bloquer certaine adresse MAC

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

bloquer certaine adresse MAC

Messagepar Osoktpt » 07 Juil 2008 09:49

Bonjour,

Chez un de nos clients, nous voudrions mettre en place une politique permettant d'interdire l'accès au réseau local pour les ordinateurs non enregistré. Je pensait mettre en place une solution a base d'iptables ( -m mac --mac-source ! xx:xx:xx:xx:xx:xx -j DROP ), mais je pense que ce sera trop lourd a géré.
Merci de vos infos.

Configuration: SME 7.3 en mode serveur et en controleur de domaine
Osoktpt
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 07 Juil 2008 09:42
Localisation: Montpellier

Messagepar jdh » 07 Juil 2008 11:38

Bonjour,

(Voilà un fil avec un problème bien posé, écrit en français. Bien, continues ... et corriges encore les quelques fautes d'orthographes ...)

La solution à laquelle tu penses me semble logique et efficace.

Mais pour quelle soit opérationnelle, il faudrait en faciliter la mise en oeuvre. Cela peut se faire avec un fichier d'adresses MAC et un (ou deux) scripts (bash) de génération de lignes iptables

Par exemple

Code: Tout sélectionner
cat fich-adrmac | while read adrmac
do
  echo "iptables -m mac -m $adrmac -j ACCEPT"
done


A ceci près, qu'il faut d'abord refuser tout puis autoriser seulement ce qui doit l'être. (d'où ACCEPT et non DROP).

La logique voudrait que ce soit réalisé avant toute autorisation. J'ignore quelles règles sont en place dans un SME en serveur only, ....
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Osoktpt » 07 Juil 2008 15:24

Merci pour ta réponse.

Je vais faire un test sur une machine en interne avant de la déployer.

D'abords un flush de ma table INPUT, puis le Drop par défaut.
Ensuite je testerais le script.

Juste une dernière petite question, dans ton code, pourquoi mets tu un echo devant ton iptables?

(Désolé si la question te parait idiote, je connais pas beaucoup iptables).
Osoktpt
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 07 Juil 2008 09:42
Localisation: Montpellier

Messagepar Osoktpt » 07 Juil 2008 15:58

Je viens de regarder la config iptables par défaut sur le serveur en mode "Server only".

La chaine INPUT contient par défaut:

Code: Tout sélectionner
state_chk  all  --  anywhere             anywhere           
local_chk  all  --  anywhere             anywhere           
PPPconn    all  --  anywhere             anywhere           
denylog    all  --  BASE-ADDRESS.MCAST.NET/4  anywhere           
denylog    all  --  anywhere             BASE-ADDRESS.MCAST.NET/4
InboundICMP  icmp --  anywhere             anywhere           
denylog    icmp --  anywhere             anywhere           
InboundTCP  tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN
denylog    tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN
InboundUDP  udp  --  anywhere             anywhere           
denylog    udp  --  anywhere             anywhere           
gre-in     gre  --  anywhere             anywhere           
denylog    gre  --  anywhere             anywhere           
denylog    all  --  anywhere             anywhere       


Dans mon script, si je flush ma table INPUT, je dois bien remettre ces règles, mais faut-il que je l'ai remette avant ou après mon
Code: Tout sélectionner
iptables -m mac -m $adrmac -j ACCEPT


Merci de vos précisions.
Osoktpt
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 07 Juil 2008 09:42
Localisation: Montpellier

Messagepar jibe » 07 Juil 2008 18:48

Salut,

Attention : dans SME, le firewall est auto-configuré par un mécanisme assez complexe de templates permettant de s'auto-adapter à chaque modification de configuration. Intervenir sur ce firewall demande préalablement non seulement une bonne connaissance d'Iptables, mais aussi du fonctionnement interne de SME.

Tu trouveras quelques éléments dans ce document, pas du tout à jour pour SME, mais qui permet de mettre en place sur FreeEOS des règles complémentaires interdisant certains accès à certains postes. Ca devrait te permettre de dégrossir le problème.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar Osoktpt » 09 Juil 2008 14:59

Merci de ta mis en garde.

Je vais plancher sur le lien que tu m'a passé et essayer de mettre en place mon filtrage.
Osoktpt
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 07 Juil 2008 09:42
Localisation: Montpellier


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité