Couper l'accès de la green vers la red

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar Scooty » 22 Fév 2004 01:54

Bonjour, <BR>j'aimerai utiliser ipcop avec une config différente de son utilisation première <BR>à savoir refuser les connexion directes de la green vers le net (zone rouge) pour obliger les connexions internet à passer par un proxy positionné sur la orange. <BR>Est ce que vous pourriez m'indiquer la fonction sous ipcop qui permet d'empecher les paquets d'aller de la zone verte vers la rouge? <BR>merci d'avance pour votre aide!
l'art c'est de savoir susciter des controverses !
Avatar de l’utilisateur
Scooty
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 23 Nov 2002 01:00
Localisation: Vienne

Messagepar Petzi » 22 Fév 2004 12:43

Il n'y a pas cette fonction prévue à la base ... mais tu peux ajouter/modifier la configuration ipchain pour faire ce que tu veux si tu es prêt à aller retoucher un peu les fichiers de config. Tu pourras facilement trouver de la doc sur ipchain avec monsieur google par exemple.
Petzi[Si la solution semble stupide, mais qu'elle fonctionne...Alors elle n'est pas stupide!]
Avatar de l’utilisateur
Petzi
Contre-Amiral
Contre-Amiral
 
Messages: 391
Inscrit le: 12 Jan 2004 01:00
Localisation: GE

Messagepar wann » 22 Fév 2004 12:55

Petzi, Il ne s'agit plus d'IPChains sur IPCop , mais d'Iptables, depuis la version 1.3 ! <BR> <BR>Il y a un addon (non officiel !) qui pourrait t'être utile : <BR><!-- BBCode auto-link start --><a href="http://firewalladdons.sourceforge.net/blockouttraffic.html" target="_blank">http://firewalladdons.sourceforge.net/blockouttraffic.html</a><!-- BBCode auto-link end --> <BR> <BR>Il te faudra très probablement l'adapter un peu à ton besoin, mais c'est une bonne base.
"Free your mind and your ass wil follow" (George Clinton)
Avatar de l’utilisateur
wann
Amiral
Amiral
 
Messages: 1032
Inscrit le: 07 Jan 2002 01:00
Localisation: Nantais, parfois ;-)

Messagepar Petzi » 22 Fév 2004 13:01

Mea Culpa ... iptable, effectivement. Peut-être une forme de nostalgie inconsciente. <BR> <BR>Le dimanche matin c'est dur. <BR>La prochaine fois je tournerai sept fois mes doigts autours des touches du clavier avant de dire n'importe quoi. <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>_________________ <BR>Petzi[Si la solution semble stupide, mais qu'elle fonctionne...Alors elle n'est pas stupide!]<BR><BR><font size=-2></font>
Petzi[Si la solution semble stupide, mais qu'elle fonctionne...Alors elle n'est pas stupide!]
Avatar de l’utilisateur
Petzi
Contre-Amiral
Contre-Amiral
 
Messages: 391
Inscrit le: 12 Jan 2004 01:00
Localisation: GE

Messagepar Scooty » 23 Fév 2004 16:20

hello, <BR>merci pour l'url du mod.. <BR>J'ai bien pu interdire l'accès de la verte vers la rouge et ensuite paramétrer pour que la verte puisse dialoguer avec le proxy se trouvant sur la orange.. <BR>Du coup de la verte on ne peut sortir directement sur internet! <BR>Mais le problème est que j'ai du ouvrir l'accès de la orange vers "ALL" pour qu'elle puisse sortir sur l'extérieur. Du coup la zone orange peut discuter avec la zone verte <BR>n'y a t-il pas un moyen de spécifier avec iptable des paramètres pour empêcher tout dialogue de la verte puis ouvrir le dialogue uniquement de verte vers orange? <BR>je cherche je cherche mais je dois dire que j'ai un peu de mal <BR>merci d'avance pour votre aide!
l'art c'est de savoir susciter des controverses !
Avatar de l’utilisateur
Scooty
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 23 Nov 2002 01:00
Localisation: Vienne

Messagepar Scooty » 23 Fév 2004 17:04

ben finalement j'ai pu en venir à bout grâce à l'url de l'addon que tu as posté wann (merci au passage) et grâce à notre meilleur pote google ! <IMG SRC="images/smiles/icon_wink.gif"> <BR>en fait il y a juste une ligne à modifier et une à ajouter dans le script /etc/rc.d/rc.firewall. <BR>Il faut commenter la ligne suivante pour interdire à la zone verte de sortir dehors (faut pas qu'elle prenne froid la ptite) <BR># /sbin/iptables -A FORWARD -i $GREEN_DEV -j ACCEPT <BR>et il faut ajouter la ligne suivante derriere pour que la zone verte puisse sortir sur la orange: <BR> <BR>/sbin/iptables -A FORWARD -i $GREEN_DEV -o $ORANGE_DEV -m state --state NEW, ESTABLISHED, RELATED --j ACCEPT <BR> <BR>voili voilou! <BR> <BR>Merci encore pour ton aide wann et à charge de revanche <IMG SRC="images/smiles/icon_wink.gif"><BR><BR><font size=-2></font>
l'art c'est de savoir susciter des controverses !
Avatar de l’utilisateur
Scooty
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 23 Nov 2002 01:00
Localisation: Vienne


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron