Prb avec règles BlockOutTraffic

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Prb avec règles BlockOutTraffic

Messagepar redmail » 12 Avr 2007 22:40

Bonsoir à tous.

J'aimerais avec l'aide de BOT pouvoir peaufiner les acces des utilisateurs de la zone verte.

Plus exactement, je voudrais autoriser et/ou refuser les flux http, https et ftp a certains utisateurs (en fonction de leur IP)

Mais malgré toutes mes tentative de définition de règle j'y arrive pas :-(

Soit j'autorise tout ou je bloque tout !


Ce que je veux :

User1 http autorisé et rien d'autre son IP 192.168.1.110
User2 http + ftp son IP 192.168.1.120
User3 http + https IP x.x.x.130
User4 http + https + ftp x.x.x.140


D'avance merci pour votre aide
redmail
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 12 Avr 2007 22:19

Re: Prb avec règles BlockOutTraffic

Messagepar m2nis » 13 Avr 2007 07:58

redmail a écrit:User1 http autorisé et rien d'autre son IP 192.168.1.110
User2 http + ftp son IP 192.168.1.120
User3 http + https IP x.x.x.130
User4 http + https + ftp x.x.x.140


L'activation de BOT bloque tout le traffic. Il suffit donc ensuite de créer les règles. Visiblement, vous n'avez que quatre machines à gérer. Vous pouvez donc éviter de créer des groupes dans un premier temps.

Tout va donc se passer dans "gérer le traffic sortant", et les règles seront ajoutées en mode "accepter".

Règle 1: tout le mode à le droit d'accéder à http -> source: vert, Réseau par défaut: any, destination: autre réseau, interface par défaut: rouge, réseau par défaut: any, service utilisé à cocher, service par défaut: http (80), additionnel: règle activée à cocher, enregistrer.

Pour les règles suivantes, vous remplacez "(source) réseau par défaut: any" par "format de l'adresse: ip xxx.xxx.xxx.xxx". Et vous créez une règle par machine et par service.

Au travail. :-)
Michaël.
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar redmail » 13 Avr 2007 11:07

Merci pour ta réponse.

Pour le moment, j'ai 4 users pour mes tests... A l'avenir, si Ipcop me convient, j'aurais +/- 2000 utilisateurs. Donc je suis fortement intéresser par la création de groupe :-)

J'ai testé ta 1ere règle, mais j'ai toujours le même problème.

Si je l'utilise seule, Personne du réseau vert n'a accès à l'http. :-(

J'ai une deuxième règle suivante :
Accès IPCop ; Source : Green Network ; Destination IPCop : Services IPCop

Avec comme regroupement : Services IPCop
domain Préréglage
IPCop Proxy Spécifique
bootpc Préréglage
bootps Préréglage
ntp

Mais si j'active cette 2eme règle tous le monde a non seulement le http mais également le ftp https....bref pas de filtrage !?

Voilà ma situation.

D'avance merci pour votre aide
redmail
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 12 Avr 2007 22:19

Messagepar redmail » 13 Avr 2007 13:27

D'après toutes les infos trouvées sur Internet, mon cas devrait être simple !?

J'ai activé ceci comme unique règle !

Accès à IPCop:--> Green Network--> IPCop : IPCop Proxy

Avec comme service IPCop Proxy 800 TCP N/A

Comment est-il possible qu'avec cette unique règle d'avoir accés au ftp + http + https ...

Et pourquoi sans cette règle, rien ne fonctionne !?

Je comprend rien :cry:
redmail
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 12 Avr 2007 22:19

Messagepar m2nis » 13 Avr 2007 14:25

redmail a écrit:D'après toutes les infos trouvées sur Internet, mon cas devrait être simple !?

Oui, mais il y a peut-être des choses qui ne sont pas dites et qui rendent difficile le dépannage à ceux qui ne savent pas (sauf s'il y a des devins :-)).

La règle n'est pas la même sans proxy et avec proxy! Sans proxy, c'est le port 80 qu'il faut ouvrir de green vers red, avec proxy, c'est (par défaut) le port 800 qu'il faut ouvrir de green vers ipcop.

Donc, si vous avez activé le proxy, la règle que je vous ai fournie ne fonctionnera pas.

Tant que j'y suis, quand quelque chose ne passe pas, pensez à regarder dans le journal du pare-feu. Cela vous aidera à comprendre, vous n'imaginez sans doute pas à quel point. ;-)

redmail a écrit:Comment est-il possible qu'avec cette unique règle d'avoir accés au ftp + http + https ...

L'ouverture du port 800 sur Ipcop ne peut pas donner accès à tous ces services. Vous avez une autre règle qui traine ou votre règle est mal construite. Cela me fait penser à un post pas si vieux:

http://forums.ixus.fr/viewtopic.php?t=36241

redmail a écrit:Et pourquoi sans cette règle, rien ne fonctionne !?

Sans règle, il est normal (et rassurant) que rien ne fonctionne. Mais si avec une règle vous parvenez à tout ouvrir, c'est que votre règle est mal écrite.
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar redmail » 14 Avr 2007 08:32

Merci pour vos réponses.

Je n'ai plus accès a la machine mais je ferais de nouveau test dès lundi.

J'ai bien le proxy activé avec le port 800 et mes clients ont cette config dans leur browser.

J'ai regardé ton lien mais ma situation est nettement plus simples... Je n'ai qu'une règle.

Lorsque l'on utilise BOT et le proxy, il y a quelque chose de spécial avec les n° de port ?

Dans les logs, il me signal qu'il drop mon traffic mais je ne sais pas pourquoi n'y quelle règle le fait.
N'y a-t-il pas (comme avec check point) un endroit ou l'on peut voire précisément qu'elle règle (son n°) block le traffic ?

Merci
redmail
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 12 Avr 2007 22:19

dmin

Messagepar redmail » 16 Avr 2007 11:33

Salut à tous

J'ai tout effacé pour partir de règle clean.

J'ai aucune règle et donc aucun traffic autorisé. OK

Je défini qlq service personnalisé
IPCop Proxy port 800 protocol TCP
IPCop https port 445 prot TCP
IPCop ssh port 222 prot TCP


J'ajoute un groupe Admin IPCop
Je lui met les services IPCop https et IPcop ssh

Je crée un règle (network green est autorisé à l'admin)
Source -- Inetrface Vert -- Réseau par défaut Green Network
Destination -- Accès à IPCop -- Service utilisé -- Regroupement de services --> Admin IPCop
Et j'active la règle.

J'arrive en ligne de commande ssh 192.168.1.10 -p 222 -l root a accèder sur IPCop !
Mais pas via un browser sur lla page https://192.168.1.10:445 Je ne vois pas pourquoi ?
(Pas d'accès au Web ce qui est normal)

Dans les log de FW je vois un GREEN-DROP pour destination 53(DOMAIN) et pour 800(MDBS_DAEMON)
J'ajoute un regroupement de service que je nomme "Services IPCop" et je lui ajoute le service par default "domain (53)" + IPCop Proxy

J'ajoute une règle Green vers Accès IPcop -- Service Regroupement de service = Services IPCop

Suite a cela j'au accès à tout http ftp https...

Alors commande dire que certain utilisateurs ne peuvent pas avoir l'https et/ou ftp ?
redmail
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 12 Avr 2007 22:19

Messagepar redmail » 16 Avr 2007 15:40

Après toutes mes tentatives non concluantes, j'en viens à me poser des questions...

Peux-t-on faire avec IPCop sur la même machine un firewall et un serveur proxy ?

Le traffic proxy (une fois autorisé) est-il prioritaire sur les règles du FW ?

Quelqu'un a une doc sur bot ? (autre que http://blockouttraffic.de) ?

Merci
redmail
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 12 Avr 2007 22:19

Messagepar Poupou94 » 16 Avr 2007 18:33

Bonjour,

Pour bien voir comment bot fonctionne commence par faire des règles simple avec les @ip
Avec le proxy d'activé il vaut mieux il me semble avoir la même règles de green vers l'exterieur et de green vers l'ipcop (c'est vrai pour le proxy transparent je l'utilise).
Dernier point auquel on ne pense pas toujours BOT s'appuie sur Iptables pour construire ses règles donc l'ordre dans lequel les règles sont visible est l'ordre dans lequel elle sont exécutées, c. a. d. première règle qui matche est exécutée puis exit..

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar redmail » 17 Avr 2007 14:37

Bonjour

J'ai honteusement le problème avec des règles simple...

