR> <BR>Thomas

[nemesis]

moi je migrerai kd la route aura bien été déminée par les autres car il y a apparement kk soucis avec la 1.3 <BR>

[tomtom]

Lol je ne parlais pas forcement d'IPCop <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR> <BR>Mais sinon je pense sincèrement que le passage à IPTables est OBLIGATOIRE ! <BR> <BR>Thomas