Bloquer l'accès au webgui d'ipcop pour bleu

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Bloquer l'accès au webgui d'ipcop pour bleu

Messagepar super_ptit_nico » 18 Juin 2007 19:01

Salut,

je suis en train d'installer ipcop couplé avec un P.A. wifi dans un hotel,

ipcop 1.4.15 + advproxy + blockouttrafic

j'ai réussi à faire tous les blocages que je voulais, newbie dans ce domaine :oops:, grace au forum

mais un me résiste: :(

j'aimerais que les clients wifi n'ais pas accès à l'interface webgui d'ipcop

j'ai eu beau retourner les regles de blockouttrafic dans tout les sens je n'y arrive pas :!:

si quelqu'un peut m'aider ce serai super sympa

@+

Nicolas
Avatar de l’utilisateur
super_ptit_nico
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 20 Fév 2006 11:32
Localisation: Morestel (isère)

Messagepar Poupou94 » 19 Juin 2007 16:02

Bonjour,

Dans BOT
Nouvelle règle
Source: Bleu
Destination: accès à IPCop
Action: refuser

A mettre en premier dans la liste

Cela devrait le faire

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar super_ptit_nico » 21 Juin 2007 21:56

Salut Pascal,

merci pour ta réponse :),

alors j'ai mis la regle:

source : inteface bleu - reseau par default blue network
destination : accès à ipcop sans stipuler de service utilisé
refuser

et la les postes bleu non accès à plus rien :-(

j'ai essayé de mettre en destination refusée:

accès ipcop service https resultats: accès au net et au webgui d'ipcop

accès ipcop administration ipcop resultats: pareil

autre reseau - ip 192.168.3.1 (ip d'ipcop) resultats: pareil

je croix que je vais devoir abdiquer, tampis les utilisateurs pourront voir la page d'acceuil d'ipcop mais sans mot de passe il ne pourront rien faire...

Nicolas
Avatar de l’utilisateur
super_ptit_nico
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 20 Fév 2006 11:32
Localisation: Morestel (isère)

Messagepar Poupou94 » 22 Juin 2007 09:31

Bonjour,

Tu ne serais pas en train de faire une confusion entre https port 443 et 445 port de management par défaut d'IPCop ?

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar super_ptit_nico » 23 Juin 2007 18:01

Salut Pascal,

J'ai mal noté la regle, en fait je voulais dire:

accès ipcop service ipcop https (service que j'ai créé dans la configuration avancé de BOT qui concerne bien le port 445)

je seche completement la dessus ! :(

je ne comprend pas pourquoi : (cf page fr de BlockOutTraffic http://www.blockouttraffic.de/gettingstarted_fr.php)

"Adresse MAC d'administration:
Il s'agit de l'adresse MAC de la carte réseau du poste de travail à partir duquel vous administrez BOT.

Port HTTPS (445 par défaut):
Il s'agit du numéro de port HTTPS utilisé pour accéder au WebGUI de IPCop.

BOT crée par défaut une règle 'Accès Administrateur' avec comme adresse source l'adresse MAC du poste de travail et comme adresse de destination, le port HTTPS du serveur IPCop. Cela sert à garantir que vous ne vous ferez pas interdire l'accès à l'interface WebGUI de IPCop. C'est pour cette raison que vous devez entrer une adresse MAC Administrateur et un port HTTPS ici."


Si tout le monde du reseau vert ou bleu peut avoir accès à la page d'admin d'ipcop ???

ya un truc qui m'échappe !

Merci encore pour ta réponse,

nicolas
Avatar de l’utilisateur
super_ptit_nico
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 20 Fév 2006 11:32
Localisation: Morestel (isère)

Messagepar Poupou94 » 25 Juin 2007 15:38

Bonjour,

J'ai mis cela

Source:
Interface par defaut: Vert ( je n'ai pas de bleu)
Format de l'adresse IP Adresse source 192.168.10.210 ( la machine qui ne doit pas atteindre le GUI)

Destination:
Accès à IPCop
Réseau par défaut Any
Service utilisé ( important de mettre la coche)
Services IPcop ( que j'ai défini dans la partie avancée sur mon port de management 545 tcp)
Règle activé
Action de la règle Refuser
et le tout en début de liste.
Donc pas d'accès au gui mais accès à Internet

pour vérifier un petit
iptables -L BOT_INPUT -v
Chain BOT_INPUT (1 references)
pkts bytes target prot opt in out source destination
215 9696 ACCEPT tcp -- eth0 any anywhere anywhere MAC 00:18:FE:64:94:4E tcp dpt:appleqtcsrvr
1 48 LOG tcp -- eth0 any 192.168.10.210 anywhere tcp dpt:appleqtcsrvr limit: avg 10/min burst 5 LOG level warning prefix `GREEN-DROP '
1 48 DROP tcp -- eth0 any 192.168.10.210 anywhere tcp dpt:appleqtcsrvr
402 50342 ACCEPT all -- eth0 any 192.168.10.0/26 anywhere
0 0 ACCEPT tcp -- eth0 any 192.168.10.64/26 anywhere tcp dpt:pop3
0 0 ACCEPT tcp -- eth0 any 192.168.10.64/26 anywhere tcp dpt:smtp
3636 419K ACCEPT all -- eth0 any 192.168.10.128/25 anywhere
29 6641 DROP all -- eth0 any anywhere anywhere

à la troisième ligne on voit le DROP pour l'adresse 192.168.10.210 sur le port 545 (Appleqtcsrv) que j'utilise à la place du 445.

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar oxiBen » 13 Août 2007 17:20

Il te suffit d'aller dans "ACCES Bleu" du menu "PARE-FEU" d'IPCop et de supprimer toutes les clients situés dans ce menu et ça devrait aller ...
oxiBen
Matelot
Matelot
 
Messages: 1
Inscrit le: 13 Août 2007 17:13


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité