[Help] Regles ipchains

Regles ipchains [Help] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 07-03-2003 à 13:52:20    

Voila, j'ai une gate sous smoothwall qui marche tres bien :), mais je souhaiterai bloquer le traffic vers le net dans un creneau horaire (23h -> 7h) pour certaines machines connectees derriere, mais pas toutes. Je ne vois pas tellement comment faire :/
Mettre qquechose dans le crontab ?
Autre solution ?
 
 :hello:


Message édité par freds45 le 10-03-2003 à 12:18:59
Reply

Marsh Posté le 07-03-2003 à 13:52:20   

Reply

Marsh Posté le 07-03-2003 à 13:54:11    

freds45 a écrit :

Voila, j'ai une gate sous smoothwall qui marche tres bien :), mais je souhaiterai bloquer le traffic vers le net dans un creneau horaire (23h -> 7h) pour certaines machines connectees derriere, mais pas toutes. Je ne vois pas tellement comment faire :/
Mettre qquechose dans le crontab ?
Autre solution ?
 
 :hello:  


Bah ca me semble la chose la plus logique a faire...
a 23h tu lance le script le plus restrictif, a 7h le script moins restrictif...

Reply

Marsh Posté le 07-03-2003 à 13:56:46    

e_esprit a écrit :


Bah ca me semble la chose la plus logique a faire...
a 23h tu lance le script le plus restrictif, a 7h le script moins restrictif...


 
 
oui c'est pas tellement le crontab le probleme, mais c'est koi mettre dans le script pour bloquer le trafic.. :/ c'est la dessus que je bloque :/

Reply

Marsh Posté le 07-03-2003 à 13:59:57    

freds45 a écrit :


 
 
oui c'est pas tellement le crontab le probleme, mais c'est koi mettre dans le script pour bloquer le trafic.. :/ c'est la dessus que je bloque :/


Ah, ton probleme c'est que t'y connais rien en iptables ???
Bah tu peux preciser les adresses des tes machines dont on doit bloquer l'acces ? enfin un petit schema de ton reseau quoi si c'est possible (avec plage d'IP et type d'acces au net : modem, ou carte reseau, si oui nom de l'interface, etc...)
Comme ca on pourra te donner les regles iptables a rajouter.

Reply

Marsh Posté le 07-03-2003 à 14:10:52    

:jap: Voila, ca ressemble a ca:
 


   Internet
      |
 Modem ADSL USB
      |
  Smoothwall
      |
    Switch--Serveur
    / |  \
PC1  |   PC2
      |
     Hub
    / | \
 (bcp de pc)


 
Il faut que le net soit dispo 24/24 sur PC1, PC2 et le serveur web, mais pas entre 23h et 7h sur les autres, connectes sur le hub.
 
Smoothwall: 192.168.0.1
Serveur web: 192.168.0.2
PC1: 192.168.0.5
PC2: 192.168.0.6
Les autres pcs sur le hub : entre 192.168.0.10 et 192.168.0.255 (certains avec une adresse fixe, une partie en dhcp)
 
Sur la gate, eth0 est sur le lan (192.168.0.1) et ppp0 sur le net (adresse ip non fixe)
 
 
Merci :)


Message édité par freds45 le 07-03-2003 à 14:11:49
Reply

Marsh Posté le 07-03-2003 à 14:16:27    

OK, donc le mieux c'est de tout interdire sur la partie intranet, sauf les connexions en provenance de PC1 et PC2, et les connexions deja etablies a destination de ces deux machines...
 
Ce qui se traduit en terme de regles iptables par... (deux minutes, je cherche :D )

Reply

Marsh Posté le 07-03-2003 à 14:21:24    

merci de ton aide :hello:

Reply

Marsh Posté le 07-03-2003 à 14:28:05    

http://www.netfilter.org/files/pat [...] 07.tar.bz2
 
Dans Base: tu as le patch TIME
 
This option adds CONFIG_IP_NF_MATCH_TIME, which supplies a time match module.
This match allows you to filter based on the packet arrival time
(arrival time at the machine which the netfilter is running on) or
departure time (for locally generated packets).
 
Supported options are:
--timestart HH:MM
  The starting point of the time match frame.
 
--timestop HH:MM
  The stopping point of the time match frame
 
--days Tue,Mon...
  Days of the week to match separated by a coma, no space
  (one of Sun,Mon,Tue,Wed,Thu,Fri,Sat)
 
Example:
  -A INPUT -m time --timestart 8:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri
  will match packets that have an arrival timestamp in the range 8:00->18:00 from Monday
  to Friday.
 
  -A OUTPUT -m time --timestart 8:00 --timestop 18:00 --Days Mon
  will match the packets (locally generated) that have a departure timestamp
  in the range 8:00->18:00 on Monday only.

Reply

Marsh Posté le 07-03-2003 à 16:15:47    

Tu peux aussi mettre en place un proxy. C'est plus facile et cela pourra te permettre de proscrire des urls (squid avec squidguard (blacklists))... Et même si tu le souhaite il peut te servir de cache (http, dns).Enfin c'est comme tu veux. Voili Voilà  :hello:

Reply

Marsh Posté le 07-03-2003 à 16:48:04    

sellin20 a écrit :

Tu peux aussi mettre en place un proxy. C'est plus facile et cela pourra te permettre de proscrire des urls (squid avec squidguard (blacklists))... Et même si tu le souhaite il peut te servir de cache (http, dns).Enfin c'est comme tu veux. Voili Voilà  :hello:  


 
j'utilise déjà squid ;) en parti justement pour bloquer certaines adresses :)
 
j'avais vu qu'on pouvait proscrire le traffic dans certains créneaux horaires avec squid, mais je veux pouvoir bloquer tout, même un simple ping :D !


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 07-03-2003 à 16:48:04   

Reply

Marsh Posté le 07-03-2003 à 16:51:06    

yold a écrit :

http://www.netfilter.org/files/pat [...] 07.tar.bz2
 
Dans Base: tu as le patch TIME
 
This option adds CONFIG_IP_NF_MATCH_TIME, which supplies a time match module.
This match allows you to filter based on the packet arrival time
(arrival time at the machine which the netfilter is running on) or
departure time (for locally generated packets).
 
Supported options are:
--timestart HH:MM
  The starting point of the time match frame.
 
--timestop HH:MM
  The stopping point of the time match frame
 
--days Tue,Mon...
  Days of the week to match separated by a coma, no space
  (one of Sun,Mon,Tue,Wed,Thu,Fri,Sat)
 
Example:
  -A INPUT -m time --timestart 8:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri
  will match packets that have an arrival timestamp in the range 8:00->18:00 from Monday
  to Friday.
 
  -A OUTPUT -m time --timestart 8:00 --timestop 18:00 --Days Mon
  will match the packets (locally generated) that have a departure timestamp
  in the range 8:00->18:00 on Monday only.
 


 
dans le readme ils mettent :

Citation :


IMPORTANT NOTE: This version _only_ supports kernel >= 2.4.18


 
et smoothwall, c'est:
 

root@smoothwall~# more /proc/version
Linux version 2.2.23 (root@work) (gcc version egcs-2.91.66 19990314/Linux (egcs-
1.1.2 release)) #5 Tue Dec 3 10:49:36 GMT 2002


:/
 
je vais tâcher de voir ca avec iptables, mais  :sweat: ...


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 07-03-2003 à 16:51:41    

iptables -A FORWARD -s 192.168.0.11 -j DROP
 
avec cette commande, tu bloques tout ce qui vient de la machine 192.168.0.11 à destination du Net
 
EDIT : je viens de voir ta version de noyau, c'est pas iptables qu'il te faut, mais ipchain.


Message édité par Mjules le 07-03-2003 à 16:52:29

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 07-03-2003 à 17:04:23    

Mjules a écrit :

iptables -A FORWARD -s 192.168.0.11 -j DROP
 
avec cette commande, tu bloques tout ce qui vient de la machine 192.168.0.11 à destination du Net
 
EDIT : je viens de voir ta version de noyau, c'est pas iptables qu'il te faut, mais ipchain.


 
 
et on peut pas dire de bloquer TOUT le traffic sauf venant d'un ou 2 postes ?
 
du genre
 
ipchains -A FORWARD -s * -j DROP  
ipchains -A FORWARD -s 192.168.0.5 -j ALLOW
 
 :??: ou je raconte n'importe koi ?  :pt1cable:  


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 07-03-2003 à 17:15:57    

je ne connais pas bien Ipchains, mais ce que tu dis doit être possible :
 
tu enlèves la référence à l'IP source et là, il bloquera tout. ensuite, tu réautorise ce que tu veux.


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 07-03-2003 à 17:21:32    

Mjules a écrit :

je ne connais pas bien Ipchains, mais ce que tu dis doit être possible :
 
tu enlèves la référence à l'IP source et là, il bloquera tout. ensuite, tu réautorise ce que tu veux.


 
j'ai compris plus ou moins le principe :)
 
j'ai fait un petit essai, mais j'ai une erreur
 

root@smoothwall~# ipchains -A FORWARD -s 192.168.0.5 -j DROP
ipchains: No target by that name


 
J'ai fait plein de tests avec des valeurs différentes pour le -s, mais ca marche pas :/ à chaque fois il me met no target by that name  :sweat:


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 07-03-2003 à 18:13:55    

la syntaxe doit pas être la même entre iptable et ipchain, et là, tu utilises la syntaxe iptable


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 07-03-2003 à 18:22:59    

J'ai regardé le man et plusieurs exemples sur le net, ils disent bien de faire comme ca [:spamafote]
 
Le -A d'après ce que j'ai lu, c'est qu'on ajoute la règle (ici rejeter le traffic) à une chaine ou qquechose comme ca.
Pourtant qd je fais
 

root@smoothwall~# ipchains --list|grep Chain
Chain input (policy REJECT):
Chain forward (policy REJECT):
Chain output (policy ACCEPT):
Chain squid (1 references):
Chain secin (1 references):
Chain secout (1 references):
Chain block (1 references):
Chain xtaccess (1 references):
Chain dmzholes (1 references):
Chain dmzblock (0 references):
Chain ipac_in (1 references):
Chain ipac_out (1 references):
Chain ipac_bth (2 references):


 
on voit bien qu'il y a une chaine forward... Je comprends plus  :pt1cable:  
 
Keski cloche ? [:sisicaivrai]


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 07-03-2003 à 18:31:39    

essayes cette chaine là pour bloquer tout :
ipchains -P forward DENY


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 07-03-2003 à 19:12:02    

Mjules a écrit :

essayes cette chaine là pour bloquer tout :
ipchains -P forward DENY


 
bon, ya pas eu de message d'erreur... mais je suis derrière, et ca marche encore ?  :heink:


Message édité par freds45 le 07-03-2003 à 19:13:05

---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 07-03-2003 à 19:23:49    

j'avais vu un pb similaire avec iptable qui tenait au fait que la règle est ajoutée à la suite des autres et donc si il y a avant une règle qui autorise l'accès, c'est celle ci qui prévaudra.
 
il fallait utiliser l'option -I (au lieu de -A) avec iptable pour insérer la règle avant les autres.


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 07-03-2003 à 19:31:24    

Ce qui m'étonne avec tout à l'heure, c'est que
 
 

root@smoothwall~# ipchains --list forward
Chain forward (policy DENY):
target     prot opt     source                destination           ports
secout     all  ------  anywhere             anywhere              n/a
MASQ       all  ------  192.168.0.0/24       anywhere              n/a
MASQ       all  ------  192.168.0.0/24       anywhere              n/a
dmzholes   all  ------  anywhere             anywhere              n/a
ACCEPT     all  ------  anywhere             192.168.0.0/24        n/a
-          all  ----l-  anywhere             anywhere              n/a


 
donc la chaine foward existe, mais si je fais:
 

root@smoothwall~# ipchains -A forward -j reject -s 192.168.0.5
ipchains: No target by that name
root@smoothwall~# ipchains -I forward -j reject -s 192.168.0.5
ipchains: No target by that name


pour rejeter tout ce qui vient de 192.168.0.5, bah ca marche pas, il veut plus rien savoir, oubliée la chaine forward :sweat:


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 08-03-2003 à 09:31:35    

:bounce: siouplé, c'est important  :jap: !


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 08-03-2003 à 09:58:56    

dsl ... sur ipchains, peux pas trop t'aider ... :/

Reply

Marsh Posté le 08-03-2003 à 15:03:09    

un ptit coup de main svp... je vx pas y passer mon weekend, et je pige vraiment pas [:sisicaivrai] !


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 08-03-2003 à 15:21:42    

passe en 2.4, ipchains c'est obsolete.
et avec iptables t'as le patch que je t'ai propose plus haut ..
MEts toi une petite deb minimal avec un kernel 2.4

Reply

Marsh Posté le 08-03-2003 à 16:15:23    

oué ca serait la solution, mais j'ai pas tellement envie de changer de distrib :/ j'ai pas le temps de refaire toute la conf et tout le paramétrage...  :(
 
c'est juste un probleme de syntaxe au niveau de la commande, mais je ne vois vraiment PAS d'ou ça vient  :pt1cable:


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 08-03-2003 à 17:21:57    

bon, j'ai trouvé !  [:bananav]  [:bananav]  [:bananav]  
 
C'est TRES con, faut juste mettre le forward en minuscules et pas en MAJUSCULES :o
 

root@smoothwall~# ipchains -I forward -s 192.168.0.5 -j REJECT
root@smoothwall~# ipchains -I input -s 192.168.0.5 -j REJECT


 
... me bloque le traffic forward depuis 192.168.0.5 ! ;)


Message édité par freds45 le 08-03-2003 à 17:22:19

---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 08-03-2003 à 21:51:54    

re probleme, ca marche pas comme j'en ai envie  :sweat:  
 

ipchains -I input 1 -s 192.168.0.5 -j ACCEPT
ipchains -I input 3 -j REJECT -i eth0


 
devrait me bloquer le traffic depuis tous les postes et le laisser sur 192.168.0.5, mais ca me le coupe quand même :/ je vois pas le pb  :sweat: ...


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 08-03-2003 à 22:11:00    

T'as essayé dans le sens inverse ?
ou avec des -A a la place des -I (enfin si ipchains accepte le -A, je suis pas sur, je me base sur iptables...)

Reply

Marsh Posté le 08-03-2003 à 22:36:58    

Dans quel sens il prend les regles normalement quand on fait un ipchains -L input ? De haut en bas, non ?


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 08-03-2003 à 23:07:37    

e_esprit a écrit :

T'as essayé dans le sens inverse ?
ou avec des -A a la place des -I (enfin si ipchains accepte le -A, je suis pas sur, je me base sur iptables...)


 
 
ben je viens de tester, ca me bloque le net nulle part :pt1cable:
C'est quand même dingue cette histoire :sweat:!
 


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 09-03-2003 à 11:42:31    

si qqun veut voir ce qui va pas, voila les 2 scripts:
microsoft et alp1go , ce sont les pcs à garder online 24/24
adresses ip: 192.168.0.42 et 192.168.0.5 respectivement.
 


#
#==============================================================================
#
 
# nouvelle version soir, a executer toutes les n minutes entre 23h et 7h
# voir pour passer via un fichier de hosts à autoriser
 
#on "protege" de la coupure 2 pcs, puis on bloque le reste de la troupe
 
#on voit si  192.168.0.42 est autorisé ou non
if [ `ipchains -L input|grep "microsoft"|grep "ACCEPT"|wc -l` = 0 ]
then
 ipchains -I input 1 -s 192.168.0.42 -j ACCEPT
fi
if [ `ipchains -L forward|grep "microsoft"|grep "ACCEPT"|wc -l` = 0 ]
then
 ipchains -I forward 1 -s 192.168.0.42 -j ACCEPT
fi
 
#on voit si  192.168.0.5 est autorisé ou non
if [ `ipchains -L input|grep "alp1go"|grep "ACCEPT"|wc -l` = 0 ]
then
 ipchains -I input 1 -s 192.168.0.5 -j ACCEPT
fi
if [ `ipchains -L forward|grep "alp1go"|grep "ACCEPT"|wc -l` = 0 ]
then
 ipchains -I forward 1 -s 192.168.0.5 -j ACCEPT
fi
 
#si le blocage n'est pas mis en place, on le remet
if [ `ipchains -L input|grep REJECT|grep "anywhere"|wc -l` = 0 ]
then
 ipchains -I input 3 -j REJECT -i eth0
fi
if [ `ipchains -L forward|grep REJECT|grep "anywhere"|wc -l` = 0 ]
then
 ipchains -I forward 3 -j REJECT -i eth0
fi
 



 
 
 
#
#==============================================================================
#
 
#nouvelle version matin, supprime les blocages mis le soir
 
#si acces toujours pour 192.168.0.42 on l'enleve :
if [ `ipchains -L input|grep "microsoft"|grep "ACCEPT"|wc -l` = 1 ]
then
 NUM = `ipchains -L input|grep "microsoft" -n|grep "ACCEPT"|cut -f1 -d:`
 ipchains -D input $NUM
fi
 
if [ `ipchains -L forward|grep "microsoft"|grep "ACCEPT"|wc -l` = 1 ]
then
 NUM = `ipchains -L forward|grep "microsoft" -n|grep "ACCEPT"|cut -f1 -d:`
 ipchains -D forward $NUM
fi
 
 
 
#si acces toujours pour 192.168.0.5 on l'enleve :
if [ `ipchains -L input|grep "alp1go"|grep "ACCEPT"|wc -l` = 1 ]
then
 NUM = `ipchains -L input|grep "alp1go" -n|grep "ACCEPT"|cut -f1 -d:`
 ipchains -D input $NUM
fi
 
if [ `ipchains -L forward|grep "alp1go"|grep "ACCEPT"|wc -l` = 1 ]
then
 NUM = `ipchains -L forward|grep "alp1go" -n|grep "ACCEPT"|cut -f1 -d:`
 ipchains -D forward $NUM
fi
 
 
#si reste le blocage pour tous les autres, on le vire:
 
if [ `ipchains -L input|grep "anywhere"|grep "REJECT"|wc -l` = 1 ]
then
 NUM = `ipchains -L input|grep "anywhere" -n|grep "REJECT"|cut -f1 -d:`
 ipchains -D input $NUM
fi
if [ `ipchains -L forward|grep "anywhere"|grep "REJECT"|wc -l` = 1 ]
then
 NUM = `ipchains -L forward|grep "anywhere" -n|grep "REJECT"|cut -f1 -d:`
 ipchains -D forward $NUM
fi
 
 
#
#==============================================================================
#


 
j'en ai marre :cry:


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 09-03-2003 à 16:47:41    

up du soir, bonsoir ! :bounce:


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 10-03-2003 à 12:01:01    

allez... un ptit coup de main svp  :hello: !

Reply

Marsh Posté le 10-03-2003 à 12:16:19    

freds45 a écrit :

allez... un ptit coup de main svp  :hello: !


Chnage ton topic en "[HELP] règles ipchains", parce que bon, la plupart des personnes ici connaissent iptables, pas ipchains...

Reply

Marsh Posté le 10-03-2003 à 12:21:06    

Bon, voila ou ca en est :
 
petite precision, je passe par un proxy transparent pour le web (squid).
 
Si je bloque le forward sur tous les postes sauf les 2 a proteger, ca passe. Pareil avec le input. MAIS voila le pb: si je bloque le forward ET l'input sauf sur les 2 postes a proteger, bah ca marche plus nulle part... alors que ca devrait !
Je vois vraiment pas d'ou peut venir le pb :/ ...

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed