Règles iptables....

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar micj » 15 Août 2003 22:00

Apparement un certain nombre de crack d'iptable ont considérablement modifié les rules standards installées à l'origine dans le package d'IPcop <BR> <BR>Ces gentils utilisateurs pourraient-ils partager leur travail et connaissance avec nous? <BR> <BR> <BR>Merci d'avance
Avatar de l’utilisateur
micj
Amiral
Amiral
 
Messages: 1142
Inscrit le: 20 Fév 2002 01:00
Localisation: Braine-L'Alleud/Belgique

Messagepar antolien » 15 Août 2003 22:54

Je suis loin d'être un crack en iptables. Néanmoins, l'ajout de l'antispoofing et le changement de la politique par défaut d'ipcop sont interressants. Autoriser juste les protocoles dont on a besoin en sortie me parraît plus serieux. Tu peux voir les différentes choses sur mon site. Par contre, la méthode que j'utilises pour changer les règles est différente de ce que je vois un peu partout, car je travailles directement avec le rc.firewall, donc il faut faire attention.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar micj » 16 Août 2003 09:04

Apparement beaucoup de modifications sont faites sur le rc.local ... avantage on peut plus facillement nettoyer ... mais quel est l'order d'exécution?
Avatar de l’utilisateur
micj
Amiral
Amiral
 
Messages: 1142
Inscrit le: 20 Fév 2002 01:00
Localisation: Braine-L'Alleud/Belgique

Messagepar antolien » 16 Août 2003 09:26

je crois que le rc.firewall est d'abord executé, ensuite le rc.local. <BR>Ce que je trouve un peu bète, c'est de charger des règles, et d'en lancer d'autres après qui font le contraire. C'est pour ça que je change directement les règles par défaut, ça me parraît plus logique. De plus, je sauvegarde le rc.firewall dans le /root avant de le modifier; comme ça en cas de problème, je le recharge et c'est reparti...
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar GozerX99 » 16 Août 2003 11:16

je suis d'accord avec antolien (enfin, c'est aussi une affaire de gout <IMG SRC="images/smiles/icon_smile.gif"> <BR>j'ai fais pareil ... modifs dans le rc.firewall <BR> <BR>Je rejoins également antolien, sur le fait de toujours faire des sauvegardes avant d'effectuer des modifs (comme ca, le retour en arrière est possible, et rapide ... c'est valable pour tout d'ailleurs dans la mesure du possible !) <BR>
Avatar de l’utilisateur
GozerX99
Aspirant
Aspirant
 
Messages: 131
Inscrit le: 11 Juin 2003 00:00

Messagepar micj » 16 Août 2003 17:12

L'inconvénient de votre système est qu'une mise à jour d'IPCop peut écraser le rc.firewall ... <BR> <BR>Mais c'est juste une idée comme cela...
Avatar de l’utilisateur
micj
Amiral
Amiral
 
Messages: 1142
Inscrit le: 20 Fév 2002 01:00
Localisation: Braine-L'Alleud/Belgique

Messagepar Gesp » 16 Août 2003 17:29

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> je crois que le rc.firewall est d'abord executé, ensuite le rc.local. <BR>Ce que je trouve un peu bète, c'est de charger des règles, et d'en lancer d'autres après qui font le contraire. </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Au <!-- BBCode Start --><B>démarrage de la machine</B><!-- BBCode End -->rc.firewall est lancé pour activer la protection, éventuellement laisser rentrer ce qui a besoin (DHCP par exemple) puis rc.local pour stocker les règles particulières <BR> <BR>A l'établissement de la première connection et des suivantes rc.firewall est relancé (en tenant compte des règles définies dans rc.local) pour actualiser les règles en fonction de l'adresse IP attribuée à la connection. <BR> <BR>A chaque arrêt de la connection, on referme la porte pour ne pas avoir de courant d'air <IMG SRC="images/smiles/icon_lol.gif"> <BR><BR><font size=-2></font>
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar micj » 16 Août 2003 17:33

Donc en clair modifier rc.local en adaptant des règles se trouvant dans rc.firewall n'est pas une bonne méthode! Puisque c'est rc.firewall, rc.local et enfin rc.firewall qui sont exécutés en séquence... <BR> <BR>
Avatar de l’utilisateur
micj
Amiral
Amiral
 
Messages: 1142
Inscrit le: 20 Fév 2002 01:00
Localisation: Braine-L'Alleud/Belgique

Messagepar Gesp » 16 Août 2003 17:52

Si <BR>J'ai essayé d'être un peu plus clair dans le post précédent. <BR> <BR>A chaque fois (sauf la toute première ou il ne fait que tout fermer, enfin pas tout à fait peut-être mais pas loin), rc.firewall applique les règles CUSTOM de rc.local.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar GozerX99 » 16 Août 2003 20:44

pour répondre à micj, c'est vrai que rc.firewall peut être écrasé à chaque mise à jour IPCop, c'est pour ca que j'ai mis les modifs de côté de manière à les copier-coller si elles sont perdu. <BR> <BR>NB: pour moi, le rc.local ne convenait pas bien, car le bloc de règle CUSTOM n'était pas assez bien placé ... (et j'avais la flemme de faire mumuse avec l'insertion des règles à des emplacements particuliers <IMG SRC="images/smiles/icon_smile.gif">
Avatar de l’utilisateur
GozerX99
Aspirant
Aspirant
 
Messages: 131
Inscrit le: 11 Juin 2003 00:00

Messagepar Riric » 22 Août 2003 15:26

savez-vous où trouver un bon tutorial sur iptables, sur ce que l'on peut faire ou ce qu'il ne fait pas faire...etc... <BR> <BR>Thanks
Avatar de l’utilisateur
Riric
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 318
Inscrit le: 24 Mars 2003 01:00
Localisation: Près de Grenoble

Messagepar tomtom » 22 Août 2003 16:05

A la source ! <BR> <BR><!-- BBCode auto-link start --><a href="http://www.netfilter.org/documentation/index.html#HOWTO" target="_blank">http://www.netfilter.org/documentation/index.html#HOWTO</a><!-- BBCode auto-link end --> <BR> <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Riric » 22 Août 2003 17:03

bon j'avoue je connaissais, mais ça m'avait pas parru passionant la première fois... <BR> <IMG SRC="images/smiles/icon_find.gif"> <BR> <BR>bref, je vais prendre mon courage à 2 mains...
Avatar de l’utilisateur
Riric
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 318
Inscrit le: 24 Mars 2003 01:00
Localisation: Près de Grenoble


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron