configuration des droits d'acces Green -> RED

[lecheune]

Salut tout le monde ! <BR> <BR>Voila 3 jours que j'installe IPCOP sur des vieux PC histoires de me faire les pieds ... <BR> <BR>J'ai une architecture GREEN -ORANGE -RED <BR> <BR>Green = serveur1 (sensible) <BR>Orange = serveur2 (FTP+WEB) accessible depuis internet avec montage NFS sur serveur sensible <BR>Red = adsl hifocus <BR> <BR>DNS dynamique no-ip. <BR> <BR>Transfert de port : <BR> <BR>RED:21 -> serveur2 FTP:21 <BR>RED:80 -> serveur2 HTTP:80 <BR> <BR>Cela fonctionne. <BR> <BR>LA QUESTION : <BR> <BR>Je ne souhaite pas que mon serveur1 sensible puisse accéder à internet. <BR>D'apres ce que j'ai compris, depuis Internet personne ne peut accéder à mon serveur1. <BR> <BR>comment faire pour supprimer les acces de GREEN vers RED tout en conservant les acces GREEN -> ORANGE et RED -> ORANGE (FTP+WEB) <BR> <BR>????????????????????????????????????????? <BR>lecheune

[belugha]

Bonjour, <BR> <BR>Tout d'abord quelle version de Ipcop ? <BR>Sinon si c'est pour la 1.3, il suffit de mettre une regle iptables dans le rc.firewall afin d'interdire l'acces au web par le green. <BR> <BR>Une recherche sur le formum t'apportera la solution. <BR> <BR>Bon courage <BR> <IMG SRC="images/smiles/icon_smile.gif">

[carbone]

va voir la tu trouvera de tout et notamment comment tout bloquer sauf. <BR>Sans ça étudie les règles iptables <IMG SRC="images/smiles/icon_smile.gif"> <BR><!-- BBCode auto-link start --><a href="http://antolien.nerim.net/" target="_blank">http://antolien.nerim.net/</a><!-- BBCode auto-link end -->

[lecheune]

J'utilise la version 1.4.0a1

[belugha]

Donc le mieux est d'utiliser iptables <IMG SRC="images/smiles/icon_wink.gif">

[antolien]

Pour bloquer une @ip, ça marchera avec la 1.4 puisqu'on ajoute les règles à la fin de la chaine Forward et on met ça à la fin du fichier rc.firewall. donc tu peux t'inspirer de <!-- BBCode auto-link start --><a href="http://antolien.nerim.net/ipcop/ip.htm" target="_blank">http://antolien.nerim.net/ipcop/ip.htm</a><!-- BBCode auto-link end --> <BR> <BR> <IMG SRC="images/smiles/icon_wink.gif">

[lecheune]

hé hé ......v'zet bien gentils..... <BR> <BR>Mais moi je débute sur le firewall mais j'y connais rien sur les iptables !! <BR> <BR>Mais bon comme d'hab qui cherche trouve.... <BR>Merci quand même. <BR> <BR>AU cas ou je reprendrais contact !

[Gesp]

Tu dois même pouvoir ajouter tes règles perso maintenant dans /etc/rc.d/rc.firewall.local <BR> <BR>Cela peut éviter de casser rc.firewall par des changements inappropriés.

[lecheune]

Bon ben il y a un truc que j'ai oublié ou tout simplement pas compris. <BR> <BR> <BR>Pour info je n'ai pas de fichier /etc/rc.d/rc.firewall.local. <BR> <BR>j'ai fais une copie du fchier original rc.firewall au cas où..... <BR> <BR>J'y ai modifier les lignes concernant <BR> <BR>#localhost and ethernet <BR>/sbin/iptables -A INPUT -i lo -j ACCEPT <BR>/sbin/iptables -A INPUT -s 127.0.0.0/8 -j DROP <BR>/sbin/iptables -A INPUT -p icmp -j ACCEPT <BR>/sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT <BR>/sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT -> DROP <BR> <BR>j'ai ajouté la ligne suivante : <BR> <BR>/sbin/iptables -A FORWARD -i $GREEN_DEV -j DROP <BR> <BR>Mais mon poste sur sur LAN accede toujours à internet, par contre plus de connexion POP et SMTP. <BR> <BR>Qu'est-ce que j'ai loupé ?