Ipcop 1.3.0 et règles iptables

[lucyfire]

Bonjour, <BR> <BR>je voudrais demarrer des regles iptables en fin de demarrage d'ipcop mais ils faut que la ipcopbox soit connecté à internet pour pouvoir fonctionner (je coupe des noms de sites genre scsa.yahoo.com, etc etc...), si je les ajoute dans rc.firewall le demarrage ne vas pas plus loin car le DNS ne répond pas aux règles. <BR> <BR>est ce quelqu'un a des idées ? <BR> <BR>

[micj]

Pourrais-tu être plus clair? <BR> <BR>Que veux-tu faire? Qu'as-tu fait jusqu'à présent? <BR> <BR>

[grosbedos]

si tu veux faire simple rajoute ca a la fin du /etc/rc.d/rc.sysinit <BR> <BR>mais faut les relancer a chaque reconnexion aussi, la tu peux aller voir dans /etc/rc.d/rc.updatered.. dans la derniere condition faut rajouter tes regles

[lucyfire]

voilà les règles(qui coupe a l'heure ou je parle la connexion a yahoo messenger) en question qui lorqu'elle sont mises dans rc.firewall empèche la ipcopbox de demarrer jusqu'au bout (car on est pas ecore connecter a internet) ex scsa.yahoo.com cache pas loin de 5 adresses ip en fait que iptables ne peut pas résoudre tant que la connexion est etablie donc l'execution du script s'arrete. <BR> <BR>en resumé je veux lancer mon script uniquement lorsque je suis sur que ipcop s'est connecté à internet. <BR> <BR>/sbin/iptables -I FORWARD -s 192.168.2.0/24 -p tcp --dport 5050 -j DROP <BR>/sbin/iptables -I FORWARD -d scs.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d scsa.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d cs.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d scs-fooa.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d scs-foob.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d scs-fooc.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d scs-food.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d scs-fooe.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d scs-foof.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d http.pager.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d msg.edit.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d chat.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d messenger.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d address.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>

[tomtom]

Bon, moi ca me parait assez clair... <BR> <BR>Tu peux creer un petit script executables, que tu places dans rc.d et que tu renseignes dans rc.local <BR> <BR>Soit tu te debrouilles pour qu'il demarre apres la connexion réseau <BR> <BR>soit tu le betonnes avec une boucle while qui fait un ping (le code de retour est si il y a une reponse, <> 0 sinon) <BR> <BR>genre <BR> <BR> <BR>while ping -c 1 ip_de_ton_dns <BR>do <BR>done <BR> <BR>iptables -A FORWARD .... <BR> <BR> <BR>Tom <BR> <BR> <BR>mais au fait, si tu utilises Dans, pourquoi ce double-emploi ??? <BR> <BR>Tom

[lucyfire]

je vais tester la solution de grosbedos.

[lucyfire]

ça marche au poil évidement ! j'y ai pas pensé du tout j'aurais trouvé pour rc.sysinit mais pas pour la reconnecion en rc.updatered <BR> <BR>merci. <BR> <BR>voilà le script entier qui permet de se debarraser de msn mess yahoo mess et aol mess la section kazaa n'est pas encore testé. Je n'ai rien contre ces programmes mais dans un lycée ça evite de daubé mes stations. <BR> <BR>#!/bin/sh <BR> <BR>/sbin/iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE <BR> <BR># Msn Messenger <BR>/sbin/iptables -I FORWARD -s 192.168.2.0/24 -p tcp --dport 1863 -j DROP <BR> <BR># AOL Messenger <BR>/sbin/iptables -I FORWARD -s 192.168.2.0/24 -p tcp --dport 5190 -j DROP <BR>/sbin/iptables -I FORWARD -s 192.168.2.0/24 -p tcp --dport 4099 -j DROP <BR> <BR># Yahoo Messenger <BR> <BR>/sbin/iptables -I FORWARD -s 192.168.2.0/24 -p tcp --dport 5050 -j DROP <BR>/sbin/iptables -I FORWARD -d scs.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d scsa.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d cs.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d scs-fooa.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d scs-foob.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d scs-fooc.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d scs-food.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d scs-fooe.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d scs-foof.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d http.pager.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d msg.edit.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d chat.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d messenger.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -I FORWARD -d address.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR> <BR># Kazaa <BR>#/sbin/iptables -A INPUT -i ppp0 -p tcp --dport 1214 -j REJECT --reject-with tcp-reset <BR>#/sbin/iptables -A FORWARD -i ppp0 -p tcp --dport 1214 -j REJECT --reject-with tcp-reset <BR>#/sbin/iptables -I FORWARD -p tcp -m string --string "KazaaClient" -j REJECT --reject-with tcp-reset <BR>

[oliviez]

Excusez moi mais c koi la "ipcopbox", je suis encore en 1.2 donc si c du 1.3...

[tomtom]

Non lol je crois que ça veux juste dire "pc ipcop" en néolangage informaticien <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Tom

[lucyfire]

oui pardonnez moi je parle fran-anglais assez souvent... <IMG SRC="images/smiles/icon_biggrin.gif"> c'est bien le pc dedié a ipcop qu'il faut lire.