Par exemple, je voudrais bloquer le trafic FTP

Je crée une règle
Source : green Network ; Action Refuse , Destination Any:ftp elle est active

Après cela, parviens toujours à aller sur n'importe quel site ftp (ex: ftp://ftp.microsoft.com)

Pour être certain, je crée aussi cette règle
Source : green Network ; Action Refuse , Destination IPCop:ftp elle est active

Toujours accès au ftp...

C'est grave docteur ?
redmail
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 12 Avr 2007 22:19

Messagepar redmail » 17 Avr 2007 16:21

Pour les passionnés, voici le résultat de la commande iptable -L

Chain BADTCP (2 references)
target prot opt source destination
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN
PSCAN tcp -- anywhere anywhere tcp flags:SYN,RST/SYN,RST
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN
NEWNOTSYN tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW

Chain BOT_FORWARD (1 references)
target prot opt source destination
DROP tcp -- 192.168.1.0/24 anywhere tcp dpt:http
LOG tcp -- 192.168.1.0/24 anywhere tcp dpt:ftp limit: avg 10/min burst 5 LOG level warning prefix `GREEN-DROP '
DROP tcp -- 192.168.1.0/24 anywhere tcp dpt:ftp
LOG udp -- 192.168.1.0/24 anywhere udp dpt:ftp limit: avg 10/min burst 5 LOG level warning prefix `GREEN-DROP '
DROP udp -- 192.168.1.0/24 anywhere udp dpt:ftp
DROP all -- anywhere anywhere

Chain BOT_INPUT (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere MAC 00:40:CA:7C:0E:0F tcp dpt:microsoft-ds
DROP tcp -- 192.168.1.0/24 anywhere tcp dpt:ftp
DROP udp -- 192.168.1.0/24 anywhere udp dpt:ftp
ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:microsoft-ds
ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:rsh-spx
ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:domain
ACCEPT udp -- 192.168.1.0/24 anywhere udp dpt:domain
ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:mdbs_daemon
DROP all -- anywhere anywhere

Chain CUSTOMFORWARD (1 references)
target prot opt source destination
BOT_FORWARD all -- anywhere anywhere

Chain CUSTOMINPUT (1 references)
target prot opt source destination
BOT_INPUT all -- anywhere anywhere

Chain CUSTOMOUTPUT (1 references)
target prot opt source destination

Chain DHCPBLUEINPUT (1 references)
target prot opt source destination

Chain DMZHOLES (0 references)
target prot opt source destination

Chain GUIINPUT (1 references)
target prot opt source destination

Chain INPUT (policy DROP)
target prot opt source destination
ipac~o all -- anywhere anywhere
BADTCP all -- anywhere anywhere
CUSTOMINPUT all -- anywhere anywhere
GUIINPUT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
IPSECVIRTUAL all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW
DROP all -- 127.0.0.0/8 anywhere state NEW
DROP all -- anywhere 127.0.0.0/8 state NEW
ACCEPT !icmp -- anywhere anywhere state NEW
DHCPBLUEINPUT all -- anywhere anywhere
IPSECPHYSICAL all -- anywhere anywhere
WIRELESSINPUT all -- anywhere anywhere state NEW
REDINPUT all -- anywhere anywhere
XTACCESS all -- anywhere anywhere state NEW
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `INPUT '

Chain FORWARD (policy DROP)
target prot opt source destination
ipac~fi all -- anywhere anywhere
ipac~fo all -- anywhere anywhere
BADTCP all -- anywhere anywhere
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
CUSTOMFORWARD all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
IPSECVIRTUAL all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW
DROP all -- 127.0.0.0/8 anywhere state NEW
DROP all -- anywhere 127.0.0.0/8 state NEW
ACCEPT all -- anywhere anywhere state NEW
WIRELESSFORWARD all -- anywhere anywhere state NEW
REDFORWARD all -- anywhere anywhere
PORTFWACCESS all -- anywhere anywhere state NEW
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `OUTPUT '

Chain IPSECPHYSICAL (1 references)
target prot opt source destination

Chain IPSECVIRTUAL (2 references)
target prot opt source destination

Chain LOG_DROP (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning
DROP all -- anywhere anywhere

Chain LOG_REJECT (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

Chain NEWNOTSYN (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `NEW not SYN? '
DROP all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ipac~i all -- anywhere anywhere
CUSTOMOUTPUT all -- anywhere anywhere

Chain PORTFWACCESS (1 references)
target prot opt source destination

Chain PSCAN (5 references)
target prot opt source destination
LOG tcp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `TCP Scan? '
LOG udp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `UDP Scan? '
LOG icmp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `ICMP Scan? '
LOG all -f anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `FRAG Scan? '
DROP all -- anywhere anywhere

Chain REDFORWARD (1 references)
target prot opt source destination

Chain REDINPUT (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spt:bootps dpt:bootpc
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc

Chain WIRELESSFORWARD (1 references)
target prot opt source destination

Chain WIRELESSINPUT (1 references)
target prot opt source destination

Chain XTACCESS (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere 192.168.191.23 tcp dpt:microsoft-ds
ACCEPT tcp -- anywhere 192.168.191.23 tcp dpt:rsh-spx

Chain ipac~fi (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~fo (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~i (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~o (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere
redmail
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 12 Avr 2007 22:19

Messagepar Poupou94 » 17 Avr 2007 18:09

Bonsoir,

Effectivement cela devrait bloquer

Je vais regarder la tête de mes règles pour comparer

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar Poupou94 » 17 Avr 2007 18:26

Voici ce que j'ai

Chain BOT_FORWARD (1 references)
target prot opt source destination
ACCEPT all -- 192.168.10.0/26 anywhere
ACCEPT tcp -- 192.168.10.64/26 anywhere tcp dpt:pop3
ACCEPT tcp -- 192.168.10.64/26 anywhere tcp dpt:smtp
ACCEPT all -- 192.168.10.128/25 anywhere
ACCEPT all -- 192.168.143.112/28 anywhere

DROP all -- anywhere anywhere

Chain BOT_INPUT (1 references)
target prot opt source destination
ACCEPT all -- 192.168.10.210 anywhere
ACCEPT all -- 192.168.16.10 anywhere
ACCEPT all -- 192.168.10.0/26 anywhere
ACCEPT tcp -- 192.168.10.64/26 anywhere tcp dpt:pop3
ACCEPT tcp -- 192.168.10.64/26 anywhere tcp dpt:smtp
ACCEPT all -- 192.168.10.128/25 anywhere

DROP all -- anywhere anywhere

Chain CUSTOMFORWARD (1 references)
target prot opt source destination
BOT_FORWARD all -- anywhere anywhere

Chain CUSTOMINPUT (1 references)
target prot opt source destination
BOT_INPUT all -- anywhere anywhere

Ce qui donne comme résultat

1) les machines dans le réseau 192.168.10.0/26 peuvent sortir
2)les postes en 192.168.10.64/26 peuvent envoyer et recevoir des mails (le dns est interne au dessus de 128)
3)les machines en 192.168.10.128/25 peuvent sortir

et le comportement est normal

Pour moi les règles d'interdiction ne sont pas utiles à moins de vouloir restreindre une machine en particulier
Une règles d'ouverture pour un protocole (ou bien on regroupe plusieurs protocoles pour les passer sur une seule règle) et c'est tout. Plus lisible et plus simple à gérer.

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar redmail » 17 Avr 2007 20:16

Si ce que je pense est exacte, il parcourt les règles de haut en bas et s'arrête dès qu'il rencontre un drop !?


Donc comme au début de mes règles j'ai ceci comme INPUT

Chain BOT_INPUT (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere MAC 00:40:CA:7C:0E:0F tcp dpt:microsoft-ds
DROP tcp -- 192.168.1.0/24 anywhere tcp dpt:ftp
DROP udp -- 192.168.1.0/24 anywhere udp dpt:ftp
ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:microsoft-ds
ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:rsh-spx
ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:domain
ACCEPT udp -- 192.168.1.0/24 anywhere udp dpt:domain
ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:mdbs_daemon
DROP all -- anywhere anywhere


Pour moi, avec cale m'y a part le PC avec la Mac, pour le 192.168.1.X le traffic ftp doit être dropé !

Et pourtant, je n'ai aucun problème pour accéder au site ftp !?

Qu'est ce qui m'échappe ?
redmail
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 12 Avr 2007 22:19

Messagepar Poupou94 » 18 Avr 2007 07:50

Il parcourt bien les règles dans l'ordre ou elles sont listées et la première règles qui correspond est appliquée que ce soit drop reject ou accept.

Dans les configurations avancées tu n'aurais pas fait des modifications dans les réglages d'adresses ?
Autrement recommence la configuration depuis le début sans aucune règles pour voir que c'est bloqué puis ajoute des règles d'ouverture une part une et fait attention au sessions déjà établies cela fausse le jugement

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité