Comment tout bloquer

par **elpacino** » 14 Mai 2003 10:56

Bonjour, j'ai lu dans le forum qu'IPCop faisait ''confiance'' aux utilisateurs de la zone verte... mais j'aimerais savoir comment tout bloquer, c'est-à-dire que personne ne puisse sortir, il me faut en faite une règle qui bloque tous les accès...

par **tomtom** » 14 Mai 2003 11:07

J'aime tes quesions car je sais y repondre <IMG SRC="images/smiles/icon_smile.gif"> pour empecher tous les transferts vers le net : iptables -I FORWARD -i $iface_red -j DROP (à la fin du fichier de conf rc.firewall) (avec $iface_red = ton interface sur le lan ex : eth0 chez moi) Ensuite, tu peux ouvrir quelques ports ex : iptables -I FORWARD -i $iface -p tcp --dport 80 -j ACCEPT (pour le web only par exemple). Il faut mettre ces règles après la precedente pour qu'elle soient en fait lues avant. Je sais c'est pas logique, c'est à cause du -i qui fait une insertion en tête et qui permet de placer ces règles avant les autres, pour aviter de mauvaises surprises <IMG SRC="images/smiles/icon_smile.gif"> L'avantage de iptables, c'est que même en bloquant tout, tu gardes l'acces à ta passerelle <IMG SRC="images/smiles/icon_smile.gif"> pratique <IMG SRC="images/smiles/icon_smile.gif"> Tom

par **elpacino** » 14 Mai 2003 11:10

mais est-ce qu'avec ce système, tu peux dire ouvrir le port 110 seulement pour le sous-réseau 192.168.20.0/28 par exemple, ou cela conserne nécessairement tout les sous-réseaux

par **tomtom** » 14 Mai 2003 11:13

tu peux parfaitement le faire pour un sous-reseau seulement : 192.168.20.0/28 pour ton exemple : La première règle reste la même. La seconde devient : iptables -I FORWARD -i $iface_lan -s 192.168.20.0/28 -p tcp --dport 110 -j ACCEPT Nota pour mon message precedent : bien sur, j'ai appelé mon interface $iface_red alors que c'est l'interface du green, n'importe quoi <IMG SRC="images/smiles/icon_smile.gif"> Je l'appelle $iface_lan maintenant, c'est plus logique mais ça ne change rien, c'est juste une variable <IMG SRC="images/smiles/icon_smile.gif"> Tom

par **elpacino** » 14 Mai 2003 11:29

voilà ce que j'ai fait: iptables -I FORWARD -i eth0 -j DROP iptables -I FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT Mais après ça, je n'ai plus la résoltion de nom, donc j'ajoute iptables -I FORWARD -i eth0 -p tcp --dport 53 -j ACCEPT Le problème, c'est que ça marche pas <IMG SRC="images/smiles/icon_bawling.gif"> je sort sur internet mais la résolution ne marche plus _________________ Il y a 10 façons de voir le monde, ... ceux qui savent compter en binaire et les autres

par **tomtom** » 14 Mai 2003 11:32

2 ptites choses : - La resolution de noms, ca se fait essentiellement en udp, mais parfois aussi en tcp, je te laisse deviner la très légère modification à apporter à ta ligne et à recopier pour avoir les 2 <IMG SRC="images/smiles/icon_smile.gif"> - Tu n'utilises pas ton IPCop comme relais DNS ? Si oui, tes clients devraient tous avoir le ipCop comme DNS, et je ne pense pas qu'il devrait y avoir de problèmes de resollution ! En plus, ça te fait cache de noms... Tom

par **elpacino** » 14 Mai 2003 11:34

- j'y ai pensé, c'est pour ça que j'ai aussi mis udp à la place de tcp, mais ça ne change rien. - le DNS des machines se trouve à l'extérieurs de mon réseau

par **elpacino** » 14 Mai 2003 11:35

parce que si je fais un ping d'un nom dont je suis sûr qu'il n'est pas dans le cache, il le résut... donc ça devrait être OK

par **elpacino** » 14 Mai 2003 11:36

Pardon j'ai rien dis--- ça marche

par **tomtom** » 14 Mai 2003 11:37

- Tu as mis les 2 règles (une udp et une tcp ?) ca devrait marcher ! - Encore, même si le dns est en dehors, pourquoi ne pas utiliser ipcop comme relais ? ce serait bien plus propre du reste !

par **tomtom** » 14 Mai 2003 11:37

Oups, trop lent <IMG SRC="images/smiles/icon_lol.gif">

par **Digo** » 14 Mai 2003 12:04

Et si tu supprimais juste la passerelle par défaut sur les machines du réseau???

par **elpacino** » 14 Mai 2003 12:19

______________ Il faut mettre ces règles après la precedente pour qu'elle soient en fait lues avant. Je sais c'est pas logique, c'est à cause du -i qui fait une insertion en tête et qui permet de placer ces règles avant les ______________ je comprend as très bien... à la fin de mon rc.firewall, après le exit 0, je dois mettre : iptables -I FORWARD -i eth0 -j DROP les différentes règles d'ouverture... ça marche pas si je les met dans un fichier à part parce que j'aime pas éditer les fichiers ''systèmes'' <IMG SRC="images/smiles/icon_smile.gif">

par **elpacino** » 14 Mai 2003 12:27

j'ai la confirmation... ça marche aussi avec un fichier à part

par **tomtom** » 14 Mai 2003 12:32

Deja, ce serait avant le exit 0 !!!!! (exit ca sort du batch !) Pour le fichier à part, oui c'est possible. 2 possibilités : 1- tu ne veux pas du tout toucher au rc.firewall (c'est bien triste <IMG SRC="images/smiles/icon_wink.gif">) -> il faut que tu crees un autre fichier avec les droits d'execution (755 devrait etre ok), et que tu mettes ça dans le rc.d, et que tu l'ajoutes dans le rc.local (cf ton autre pbme <IMG SRC="images/smiles/icon_smile.gif">).. Pour qu'il s'execute au démarrage. Attention, il faut etre sur qu'il s'execute apres le rc.firewall (jouer sur les entrées du rc.local ou autres...) 2- Tu acceptes de mettre quand même une ligne dnas le rc.firewall, tu mets à la fin : source mes_regles.sh avec evidemment tes règles dans ce fichier. Avant le exit 0 bien sur. Mais bon, pour poi le plus propre c'est quand même de les mettre dans le rc.firewall, il sert à ça.. Et puis, quand tu ajoutes des forward dans le gui par exemple, il modifie bien ce fichier aussi ! Ce fichier est là pour ça ! Thomas

Comment tout bloquer

Qui est en ligne ?