Comment bloquer une @ ip

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Comment bloquer une @ ip

Messagepar fabdunet13 » 02 Mai 2006 13:07

comment faire pour bloquer une @ip sous IPCOP .
je veux que 192.168.1.3 ne puisse pas comuniquer avec mon server IPCOP 192.168.1.254
je veux que 192.168.1.3 soit banis du server ipcop .
Aucun paquet doit ètre émis et resut par 192.168.1.3 sur le server ipcop 192.168.1.2.

Comment de doit faire ? et qu'esse que je doit faire ??


MERCI
fabdunet13
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 02 Mai 2006 13:00

Messagepar jdh » 02 Mai 2006 13:15

Je ne vois pas bien le rôle de l'IPCOP (192.168.1.2) entre un PC (192.168.1.3) et un serveur (192.168.1.254) : les paquets du PC vont directement au serveur SANS passer par l'IPCOP.

Donc ?

Ou alors je n'ai rien compris : il n'y que 2 adresses en jeu : un PC (192.168.1.3) et un IPCOp (192.168.1.254). Et alors une ligne comme "iptables -A INPUT -s 192.168.1.3 -j DROP" doit faire l'affaire.
Dernière édition par jdh le 02 Mai 2006 13:17, édité 1 fois au total.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar testeur290306 » 02 Mai 2006 13:16

bonjour,
le serveur ipcop c'est le 192.168.1.254 et pas le 192.168.1.2

par défaut ipcop laisse sortir mais pas rentrer.
je pense que 192.168.1.3 est un machine du réseau local?
tu désactiver la commande ping sur l'ipcop pour le green
sinon l'interface est protégé par mot de passe, donc sécurisé si il ya un mot de passe correct.sinon il ya des addons pour bloquer les ports je crois
regarde sur le forum

si ta config est comme jdh la compris pas besoin d'ipcop.
je suis d'accord avec lui
testeur290306
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 29 Mars 2006 11:09

Messagepar fabdunet13 » 02 Mai 2006 13:36

comment faire pour bloquer une @ip sous IPCOP .
je veux que 192.168.1.3 ne puisse pas comuniquer avec mon server IPCOP 192.168.1.254
je veux que 192.168.1.3 soit banis du server ipcop .
Aucun paquet doit ètre émis et resut par 192.168.1.3 sur le server ipcop 192.168.1.254

Comment de doit faire ? et qu'esse que je doit faire ??

je veux autoriser tout le monde à comuniquer avec mon server ipcop sauf UN .

je veux pas que 192.168.1.254 (Server ipcop) distribu le DHCP sur 192.168.1.3
je veux que mon server IPCOP ne émet et reçoit aucun paquet (INPUT OUTPUT) de l'@ip 192.168.1.3



COMMENT FAIRE !!
fabdunet13
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 02 Mai 2006 13:00

Messagepar fabdunet13 » 02 Mai 2006 13:40

si je tape cella :
iptables -A INPUT -s 192.168.1.3 -j DROP


192.168.1.3 reçoit toujours le DHCP et pingue le server ipcop !!
fabdunet13
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 02 Mai 2006 13:00

Messagepar jdh » 02 Mai 2006 14:45

Bien sur les 2 lignes

iptables -A INPUT -s 192.168.1.3 -j DROP
iptables -A OUTPUT -d 192.168.1.3 -j DROP

permettent d'éviter tout traffic ... sauf l'étape initiale du DHCP (pas encore d'adresse ip !).

Enfin c'est l'idée ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar fabdunet13 » 02 Mai 2006 16:12

ha merci sa marche nikel !!
si si je veux filtrer aussi le trafic internet je fait comment !!!!
fabdunet13
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 02 Mai 2006 13:00

Messagepar fabdunet13 » 02 Mai 2006 18:19

jdh a écrit:Bien sur les 2 lignes

iptables -A INPUT -s 192.168.1.3 -j DROP
iptables -A OUTPUT -d 192.168.1.3 -j DROP

permettent d'éviter tout traffic ... sauf l'étape initiale du DHCP (pas encore d'adresse ip !).

Enfin c'est l'idée ...


Slt si je tape ces lignes :

iptables -A INPUT -s 192.168.1.3 -j DROP
iptables -A OUTPUT -d 192.168.1.3 -j DROP

je bloque l'axée au server IPCOP, ya plu de ping plu rien , impécable . Mais j'ais toujours internet sur 192.168.1.3 .

Comment faire pour le bloquer ... ???
fabdunet13
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 02 Mai 2006 13:00

Messagepar jdh » 02 Mai 2006 19:22

FORWARD ? non ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar fabdunet13 » 02 Mai 2006 20:54

si je tape ces lignes de commandes , je filtre le réseaux mais j'ais toujours le net !!!



iptables -A INPUT -s 192.168.1.212 -j DROP
iptables -A OUTPUT -d 192.168.1.212 -j DROP
iptables -A FORWARD -i 192.168.1.212 -j DROP (YA UNE ERREUR ICI MAIS OU ???? )
fabdunet13
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 02 Mai 2006 13:00

Messagepar fabdunet13 » 02 Mai 2006 21:15

Je veux filtrer tout le monde par default et autoriser uniquement les PC de mon réseau a communiqué avec IPCOP.

mes ip à autoriser sont 192.168.1.3 192.168.1.212 ect...

Comment faire car j'ais taper ce si et da ne fonctionne pas.


iptables -A INPUT -s 0.0.0.0 -j DROP
iptables -A OUTPUT -d 0.0.0.0 -j DROP
iptables -A FORWARD -i 0.0.0.0 -j DROP

iptables -A INPUT -s 192.168.1.3 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.3 -j ACCEPT
iptables -A FORWARD -i 192.168.1.3 -j ACCEPT

iptables -A INPUT -s 192.168.1.212 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.212 -j ACCEPT
iptables -A FORWARD -i 192.168.1.212 -j ACCEPT

et j'ais tapper ce ci et sa fonctionne non plu : (ca me bloque tout)

iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP

iptables -A INPUT -s 192.168.1.3 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.3 -j ACCEPT
iptables -A FORWARD -i 192.168.1.3 -j ACCEPT

iptables -A INPUT -s 192.168.1.212 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.212 -j ACCEPT
iptables -A FORWARD -i 192.168.1.212 -j ACCEPT
fabdunet13
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 02 Mai 2006 13:00

Messagepar old7 » 02 Mai 2006 21:53

fabdunet13 a écrit:Je veux filtrer tout le monde par default et autoriser uniquement les PC de mon réseau a communiqué avec IPCOP.


Fabdunet13 que veux-tu faire exactement : empêcher tes utilisateur d'ouvrir la fenêtre de contrôle de IPCop ou les empêcher d'accéder à internet ?

... a lire le début de ton post, il me semble que c'est la deuxième solution que tu cherche ?

De mémoire, il me semble que BOT (Block Out Traffic) est ta solution.
Par défaut il ferme tout accès de GREEN vers RED (l'inverse de ce que fait IPCop). Il faut, si j'ai bonne mémoire, authoriser ce qui peut sortir. A vérifier !

[edit]
Pour BOT, j'ai fais une rapide recherche (très succinte ;) et je n'ai pas vu qu'il est possible de bloquer les accès pour une station ou un utilisateur .... A confirmer.

En y réfléchissant, c'est plus au niveau de proxy que tu peux interdire certains accès RED.
Donc, toujours de mémoire, regarde aussi Squid-Guard, Dansguardian et AdvancedProxy il y en a au moins un qui permet de limiter l'accés vers l'extérieur. .. et de plus ce serait configurable, pour toi, via les écrans IPCop ... un peu plus agréable que l'interface IPTABLES ;). En son temps, j'avais fais une recherche de ce type pour IPCop.
... enfin, de plus compétents que moi te diront ce qui te convient le mieux.
[/edit]

[edit 2]
c'est Squidguard.
http://franck78.ath.cx/squidGuard-doc/f ... rd-fr.html
voir : 04.1. Règles applicables au réseau / plage IP interdite

Bon, cette fois j'arrête et je te laisse le temps de répondre.
[/edit 2]

A+
old7
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 26 Fév 2006 19:17
Localisation: BE

Messagepar fabdunet13 » 02 Mai 2006 22:34

Je v te dire ce que je veux exactement


Par default quand kk1 ce connecte sur mon réseaux en WIFI par exemple, ipcop donne une @ip au client (DHCP) et ils à internet.

Moi je veux que quand kk1 ce connecte sur mon réseau en WIFI, qu'ils est rien tu tout !!! la personne doit me contacter pour avoir le net

pour l'instant j'ais trouver une solution :

iptables -A INPUT -s 192.168.1.0 -j DROP
iptables -A OUTPUT -d 192.168.1.0 -j DROP

iptables -A INPUT -s 192.168.1.1 -j DROP
iptables -A OUTPUT -d 192.168.1.1 -j DROP

iptables -A INPUT -s 192.168.1.2-j DROP
iptables -A OUTPUT -d 192.168.1.2 -j DROP

iptables -A INPUT -s 192.168.1.3 -j DROP
iptables -A OUTPUT -d 192.168.1.3 -j DROP

iptables -A INPUT -s 192.168.1.4 -j DROP
iptables -A OUTPUT -d 192.168.1.4 -j DROP

iptables -A INPUT -s 192.168.1.5-j DROP
iptables -A OUTPUT -d 192.168.1.5 -j DROP


etc... jusqu 192.168.1.255

et si je veux autoriser une IP (192.168.1.4) à ce connecter sur le serveur je tape :

iptables -D INPUT -s 192.168.1.4 -j DROP
iptables -D OUTPUT -d 192.168.1.4 -j DROP
iptables -D INPUT -s 192.168.1.4 -j ACCEPT
iptables -D OUTPUT -d 192.168.1.4 -j ACCEPT

mais c'est trop long !!! T’imagine taper tout sa !! Et son filtre pas l'accès au net !!!
Dernière édition par fabdunet13 le 02 Mai 2006 22:45, édité 2 fois au total.
fabdunet13
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 02 Mai 2006 13:00

Messagepar fabdunet13 » 02 Mai 2006 22:38

iptables -A INPUT -s 192.168.1.212 -j DROP
iptables -A OUTPUT -d 192.168.1.212 -j DROP
iptables -A FORWARD -i 192.168.1.212 -j DROP

maleuresement ces lignes de commande ne filtre pas le net !!! mais que le réseaux !!

si le pc client 192.168.1.212 ping 192.168.1.254 sa marche pas ( c'est normal c'est mon but )
si le pc client 192.168.1.212 ping www.google.fr sa marche pas ( c'est normal c'est mon but )
si le pc client 192.168.1.212 ouvre internet exploreur sa marche et sa c'est pas normal
fabdunet13
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 02 Mai 2006 13:00

Messagepar fabdunet13 » 02 Mai 2006 22:39

je pence que je peux pas ètre plus clair que cella !!!
fabdunet13
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 02 Mai 2006 13:00

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)