Peer Guardian & IPCop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar TiEki » 25 Fév 2004 16:57

Bonjour a tous <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Ca fait bien longtps que je ne suis pas venu sur le forum mais je ne vous ai pas oublié <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Bon je ne post pas pour dire coucou mais pour avoir un retour d experience <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>En fait je cherche a mettre a jour les regle iptables de mon Ip Cop (1.3) avec la black list de Peer Guardian (http://www.peerguardian.net/pgipdb/guarding.p2p) <BR> <BR>Quelques tuto se trouvent deja sur le net concernant l'ajout de ces regles a Iptable, mais la plupart sont pour le moins obscurs <IMG SRC="images/smiles/icon_confused.gif"> Enfin sur ce point je devrais pouvoir me debrouiller (meme si les conseils sont tjrs les bienvenus ... a vot' bon coeur m'sieur dames) <BR> <BR>Je voudrais surtout savoir si kk1 ici a deja realisé ce type d'operation, a savoir <BR> <BR>telechargement de la liste <!-- BBCode auto-link start --><a href="http://www.peerguardian.net/pgipdb/guarding.p2p" target="_blank">http://www.peerguardian.net/pgipdb/guarding.p2p</a><!-- BBCode auto-link end --> par crontab <BR>mise a jour des regles Iptables a partir de ce format de fichier <BR> <BR> <BR>Bref si y a des infos <IMG SRC="images/smiles/icon_wink.gif"> Merci ! <BR> <BR> <IMG SRC="images/smiles/icon_bise.gif">
-- TiEki --
Avatar de l’utilisateur
TiEki
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 16 Mars 2003 01:00

Messagepar TiEki » 26 Fév 2004 15:01

bon ca n'a pas l'air d'inspirer grd monde mais finalement je vais m'en sortir avec un script alarach ... ce sera surement pas optimal mais ca marchera <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>des qu'il est pret je le post si des personnes sont intéressées par ce genre de chose qu'elle me le fasse savoir <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>++
-- TiEki --
Avatar de l’utilisateur
TiEki
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 16 Mars 2003 01:00

Messagepar touffator » 26 Fév 2004 20:59

yep c'est toujours interessant mais je regardais le fichier il a l'air un peut confut, a mon avis tu devrais plutot te baser sur celui ci <BR> <BR><!-- BBCode auto-link start --><a href="http://cvs.suche.org/horde/chora/cvs.php/ip.prefix?Horde=b74813b59940a33b8c076a56bef5897e&Horde=b74813b59940a33b8c076a56bef5897e" target="_blank">http://cvs.suche.org/horde/chora/cvs.php/ip.prefix?Horde=b74813b59940a33b8c076a56bef5897e&Horde=b74813b59940a33b8c076a56bef5897e</a><!-- BBCode auto-link end --> <BR> <BR>car celui ci utilise un degré de sensibilité cela te permet d'etre plus souple, c'est celui qui est utilisé par Emule pour filtré les ip agressives : <BR><!-- BBCode auto-link start --><a href="http://www.open-files.com/dossier/page70.htm" target="_blank">http://www.open-files.com/dossier/page70.htm</a><!-- BBCode auto-link end --> <BR> <BR>mais si tu arrives a quelque chose qui drop les paquet au niveau du firewall c'est cool cela eviterais que les paquets arrive jusque sur le réseau green (ou orange) avant de se faire jeter par emule... <BR> <BR>++ <BR>touf
Mais moi aussi je veux des Galons je veux etre "Maitre lieutenant chef capitaine" et donner des ordres
lOl
Avatar de l’utilisateur
touffator
Major
Major
 
Messages: 87
Inscrit le: 10 Juil 2003 00:00

Messagepar TiEki » 27 Fév 2004 15:21

Oui le but avouer est bien de stopper ces IPs "sensibles" avant leur arrivée sur le green (ou l'orange en ce qui me concerne). <BR> <BR>J'ai bien un filtre des ces Ip sur mon mldonkey, mais je ne trouve pas ca suffisant ... en tout cas merci pour les docs, des que j'obtiens quelque chose d'interessant je le post <IMG SRC="images/smiles/icon_wink.gif">
-- TiEki --
Avatar de l’utilisateur
TiEki
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 16 Mars 2003 01:00

Messagepar TiEki » 27 Fév 2004 17:24

Bon j'arrive bien a extraire les ips du fichier guardian.p2p. <BR> <BR>J'obtiens donc une adresse IP de début et une adresse IP de fin correspondant à un range IP bien défini. <BR> <BR>Le probleme c est qu'apres differentes recherches, il semble qu'IPTables n'accepte pas les regles de la forme <BR> <BR>/sbin/iptables -A INPUT -s ip_start:ip_end -p all -j DROP <BR> <BR>ou ip_start et ip_end definissent un range Ip <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Or ajouter une regle par IP a bannir ne me semble pas etre une solution viable (trop long a traiter) <BR> <BR>La seule solution qui me reste serait alors d'extraire a partir des infos debut et fin de range une adresse de la forme reseau/masque pour arriver a ce type de regles : <BR> <BR>/sbin/iptables -A INPUT -s reseau/masque -j DROP <BR> <BR>moins contraignante pour iptable. Mais cela me semble ardu d'arriver a etablir ce type d'info vu la structure du fichier guardian.p2p en entrée. <BR> <BR>Donc : <BR> <BR>Si quelqu'un peut me confirmer qu'une regle avec un range ip de type <BR> <BR>/sbin/iptables -A INPUT -s ip_start:ip_end -p all -j DROP <BR> <BR>ne peut etre ajoutée a iptable <BR> <BR>ou si quelqu'un a une idee pour resoudre mon pb je suis preneur <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR> <BR>Merci ! <BR> <BR> <BR> <BR> <BR> <BR>
-- TiEki --
Avatar de l’utilisateur
TiEki
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 16 Mars 2003 01:00

Messagepar touffator » 27 Fév 2004 17:57

Je m'y connais pas du tout concernant IPTABLE ... MAIS sous l'interface web d'ipcop tu peux mettre une range d'ip a rediriger .... ? . ? ! un peut comme tu le decrit startip-endip et ca marche (pour le port Forwarding) donc je vois pas pourquoi ca bloquerais pour les drop ... <BR> <BR>++ <BR>touf
Mais moi aussi je veux des Galons je veux etre "Maitre lieutenant chef capitaine" et donner des ordres
lOl
Avatar de l’utilisateur
touffator
Major
Major
 
Messages: 87
Inscrit le: 10 Juil 2003 00:00

Messagepar TiEki » 27 Fév 2004 18:26

Bah la plupart des sites que j'ai pu consulter a ce sujet semblaient indiquer qu'il n'etait pas possible de bloquer un range IP avec une seule regle IpTable autrement qu'en indiquant un reseau et son masque <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Mais comme l'information est toujours donnée au conditionnel, je voulais demander l'avis de nos experts ixusiens sur le sujet ^^ <BR> <BR>Concernant la redirection d'adresse et de port, meme si l'interface te permet de saisir un range, ce n'est pas pour la meme utilisation (NAT/PAT) et rien ne dit qu'il ajout le range directement sous forme de regle Iptables ... des que je rentre chez moi je verifierais qd meme, mais je doute <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>
-- TiEki --
Avatar de l’utilisateur
TiEki
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 16 Mars 2003 01:00

Messagepar touffator » 27 Fév 2004 18:42

oki tavait raison <BR> <BR>Error messages: <BR>Not a valid IP address or a network address. <BR> <BR>j'ai confondu avec les port ou tu peux mettre un range de port 5000-6000 ca fait de 5000 à 6000 <BR> <BR>... bon je crois qu'il faudrais demander à quelqu'un comme gesp qui connait "un petit peut <IMG SRC="images/smiles/icon_wink.gif"> " <BR> <BR> <BR>++ <BR>touf
Mais moi aussi je veux des Galons je veux etre "Maitre lieutenant chef capitaine" et donner des ordres
lOl
Avatar de l’utilisateur
touffator
Major
Major
 
Messages: 87
Inscrit le: 10 Juil 2003 00:00

Messagepar TiEki » 27 Fév 2004 18:46

oh oui une ame charitable pour aider un tieki a l agonie ^^ <BR> <BR> <IMG SRC="images/smiles/icon_up.gif">
-- TiEki --
Avatar de l’utilisateur
TiEki
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 16 Mars 2003 01:00

Messagepar TiEki » 27 Fév 2004 18:57

En attendant Touffator, si tu es interessé par la meme chose, regarde a cette adresse : <BR> <BR><!-- BBCode auto-link start --><a href="http://www.bluetack.co.uk/convert.html" target="_blank">http://www.bluetack.co.uk/convert.html</a><!-- BBCode auto-link end --> <BR> <BR>ca te permet d'avoir la conversion du ficher guardian.p2p vers ce que tu veux (rules snort ou regles iptable alaporc ... ) <BR> <BR>Bien sur c est une solution tmp puisqu'il faut faire l'ajout a la main ... pour arriver au meme resultat, a savoir une regle par adresse ip a bloquer <IMG SRC="images/smiles/icon_boxe2.gif"> <BR> <BR>Mais bon c est mieux que rien ... je vais faire des tests pour voir si je perds bcp en performance ou pas, et si ca semble ok je te balance le script a mettre ds le crontab ^^ <BR> <BR>++ <BR> <BR>
-- TiEki --
Avatar de l’utilisateur
TiEki
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 16 Mars 2003 01:00

Messagepar Ailees » 27 Fév 2004 21:07

soit tu travailles adresse par adresse, soit tu travailles avec un subnetmask, pas d'autres possibilités.
Avatar de l’utilisateur
Ailees
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 17 Fév 2004 01:00

Messagepar TiEki » 28 Fév 2004 15:52

Ok merci pour la confirmation ... <BR> <BR>L'URL que j'ai donné au dessus traduit les ranges IP en reseau + masque ... donc ca semble tout a fait envisageable de faire la meme chose sous l'ipcop ... <BR> <BR>Enfin pour l'instant je vais me contenter d'une méthode ancestrale de cop / coll ... et puis j'automatiserais ca des que j'aurais le temps <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>++ <BR> <BR>
-- TiEki --
Avatar de l’utilisateur
TiEki
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 16 Mars 2003 01:00

Messagepar M@nu » 15 Mai 2004 12:58

bonjour,

j'utilise IPCop 1.3
Je confirme que iptables 1.2.7 ne supporte pas les 'range'. Par contre le 1.2.8 le supporte parrait il... donc voir avec une IPCop 1.4....

En attendant, j'utilise le site : http://www.bluetack.co.uk/convert.html pour convertir mon ipfilter d'emule en regles iptables.
Je copie/colle le tout dans un '/etc/rc.d/rc.banIP' une fois par mois (car j'estime que la liste change pas bcp) et je lance ce fichier au boot de mon IPCop.

Attention, cela prends environ une heure à 'digerer'..... mais c'est plutot efficace, j'avais des IP bannies par emule. Je n'en ai plus depuis que IPCop filtre.... (ce test n'est pas 100% fiable, mais c'est le seul que j'ai :-) )
M@nu
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 14 Mai 2004 17:20

Messagepar leso » 16 Mai 2004 21:50

étant en 1.4b3 , c'est vrai que je serais fortement aussi interessé par l'idée de bannir directement au friewall, avec un fichier ipfilter.dat d'émule , je pourrais avoir un peu d'aide pour l'intégrer a iptables?
MCITP Windows Server 2008, Enterprise Administrator
MCITP Windows Server 2008, Server Administrator
MCITP Exchange 2007 Enterprise Messaging Administrator
Avatar de l’utilisateur
leso
Vice-Amiral
Vice-Amiral
 
Messages: 648
Inscrit le: 03 Avr 2003 00:00
Localisation: Paris

Messagepar jpascal » 20 Mai 2004 16:36

M@nu a écrit:Je copie/colle le tout dans un '/etc/rc.d/rc.banIP' une fois par mois (car j'estime que la liste change pas bcp) et je lance ce fichier au boot de mon IPCop.


Le simple fait de coller ce fichier dans le répertoire ne le fait pas se lancer automatiquement par IPCop lorsque celui-ci démarre ?
Dans ce as comment fais-tu pour le "lancer" ?
Merci de répondre à mes questions de newbie. :)
jpascal
Second Maître
Second Maître
 
Messages: 27
Inscrit le: 20 Mai 2004 15:31

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron