blockouttraffic : et si ma carte crame ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar jsteed » 16 Fév 2004 19:40

Bonjour, <BR> <BR>J'ai installé le"blockouttraffic" sur un ipcop v1.03 et il marche à merveille sans incident (sur une machine de test ) <BR> Je vais le mettre en prod sur notre ipcop local et officiel mais... <BR> <BR>Je me pose deux questions, <BR> <BR>1) <BR>Celui-ci contient des regles de firewalls écrites à la mano: Dois-je les suprimer pour éviter le bouzin ? (à mon avis on va me répondre oui ; sauf qu'elle ont été écrite il y a de cela fort longtemps et un peu empiriquement ;mais bon cela marche et j'ai peur de flinguer la table) <BR> <BR>2) <BR>La fonction "blockouttraffic" (si elle est activée)réclame un adresse mac pour n'authoriser qu'un seul poste à se connecter pour l'administration. <BR> <BR>Autrement dit si le pc qui fait l'administration de l'ipcop fume ou la carte clamse, impossible de se connecter à l'ipcop. <BR> <BR>Je me vois mal faire une réinstall et tout le tralala des paquetages + fixes +règles diverse et variées. <BR> <BR>En mode console je ne sais pas ou chercher pour modifier à la main le fichier qui contient l'adresse mac pour le cas échéant le modifier et comment ? <BR> <BR>Si quelqu'un le sait, MERCI PAR AVANCE !!!!!!!!!!! <BR> <IMG SRC="images/smiles/icon_confused.gif">
Avatar de l’utilisateur
jsteed
Matelot
Matelot
 
Messages: 3
Inscrit le: 30 Déc 2003 01:00

Messagepar grosbedos » 17 Fév 2004 11:08

salu, <BR> <BR>en fait pour tes regles perso, ca depend quelle version du BOT tu utilises, enfin ces infos sont dans le readme.. <BR> <BR>pour celle que j'utilise c'est mentionné : <BR>- If you have spezified own CUSTOMINPUT or CUSTOMFORWARD rules, delete these rules and put these rules in native-rules-files. <BR> <BR>donc si tu as rajouter des regles dans les chaines CUSTOMINPUT ou CUSTOMFORWARD, il faut que tu les éffaces et que tu les réécrives avec les chaines natives, genre INPUT FORWARD etc.. <BR> <BR>2. pour ce qui est de l'adresse MAC....ben euh oui si tu interdis tout traffic vers ipcop et que la carte crame.....forcemment... <BR> <BR>si sa arrive t'ouvres une session sur ipcop, pi tu rentre une regle en direct..genre : <BR>iptables -I INPUT -p tcp -s ip_de_ton_pc --dport 445 -j ACCEPT <BR> <BR>comme ca tu retrouves l'accès à l'interface d'admin, pi tu pourra reréglé la bonne adresse MAC.. <BR> <BR>(n'oublies d'enlever la regle précedemment utilisée : iptables -D INPUT -p tcp -s ip_de_ton_pc --dport 445 -j ACCEPT) <BR> <BR>voili bon courage <BR> <BR>
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar jsteed » 17 Fév 2004 14:16

Un Grand Merci a toi <BR> <BR>Je vais tester cela tout de suite <BR> <BR>a+
Avatar de l’utilisateur
jsteed
Matelot
Matelot
 
Messages: 3
Inscrit le: 30 Déc 2003 01:00

Messagepar lucyfire » 17 Fév 2004 15:44

Comme le dit un autre post tu peux spoofer l'adresse mac de cette carte sur un autre pc et dejouer ainsi le problème mais la solution de Grosbedos est plus clean <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>lcf
"Les hommes déprécient ce qu'ils ne peuvent comprendre." [Goethe]
Avatar de l’utilisateur
lucyfire
Amiral
Amiral
 
Messages: 1109
Inscrit le: 15 Mai 2003 00:00
Localisation: Lyon

Messagepar jsteed » 17 Fév 2004 18:57

En fait j'ai honte, le truc est trop simple; <BR> <BR>En mode console locale <BR> <BR>Aller dans /etc/rc.d <BR>et taper ./rc.firewall stop <BR> <BR>cela annule toutes les regles entrantes et sortantes <BR> <BR>D'une autre machine cette fois je peux prendre le controle de l'ipcop sur le port 445 en https <BR> <BR>et je peux placer la nouvelle adresse mac du pc qui va prendre le controle à la place de celui qui à fumé. <BR> <BR>Ensuite il faut rebooter <BR> <BR>Bien-sur l'inconvenient c'est que les utilisateurs vont hurler "Bandit"pendant la coupure.......... <IMG SRC="images/smiles/icon_boxe2.gif"> <BR> <BR>En tout cas Merci à vous; car cela m'a mis dans le chemin de la recherche <BR> <BR>A+ <IMG SRC="images/smiles/icon_bise.gif">
Avatar de l’utilisateur
jsteed
Matelot
Matelot
 
Messages: 3
Inscrit le: 30 Déc 2003 01:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron