Bloquer les utilisateurs du LAN

[Beny]

Bonjour, <BR> <BR> J'ai bien cherché sur le web et sur différents forums, mais je n'arrive pas à répondre à cette question : <BR> <BR>Avec IpCop (j'utilise la v1.2), comment faire pour bloquer TOUS les utilisateurs de mon LAN ? <BR> <BR>Je m'explique : je souhaite utiliser IpCop dans mon labo, juste entre le modem/routeur et le switch 192.168.0.0/24. Pour éviter les abus, je souhaite bloquer toutes les adresses 192.168.0.0/24 et n'autoriser que quelques une à sortir sur le web, sur un port donné. Exemple <BR> <BR>Bloquer tout le monde sauf : <BR>192.168.0.1 vers 0.0.0.0 sur le port 80 en TCP <BR>192.168.0.1 vers 0.0.0.0 sur le port 53 en UDP <BR>192.168.0.2 vers 0.0.0.0 sur le port 25 en TCP <BR>192.168.0.2 vers 0.0.0.0 sur le port 53 en UDP <BR>... <BR> <BR>L'idéal serait de pouvoir utiliser l'interface HTML (et surtout la partie DMZ pinholes dont je ne vois pas l'utilité) pour ajouter/modifier/supprimer ces adresses IP. Pour cela, j'ai essayé de modifier ma config IpCop comme suit (de mémoire) : <BR> <BR>1°/ <BR>dans /etc/rc/rc.firewall.up : <BR>ipchains -I input -i eth0 -j dmzholes (eth0 = 192.168.0.254 = patte vers modem/routeur) <BR> <BR>2°/ <BR>mv /usr/local/bin/setdmzholes /usr/local/bin/dmzholes2 <BR> <BR>3°/ <BR>édition de /usr/local/bin/setdmzholes : <BR> <BR>#!/bin/bash <BR>/usr/local/bin/dmzholes2 <BR>ipchains -A dmzholes -j DENY -p tcp -s 192.168.0.0/24 -d 0.0.0.0 <BR> <BR>4°/ <BR>chmod 750 /usr/local/bin/setdmzholes <BR>chmod u+s /usr/local/bin/setdmzholes <BR> <BR>5°/ redemarrage firewall pour prise en compte de tout ça <BR> <BR>6°/ Test avec ajout de règles dans la pertie HTML Services > DMZ pinholes <BR> <BR>Je vois qu'apparement cela marchotte (vérification avec ipchains -L dmzholes -n, et les règles sont bien présentent dans /var/ipcop/dmzholes/config), mais cela me semble bien bancal et cela ne marche pas toujours (j'ai refais la config sur une autre passerelle de test et cela ne focntionne pas)... <BR> <BR>MES QUESTIONS : <BR> - IpCop est-il le bon outil pour ce genre de fonctionnement ? <BR> - Existe t-il des modules déjà prêt pour atteindre mon but ? <BR> - Quelqu'un s'est-il déjà confronté à ce problême ? <BR> <BR>En bref : HELP !! <BR> <BR>Merci de votre aide à tous <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR> <BR>Ben. <BR> <BR> <BR> <BR> <BR>

[YT-1300]

Je pense que tu devrais trouver ton bonheur içi : <BR> <BR><!-- BBCode auto-link start --><a href="http://antolien.free.fr/ipcop/ip.htm" target="_blank">http://antolien.free.fr/ipcop/ip.htm</a><!-- BBCode auto-link end --> <BR> <BR>@+tard

[Beny]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-09-08 18:24, YT-1300 a écrit: <BR>Je pense que tu devrais trouver ton bonheur içi : <BR> <BR><!-- BBCode auto-link start --><a href="http://antolien.free.fr/ipcop/ip.htm" target="_blank">http://antolien.free.fr/ipcop/ip.htm</a><!-- BBCode auto-link end --> <BR> <BR>@+tard <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Je souhaite plutôt faire l'inverse, c'est à dire tout bloquer et autoriser quelques adresses à sortir... <BR> <BR>Merci quand même <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Ben.

[antolien]

De toute façon c'est pour la version 1.3 et iptables, donc ça n'irait pas...

[Beny]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-09-08 20:06, antolien a écrit: <BR>De toute façon c'est pour la version 1.3 et iptables, donc ça n'irait pas... <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>C'est bon, j'ai trouvé comment le faire sans manip particulkière avec une MNF 9.0 <BR> <BR>Merci.