Comment configurer mes regles ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar fgilain » 06 Jan 2004 14:05

Bonjour, <BR> <BR>J'ai a peu pres installé toutes les distributions evoquees sur ce site et j'ai finallement retenu ipcop comme distribution que je vais utiliser. <BR> <BR>Mais il me manque l'information de base : comment je fais, une fois ipcop installé et mes 3 cartes reseau configurées (Lan / Dmz / Web) pour définir mes regles de base : <BR> <BR>Exmeple : <BR> <BR>1) autoriser du Lan vers le Web les services : <BR>www <BR>ftp <BR>smtp <BR>pop3 <BR>imap <BR>dns <BR> <BR>2) autoriser du Lan vers la Dmz les services : <BR>ftp <BR>ssh <BR>telnet <BR>plsql <BR> <BR>3) autoriser les pings uniquement depuis la Lan <BR> <BR>NB : en supposant que tout ce qu in'est pas explicitement autorisé est interdit... <BR> <BR>Merci d'avance pouir votre coup de pouce. <BR> <BR>Florent
Avatar de l’utilisateur
fgilain
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 19 Nov 2003 01:00

Messagepar belugha » 06 Jan 2004 14:18

Bonjour, <BR>Je dirais que la reponse est ici: <!-- BBCode auto-link start --><a href="http://antolien.nerim.net/" target="_blank">http://antolien.nerim.net/</a><!-- BBCode auto-link end --> et sur le forum en cherchant bien <IMG SRC="images/smiles/icon_wink.gif">
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar olivier_morin » 06 Jan 2004 14:23

Oui mais cela ne semble pas fonctionner si le cache transparent est activé.
Avatar de l’utilisateur
olivier_morin
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 186
Inscrit le: 15 Jan 2003 01:00

Messagepar nemesis » 06 Jan 2004 14:39

hello! <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>1) autoriser du Lan vers le Web les services : <BR>www <BR>ftp <BR>smtp <BR>pop3 <BR>imap <BR>dns <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>rien à faire à part configurer tes client de messagerie comme d'habitude en entrant les non de serveurs pop smtp etc adequats. <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>2) autoriser du Lan vers la Dmz les services : <BR>ftp <BR>ssh <BR>telnet <BR>plsql <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>rien a faire sauf que l'acces à la dmz se fait par l'@ip et non pas par le nom d'hote à moins de : <BR>- renseigner à la main le fichier hosts sur un poste windows ou /etc/hosts sous un linux. <BR>- ou bien renseigner l'ipcop comme dns de ton lan et renseigner son fichier hosts comme il faut (barbare mais ça marche.) <BR> <BR>en règle général du lan -> dmz ou -> red tout marche sans problème. <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>3) autoriser les pings uniquement depuis la Lan <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>il s'agit plutôt pour toi d'intedire le ping depuis le red car dans le cas de la dmz elle ne peut pinguer que le red. <BR> <BR>le lien donné par belugha contient plein d'info utiles. <BR> <BR>bon courage et bienvenue ds le monde ipcop. <BR> <BR>Nem.
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar nemesis » 06 Jan 2004 14:39

bonjour, <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-01-06 13:23, olivier_morin a écrit: <BR>Oui mais cela ne semble pas fonctionner si le cache transparent est activé. <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>c'est à dire? <BR> <BR>Nem.
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar fgilain » 06 Jan 2004 15:21

Pardon, mais comme j'utilise actuellement un firewall Checkpoint, j'essaie de trouver un produit me permettant de travailler un peu de la meme facon pour en optimiser l'administration : <BR> <BR>- Possibilité de créer des groupes de machines <BR>- Possibilité d'autoriser ou non un groupe à utiliser tel ou tel protocol vers telle ou telle destination <BR>- Possibilité de créer des regles fines par ip/port source <BR> <BR>Apparement, le coeur du produit c'est iptables non ? donc si je veux bien configuer mon ipcop, je dois directement modifier le fichier de configuration /etc/rc.d/rc.firewall via "vi" grace a la syntaxe d'iptables.. <BR> <BR>Ou puis je trouver la documentation sur la syntaxe d'iptables SVP ? <BR> <BR>Merci d'avance de votre patience à mon égard <IMG SRC="images/smiles/icon_wink.gif">) <BR> <BR>Florent
Avatar de l’utilisateur
fgilain
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 19 Nov 2003 01:00

Messagepar Muzo » 06 Jan 2004 15:26

sur google tapes iptables et t'auras des surprises....
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar nemesis » 06 Jan 2004 15:27

alors oui c'est bien les règles iptables que tu dois modifier directement. <BR> <BR>Pour ce qui est de la synataxe iptable il te faudra chercher sur google tu y trouvera certainement ton bonheur. <BR> <BR>Sinon j'ai trouvé il y a un an environ un bouquin : Linux et sécurité aux édition presse universitaire dans laquelle iptable est bien expliqué. <BR> <BR>@pluche <BR> <BR>Nem.
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar fgilain » 06 Jan 2004 15:33

oupsss...j'avais oublié le "S" a iptable du coup j'avais pas trouvé la homepage de iptables... <BR> <BR>Désolé. <BR>Merci du coup de main. <BR> <BR>Sinon, question subsidiaire, il n'y a pas moyen d'appliquer une modification de configuration d'ipcop sans son redémarrage ? <BR> <BR>Florent
Avatar de l’utilisateur
fgilain
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 19 Nov 2003 01:00

Messagepar nemesis » 06 Jan 2004 15:36

hummm question déjà posée pas mal de fois .... <BR> <BR>il me semble qu'il y a un start et un stop pour iptable mais le plus sage est qud même le rebbot <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>penser à la fonction rechercher accessible en bas de le liste des forums : <!-- BBCode auto-link start --><a href="http://www.ixus.net/modules.php?name=Forum" target="_blank">http://www.ixus.net/modules.php?name=Forum</a><!-- BBCode auto-link end --> <BR> <BR>bonne lecture... <BR> <BR>Nem.
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar fgilain » 06 Jan 2004 16:13

en regardant de pres le script /etc/rc.d/rc.firewall il semble y avoir un parametre "restart". <BR> <BR>Cela suffit il pour prendre en compte des modifications...je vais tester. <BR> <BR>Par contre, il ne semble pas y avoir de serveur FTP installé (accessible uniquement depuis le Lan), du coup je ne peux pas accéder depuis le Lan, via mon editeur de texte au fichier de configuation via FTP, ce qui serait quand même plus pratique pour moi... <BR> <BR>Me trompe-je ou y a t'il un truc pour s'y connecter en FTP ? <BR> <BR>Florent
Avatar de l’utilisateur
fgilain
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 19 Nov 2003 01:00

Messagepar Pit_Bull » 06 Jan 2004 17:12

Surtout pas de ftp. <BR> <BR>Dans tous les cas, tu actives ssh. <BR>Ensuite pour modifier un fichier, tu te connectes avec putty sur @ipcop:222. <BR>Et pour transférer un fichier, tu utilises winscp.
Nul n'est trop bon et peu le sont assez.
Avatar de l’utilisateur
Pit_Bull
Aspirant
Aspirant
 
Messages: 131
Inscrit le: 19 Sep 2002 00:00
Localisation: Paris

Messagepar fgilain » 06 Jan 2004 17:21

Heu j'ai pas trouvé l'endroit ou activer ssh.. <BR> <BR>Sinon, pour le ftp, si je ne l'autorise que depuis le Lan depuis une ip précise, quel est le probleme ? <BR> <BR>je ne connais pas winscp, je vais chercher ca <BR> <BR>Florent
Avatar de l’utilisateur
fgilain
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 19 Nov 2003 01:00

Messagepar olivier_morin » 06 Jan 2004 17:21

Eh bien si je tape <BR> <BR>/sbin/iptables -I FORWARD -p tcp --dport 80 -j DROP <BR> <BR>je ne vais plus sur le net si le cache est désactivé. <BR>si j'active le cache, j'y vais sans problème... <BR> <BR>
Avatar de l’utilisateur
olivier_morin
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 186
Inscrit le: 15 Jan 2003 01:00

Messagepar tomtom » 06 Jan 2004 17:38

Ben oui.. <BR>Quen tu surfes avec un proxy, ca se passe n deux temps : <BR> <BR>1- interrogation du proxy (donc chaine INPUT pour ipcop) <BR>2- proxy interroge le vrai site (donc chaine OUTPUT). <BR> <BR>Si tu veux bloquer des ip pour aller sur internet, il faut jouer avec la config de squid ! <BR> <BR>Par contre, squid ne fonctionne que pour le http/https. Pour le reste, les acces seront bloques. <BR> <BR>t. <BR> <BR>
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité