Blocage IP entrantes

[mongolito404]

Hoi, <BR> <BR>je voudrait pouvoir filtrer les paquets entrant vers mon NAT en fonction des adresses IPs sources. A la base toute connection sur un port forwardé (via l'interface web) vers une des machines de mon LAN doit fonctionner, sauf si la source se trouve dans une liste remise à jour de temps en temps. <BR> <BR>J'ai un peu cherche ici et ailleur pour la solution mais j'ai pas trouvé, donc je me permet de poster un nouveau sujet. <BR>Apparement, de ce que je lis dans ce forum, utiliser iptables sous ipcop n'est pas dificile, on utilise la commande et on y fait a peut pret ce que l'on veut... Donc je superpose qu'il doit y avoir moyen de faire ce que je veux faire on se mettant sérieusement à iptables. Le hic pour moi c'est que j'ai pas trop le temps ni l'envie de me mettre vraiment a iptables. Heureusement j'ai trouve un site qui offre un script qui générèe un script bash pour mettre à jour ses règles via iptables. Mais la, comme je suis pas sur, je me demande si ca marchera sous IPCop ou si je risque d'avoir des problèmes. Si c'est plus ou moins bon, que dois-je modifier? Une fois bon, comment faire pour que les règles soient toujours prise en compte entre les reboot du système? <BR> <BR>le script généré ressemble à ça:

Code: Tout sélectionner

<BR>#!/bin/bash <BR> <BR># Create special MLDONKEY chain <BR>iptables -t filter -N MLDONKEY <BR>iptables -t filter -F MLDONKEY <BR> <BR># Create the logdrop chain to log & drop a packet <BR>iptables -t filter -N MLDONKEY_LOGDROP <BR>iptables -t filter -F MLDONKEY_LOGDROP <BR>iptables -t filter -A MLDONKEY_LOGDROP -j LOG --log-prefix "MLDONKEY" <BR>iptables -t filter -A MLDONKEY_LOGDROP -j DROP <BR> <BR># Jump to the special MLD chain at the end of the INPUT chain (commented out) <BR>#iptables -t nat -A INPUT -j MLDONKEY <BR> <BR># List of ip ranges to ban <BR>iptables -t filter -I INPUT 1 -s 66.111.55.150/31 -j MLDONKEY_LOGDROP <BR>iptables -t filter -I INPUT 1 -s 66.111.55.152/29 -j MLDONKEY_LOGDROP <BR>iptables -t filter -I INPUT 1 -s 213.150.42.178 -j MLDONKEY_LOGDROP

[grosbedos]

euh ben la a par creer des logs tu ne fait rien... <BR>oups j'avais pas vu le drop.. <BR>_________________ <BR>Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber<BR><BR><font size=-2></font>

[tomtom]

Je recapitule ton affaire..... <BR> <BR>tu as un serveur dans le green. <BR>Les paquets qui arrivent depuis Internet sur le RED sur un port particulier doivent etre forwardées vers ce serveur, sauf ceux provenant d'ip paticulières, c'est ça ? <BR> <BR>Si ou je te conseille cette methode : <BR> <BR>- Tu fais ton transfert de port via le GUI <BR> <BR>- Tu edites le fichier rc.firewall <BR> <BR>- Tu cherches les lignes qui correspondent à ton transfert. Il y a fort à parier qu'elles sont de la forme : <BR>iptables -t nat -A CUSTOMPREROUTING -p tcp --dport ton_num_de_port ... -j DNAT --to @server_lan:port <BR> <BR>avant ces lignes, tu ajoutes : <BR> <BR>iptables -t nat -A CUSTOMPREROUTING -p tcp --dport ton_num_de_port -s @ip_a_bloquer -j DROP <BR> <BR>(une lige comme ça par ip à bloquer. Tu peux aussi bloquer des plages entières de reseaux en utilisant la notation /24) <BR> <BR>Ca devrait repondre à tes besoins.... <BR> <BR> <BR> <BR>T.

[grosbedos]

euh oui rajoute les apres le paragraphe qui traite de custometc... <BR> <BR>les regles dont parles tom n'existe pas.. (il a pas encore essayer ipcop..li pov lol, c'est pas trop de sa faute..)

[tomtom]

Oups bien vu GrosBedos, c'est vrai que j'ai du mal à piger vraiment le fonctionnement de cette distrib... Je ne sais pas pourquoi les gens font toujours compliqué, c'est si simple d'avoir toutes les règles au même endroit <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR> <BR>ENfin, il faudra que je m'y mette un jour, pour arreter de dire des co***ries;; <BR> <BR>En tous les cas, mettre les règles dans CUSTOMPREROUTING devrait etre efficace.. <BR> <BR>T.

[mongolito404]

Ok, je vais faire comme ca alors, merci bien. <BR>Reste plus qu'a me faire un petit script pour regénérer le fichier quand je veux mettre à jour ma liste d'IP a bloquer. <BR>Juste une dernière question pour la route <BR>dans la ligne <BR>iptables -t nat -A CUSTOMPREROUTING -p tcp --dport ton_num_de_port -s @ip_a_bloquer -j DROP <BR>Si je vire le "--dport ton_num_de_port", est-ce que ca bloquera toutes les communications sur tous les ports? Sinon je dois mettrez quoi pour bloquer tous les ports en même temps?

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR> <BR>dans la ligne <BR>iptables -t nat -A CUSTOMPREROUTING -p tcp --dport ton_num_de_port -s @ip_a_bloquer -j DROP <BR>Si je vire le "--dport ton_num_de_port", est-ce que ca bloquera toutes les communications sur tous les ports? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>Oui <BR> <BR>T.

[mongolito404]

Encore une question... en parcourant ce forum, je lis qu'il vaut mieux limiter le nombre de reglès dans lequelles passe un packet, genre 5 regles maximum. Hors si je comprends bien, je dois utiliser la commande iptables et ajouter une règle pour chaque adresse (ou plage d'adresses) que je souhaite bloquer, donc si je souhaite bloquer 200 adresses, j'ajoute 200 règles. Est-ce que ca risque de poser un problème, ou est-ce que les régles se basant uniquement sur les ip sources des packets ne sont pas limitative du coté des performances?

[grosbedos]

tomtom a dit : <BR>(une ligne comme ça par ip à bloquer. Tu peux aussi bloquer des plages entières de reseaux en utilisant la notation /24) <BR> <BR>ben si tu n'as pas le choix, fait tes 200 regles!! <BR>c'est sur que plus il y a de regles et plus sa consomme de ressource, et plus sa peut ralentir le reseau, tu verras bien!

[grosbedos]

tu peux aussi faire un petit script pour automatiser tout ca, genre les ip a banir se trouve dans le meme repertoire que ce script dans un fichier ip_ban.txt <BR>------------------------------------------------------ <BR># Lecture une par une des lignes de ip_ban.txt <BR>cat ip_ban.txt | while true <BR>do <BR> read ligne <BR># c'est la fin du fichier - sortie brutale de la boucle <BR> if [ "$ligne" = "" ] <BR> then <BR> break <BR> fi <BR># on recup les adresses <BR> set -- $ligne <BR> ip=$1 <BR> iptables -I FORWARD -s $ip -j ......... <BR> echo IP bannie $ip <BR>done <BR># fin boucle <BR>-------------------------------------------------------- <BR> <BR>le fichier texte doit contenir une ip par ligne..pas de commentaire etc.. <BR> <BR>sui motaïve aujourd'hui lol.. <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>_________________ <BR>Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber<BR><BR><font size=-2></font>