Tous bloquer avant et ensuite donner quelquesaccès

[sisg]

Bonjour vous tous, <BR> <BR>Ma question aujourd'hui est comment tous bloquer avant (ports,etc) et ensuite donner quelques accès au fur et à mesure des besions ??? (80,21,etc.) Je sais que ça ce fait... Et nous aurons ainsi une plus grande protection ! <BR> <BR>Merci ! <BR> <BR>Snoopyski <IMG SRC="images/smiles/icon_cry.gif">

[Breizh-Tux]

Je ne suis pas spécialiste d'IPCop mais es-tu sûr d'avoir lu la doc ??? <BR>Je serais surpris que cela ne figure nul part, mais je peux me tromper je ne suis pas un spécialiste d'IpCop !!! <BR>Et en dernier recours Google.fr ou google.fr/linux . <BR>Bonne Lecture . <BR> <IMG SRC="images/smiles/icon_biggrin.gif">

[sisg]

Bonjour, <BR> <BR>Merci de tont suivi, mais j'ai beaucoup fait de recherche et le seul que j'ai trouvé c'est la doc de Antolien et qui ne fonctionne pas... <!-- BBCode auto-link start --><a href="http://www.antolien.free.fr." target="_blank">www.antolien.free.fr.</a><!-- BBCode auto-link end --> Lorsque j'applique les 2 ligne dans rc.firewall, rien ne fonctionne même pas port 80 !!! <BR> <BR>Entoucas! si tu voix le site et que tu peux m'aider... Merci ! <BR> <BR>Snoopyski <BR>

[Breizh-Tux]

Donne-nous des extraits des commandes : <BR>iptables -t nat -L -n <BR>et <BR>iptables -L -n <BR> <BR>Merci <IMG SRC="images/smiles/icon_biggrin.gif">

[Breizh-Tux]

Par exemple chez moi avec deux sous-réeaux ,voici iptables -t nat -L -n : <BR>Chain PREROUTING (policy ACCEPT) <BR>target prot opt source destination <BR>REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128 <BR> <BR>Chain POSTROUTING (policy ACCEPT) <BR>target prot opt source destination <BR>MASQUERADE all -- 192.168.1.0/24 0.0.0.0/0 <BR>MASQUERADE all -- 192.168.0.0/24 0.0.0.0/0 <BR> <BR>Chain OUTPUT (policy ACCEPT) <BR>target prot opt source destination <BR> <BR>[La chaine prerouting correspond à une redirection du port 80 vers celui de squid pour la transparence!] <BR> <BR>La translation d'adresse est ici : <BR>MASQUERADE all -- 192.168.1.0/24 0.0.0.0/0 <BR>MASQUERADE all -- 192.168.0.0/24 0.0.0.0/0 <BR> <BR>Voila pour ce qui est du partage de connexion internet, l'autre commande est un peu longue et pas tres marrante à éplucher chez moi. <BR> <BR> <IMG SRC="images/smiles/icon_biggrin.gif">

[Breizh-Tux]

voici un iptables -L -n assez clair : <BR>Chain INPUT (policy DROP) <BR>target prot opt source destination <BR>ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED <BR>DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 <BR>ACCEPT tcp -- 192.168.0.0/24 192.168.0.2 tcp dpt:22 <BR>ACCEPT tcp -- 192.168.0.0/24 192.168.1.0/24 tcp dpt:22 <BR>ACCEPT tcp -- 192.168.0.0/24 192.168.0.2 tcp dpt:10000 <BR>ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 <BR>ACCEPT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:3128 <BR>REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable <BR> <BR>Chain FORWARD (policy ACCEPT) <BR>target prot opt source destination <BR> <BR>Chain OUTPUT (policy ACCEPT) <BR>target prot opt source destination <BR> <BR>Avec le nat et ce filtrage tout est bloqué et j'ouvre au fur et à mesure ... <BR> <BR> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <IMG SRC="images/smiles/icon_up.gif"> Iptables/Netfilter

[grosbedos]

ce qui est sur le site d'anto fonctionne, <BR>donne nous ce que tu as rajouter et ou la tu fais

[micjack]

Quel editeur utilise tu, VI ? ou un editeur sous Win ?

[antolien]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-08-25 19:24, sisg a écrit: <BR>Bonjour, <BR> <BR>Merci de tont suivi, mais j'ai beaucoup fait de recherche et le seul que j'ai trouvé c'est la doc de Antolien et qui ne fonctionne pas... <!-- BBCode auto-link start --><a href="http://www.antolien.free.fr." target="_blank">http://www.antolien.free.fr.</a><!-- BBCode auto-link end --> Lorsque j'applique les 2 ligne dans rc.firewall, rien ne fonctionne même pas port 80 !!! <BR> <BR>Entoucas! si tu voix le site et que tu peux m'aider... Merci ! <BR> <BR>Snoopyski <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Et bien, c'est certain que ça fonctionne <IMG SRC="images/smiles/icon_biggrin.gif"> , ça à été testé pendant pas mal de temps, et ça fonctionne encore avec les 1.3.1alphas, <BR>et dans l'adresse il n'y a pas de www, <!-- BBCode auto-link start --><a href="http://antolien.free.fr/ipcop/policie.htm" target="_blank">http://antolien.free.fr/ipcop/policie.htm</a><!-- BBCode auto-link end --> <BR> <BR>Si ça ne fonctionne pas, c'est qu'il y a un problème dans l'ordre des règles, et / ou la règle " /sbin/iptables -A FORWARD -i $GREEN_DEV -j DROP" qui est restée en accept ... <IMG SRC="images/smiles/icon_cry.gif">

[JuLeS]

Je confirme, tout ce qu'il y a sur le site d'Antolien, ça marche impeccable <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR>Merci Antolien <IMG SRC="images/smiles/icon_bise.gif">

[sisg]

Bonjour Antolien, <BR> <BR>Merci pour ton site... j'ai découvert que tous les protocoles fonctionnes sauf 80 !!! trouvez l`erreur !!! <BR> <BR>Merci A+ <BR> <BR>Snoopyski <BR>

[antolien]

Il faut que tu nous en dise plus , déjà ce que tu as changé où , comment . Et le résultat d'un iptables -L, enfin tout ce qui à été demandé plus haut...<BR><BR><font size=-2></font>

[tomtom]

[out of topic] <BR>Tu te lèves trop tôt Antolien <IMG SRC="images/smiles/icon_wink.gif"> <BR>[/out of topic] <BR> <BR>En fait pour le sujet rien de plus à ajouter, ça marhce les modifs sus-dites.... <BR> <BR>T.

[antolien]

Je viens de penser à un truc, si le proxy est activé, il faudrait peut-être ajouter le port 800. Mais je suis pas sûr car la destination c'est bien le 80, même si c'est changé après avec le prerouting... à voir...

[tomtom]

Ha non Anto ! <BR>Le prerouting, c'est avant le filter, donc le port destination est modifié AVANT de passer dans les règles de filter, et donc il faut bien l'ajouter <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>t.