brider le reseau

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

brider le reseau

Messagepar melatonin » 20 Juin 2006 16:41

hello,

en temps que débutant, j'ai essayé SME pour heberger un site, créer mon ftp, et sécurisé un réseau..

sme rempli très bien ça fonction, mais n'aillant absolument pas l'habitude de travaillé sous linux (première fois) je galère pour certain truc!

je souhaiterais interdire au réseau local l'accès a tous service sauf HTTP et FTP. j'ai beaucoup recherché mais j'ai malheureusement rien trouvé.

désolé de ma demande vraiment décale pour le niveau... :oops:


si vous pouvez m'indiquer des tutoriel qui me permettrait de réaliser ce bridage..

j'ai la dernière version de sme disponible.

merci d'avance :oops:
melatonin
Matelot
Matelot
 
Messages: 5
Inscrit le: 20 Juin 2006 16:25

Messagepar androme » 21 Juin 2006 14:42

Il va te falloir te documenter sur les services sous linux afin de savoir comment les demarrer et les arrêter.
IPCOP 1.4.11 + guardian + urlfilter + advproxy | red + orange + green
PIII 550 | 384 Mo | 4,3 Go 2.5"

Serveur Debian Sarge XEN
XP 1800+ | 512Mo | 2*40 Go
2 serveurs virtuels
Avatar de l’utilisateur
androme
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 194
Inscrit le: 27 Fév 2006 18:20
Localisation: Arles city

Messagepar melatonin » 21 Juin 2006 15:47

hello,


j'essaie, j'essaie... par contre difficile de trouver de la doc! aurais tu de la documentation a me proposer qui correspondrait a ma demande?


je ne veut pas faire ce bridage du coté routeur car un réseau qui est dessus (avant la sme en fait) ne doit pas être bridé...


pfff c galere, brider tous sauf HTTP et FTP est possible quand même? (je pense que ca ce vois, je n'ai jamais eu d'experience avec linux)
melatonin
Matelot
Matelot
 
Messages: 5
Inscrit le: 20 Juin 2006 16:25

Messagepar coolpok » 21 Juin 2006 16:27

Je sais pas si cela vas pouvoir t'aider pour ton problème mais pour savoir un minimum comment ca marche vas sur le site de grandPa perso avant j'étais sous IPcop une autre distrib bien aussi mais n'ayant pas le meme fonctionnement et ce site m'a beaucoup aider :
http://sme-fr.homelinux.net/

voila ++
"Je tiens à toi comme à mon bi-cross, j'entend par la que je peux te monter en tout terrain" PEF des robins des bois
Avatar de l’utilisateur
coolpok
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 21 Jan 2004 01:00
Localisation: environ bordeaux(33)

Messagepar androme » 21 Juin 2006 16:29

Avant toute chose, il te faut aller voir là :
http://contribs.org/modules/phpwiki/
IPCOP 1.4.11 + guardian + urlfilter + advproxy | red + orange + green
PIII 550 | 384 Mo | 4,3 Go 2.5"

Serveur Debian Sarge XEN
XP 1800+ | 512Mo | 2*40 Go
2 serveurs virtuels
Avatar de l’utilisateur
androme
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 194
Inscrit le: 27 Fév 2006 18:20
Localisation: Arles city

Messagepar sibsib » 21 Juin 2006 21:44

Hello,

En court : cette fonctionnalité n'est pas prévue d'origine sur SME. Il y a eu dé&bat idéologique sur les listes contribs.org, mais en résumé, la core team semble penser que brider les usagers, c'est :
1) très difficile
2) très malvenu.

Maintenant, techniquement, comme SME inclut un firewall, il est effectivement possible de brider.

Là, si tu n'as jamais joué avec Linux, commencer par iptables, comment te dire...

En plus, tout dépend du niveau de bridage que tu souhaites atteindre : si tu laisse sortir le port 80, en pratique tu permets quasi tout, il existe des foultitudes de proxy bienveillants sur le net pour permettre justement aux utilisateurs bridés de faire ce qui leur plait !

Si tu veux effectivement restreindre tes utilisateurs, il te faut un filtre applicatif : un soft ou une boite noire qui analyse les flux 'http' et ne laisse passer queceux qui sont effectivemnt du http.

Bon, c'est probablement pas la réponse dont tu révais, je pense...

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar fraedhrim » 21 Juin 2006 22:21

Salut.

Bon tu veux brider les usagers et utiliser seulement le HTTP et le FTP. OK mais sous quelle forme ? Juste en accès web et en FTP anonyme ? Dans ce cas le meilleur moyen de brider tes users c'est de ne pas en avoir ! Je veux dire il n'y a pas de service accessible s'il n'y a pas de user valide sur le serveur connu par tes users.... Mais bon ça dépend ce que tu fais avec ton serveur.
Si tu veux créer des users sur ton serveur pour gérer les droits d'accès HTTP et FTP ça ne marche pas. Mais dans ce cas si des services te gènent alors arrête les. Pour ça tu peux utiliser soit la contrib sme6admin (ou sme7admin) ou la contrib service manager ou control je ne sais plus (en tout cas il me semble que c'est une contrib de D.MAY).

Bref.... Et puis finalement quels services ne veux-tu pas qu'ils soient accessibles ? Après peut-être parles-tu au niveau réseau : tu ne veux pas que passent à travers la SME (vers Internet) autrechose que HTTP et FTP auquel cas tu as besoin d'une contrib de blocage de port (pas de nom en mémoire). Mais si c'est le cas SME n'est pas adaptée à cet usage. Mieux vaut un firewall. Et encore si tu n'as rien pour inspecter sérieusement les protocoles il y aura toujours un malin pour faire passer n'importe quoi dans du HTTP......

Bref.... C'est pas gagné.... (Surtout avec des coups de main comme les miens.... Vive la pays nantais et son muscadet !!)

A+

F.
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar melatonin » 21 Juin 2006 22:54

fraedhrim, c'est effectivement le passage a travers la sme que je veut interdire.

tu as besoin d'une contrib de blocage de port (pas de nom en mémoire).


oui, c'est ça! si un nom revient a quelqu'un...


bref ça a pas l'air gagné mon histoire!

je vais me renseigner sur IPtables. (j'ai trouvé quelque info qui peuvent etre interessante)


tien, je viens de tombé sur amon, un par feu développé pour les établissements scolaire, il doivent bien effectuer ce genre de bridage!


http://eole.orion.education.fr/


le lien :d
melatonin
Matelot
Matelot
 
Messages: 5
Inscrit le: 20 Juin 2006 16:25

Messagepar melatonin » 22 Juin 2006 09:26

bon, iptable permettrais un blocage application par application, je risque d'y passer du temps si je procède comme ça!

il faudrais plutôt tous fermer, et ouvrir seulement ce que je veut.

c possible avec iptables?

merci a tous pour votre aide
melatonin
Matelot
Matelot
 
Messages: 5
Inscrit le: 20 Juin 2006 16:25

Messagepar sibsib » 22 Juin 2006 21:33

hello,

Oui, c'est possible. Mais tu vas avoir du mal a réaliser çà en partant de la configuration (déjà assez complexe) de IPTables sur SME.

Il faudrait que tu puisses tester avec une autre machine Linux (çà doit même être jouable avec une 'live LINUX' genre Knoppix/Kaella).

Par défaut, quand tu démarre IPTAables, tu 'flushe' les trois tables : INPUT (ce qui rentre vers ton serveur) Output (ce qui sort de ton serveur) et FORWARD (ce qui transite via ton serveur -> c'est celle qui t'interresse).

Une fois ces tables purgées, tu rentres progressivement ce qui a le droit de passer (en rapellant pour la table forward qu'il faut gérer les deux sens de la communications) et tu termines par un mode par défaut qui peut être soit tout passe soit tout s'arrete.

(C'est franchement simplifié, mais je pense que c'est assez rigoureusement exact).

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar melatonin » 23 Juin 2006 13:45

merci sibsib,

je m'avale de la doc sur IPtables, je commence a apercevoir le "truc". recopier betement les lignes que j'ai vu sur le net ne donne rien de valable.


je telecharge knoppix, on va voir si j'arrive a faire quelque chose....
melatonin
Matelot
Matelot
 
Messages: 5
Inscrit le: 20 Juin 2006 16:25

Messagepar Pabze » 23 Juin 2006 14:30

Bonjour,

Je sais qu'il existe des centaines de docs pour iptables sur le net.
Mais une des rares (compléte) qui m'a fait comprendre pas mal de chose, avec exemple de topologie, de schema et de scripts d'exemple :
http://www.linux-france.org/prj/inetdoc ... -tutorial/

Bon courage !
Pabze :wink:
L'or c'est bien, les platines c'est mieux.
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar Muzo » 24 Juin 2006 00:04

et hop un lien de plus dans le [TUTORIAL] Guide de Survie Iptable/Netfilter
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron