Regles ipchains [Help] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 07-03-2003 à 13:54:11
freds45 a écrit : Voila, j'ai une gate sous smoothwall qui marche tres bien , mais je souhaiterai bloquer le traffic vers le net dans un creneau horaire (23h -> 7h) pour certaines machines connectees derriere, mais pas toutes. Je ne vois pas tellement comment faire |
Bah ca me semble la chose la plus logique a faire...
a 23h tu lance le script le plus restrictif, a 7h le script moins restrictif...
Marsh Posté le 07-03-2003 à 13:56:46
e_esprit a écrit : |
oui c'est pas tellement le crontab le probleme, mais c'est koi mettre dans le script pour bloquer le trafic.. c'est la dessus que je bloque
Marsh Posté le 07-03-2003 à 13:59:57
freds45 a écrit : |
Ah, ton probleme c'est que t'y connais rien en iptables ???
Bah tu peux preciser les adresses des tes machines dont on doit bloquer l'acces ? enfin un petit schema de ton reseau quoi si c'est possible (avec plage d'IP et type d'acces au net : modem, ou carte reseau, si oui nom de l'interface, etc...)
Comme ca on pourra te donner les regles iptables a rajouter.
Marsh Posté le 07-03-2003 à 14:10:52
Voila, ca ressemble a ca:
|
Il faut que le net soit dispo 24/24 sur PC1, PC2 et le serveur web, mais pas entre 23h et 7h sur les autres, connectes sur le hub.
Smoothwall: 192.168.0.1
Serveur web: 192.168.0.2
PC1: 192.168.0.5
PC2: 192.168.0.6
Les autres pcs sur le hub : entre 192.168.0.10 et 192.168.0.255 (certains avec une adresse fixe, une partie en dhcp)
Sur la gate, eth0 est sur le lan (192.168.0.1) et ppp0 sur le net (adresse ip non fixe)
Merci
Marsh Posté le 07-03-2003 à 14:16:27
OK, donc le mieux c'est de tout interdire sur la partie intranet, sauf les connexions en provenance de PC1 et PC2, et les connexions deja etablies a destination de ces deux machines...
Ce qui se traduit en terme de regles iptables par... (deux minutes, je cherche )
Marsh Posté le 07-03-2003 à 14:28:05
http://www.netfilter.org/files/pat [...] 07.tar.bz2
Dans Base: tu as le patch TIME
This option adds CONFIG_IP_NF_MATCH_TIME, which supplies a time match module.
This match allows you to filter based on the packet arrival time
(arrival time at the machine which the netfilter is running on) or
departure time (for locally generated packets).
Supported options are:
--timestart HH:MM
The starting point of the time match frame.
--timestop HH:MM
The stopping point of the time match frame
--days Tue,Mon...
Days of the week to match separated by a coma, no space
(one of Sun,Mon,Tue,Wed,Thu,Fri,Sat)
Example:
-A INPUT -m time --timestart 8:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri
will match packets that have an arrival timestamp in the range 8:00->18:00 from Monday
to Friday.
-A OUTPUT -m time --timestart 8:00 --timestop 18:00 --Days Mon
will match the packets (locally generated) that have a departure timestamp
in the range 8:00->18:00 on Monday only.
Marsh Posté le 07-03-2003 à 16:15:47
Tu peux aussi mettre en place un proxy. C'est plus facile et cela pourra te permettre de proscrire des urls (squid avec squidguard (blacklists))... Et même si tu le souhaite il peut te servir de cache (http, dns).Enfin c'est comme tu veux. Voili Voilà
Marsh Posté le 07-03-2003 à 16:48:04
sellin20 a écrit : Tu peux aussi mettre en place un proxy. C'est plus facile et cela pourra te permettre de proscrire des urls (squid avec squidguard (blacklists))... Et même si tu le souhaite il peut te servir de cache (http, dns).Enfin c'est comme tu veux. Voili Voilà |
j'utilise déjà squid en parti justement pour bloquer certaines adresses
j'avais vu qu'on pouvait proscrire le traffic dans certains créneaux horaires avec squid, mais je veux pouvoir bloquer tout, même un simple ping !
Marsh Posté le 07-03-2003 à 16:51:06
yold a écrit : http://www.netfilter.org/files/pat [...] 07.tar.bz2 |
dans le readme ils mettent :
Citation : |
et smoothwall, c'est:
root@smoothwall~# more /proc/version |
je vais tâcher de voir ca avec iptables, mais ...
Marsh Posté le 07-03-2003 à 16:51:41
iptables -A FORWARD -s 192.168.0.11 -j DROP
avec cette commande, tu bloques tout ce qui vient de la machine 192.168.0.11 à destination du Net
EDIT : je viens de voir ta version de noyau, c'est pas iptables qu'il te faut, mais ipchain.
Marsh Posté le 07-03-2003 à 17:04:23
Mjules a écrit : iptables -A FORWARD -s 192.168.0.11 -j DROP |
et on peut pas dire de bloquer TOUT le traffic sauf venant d'un ou 2 postes ?
du genre
ipchains -A FORWARD -s * -j DROP
ipchains -A FORWARD -s 192.168.0.5 -j ALLOW
ou je raconte n'importe koi ?
Marsh Posté le 07-03-2003 à 17:15:57
je ne connais pas bien Ipchains, mais ce que tu dis doit être possible :
tu enlèves la référence à l'IP source et là, il bloquera tout. ensuite, tu réautorise ce que tu veux.
Marsh Posté le 07-03-2003 à 17:21:32
Mjules a écrit : je ne connais pas bien Ipchains, mais ce que tu dis doit être possible : |
j'ai compris plus ou moins le principe
j'ai fait un petit essai, mais j'ai une erreur
root@smoothwall~# ipchains -A FORWARD -s 192.168.0.5 -j DROP |
J'ai fait plein de tests avec des valeurs différentes pour le -s, mais ca marche pas à chaque fois il me met no target by that name
Marsh Posté le 07-03-2003 à 18:13:55
la syntaxe doit pas être la même entre iptable et ipchain, et là, tu utilises la syntaxe iptable
Marsh Posté le 07-03-2003 à 18:22:59
J'ai regardé le man et plusieurs exemples sur le net, ils disent bien de faire comme ca
Le -A d'après ce que j'ai lu, c'est qu'on ajoute la règle (ici rejeter le traffic) à une chaine ou qquechose comme ca.
Pourtant qd je fais
root@smoothwall~# ipchains --list|grep Chain |
on voit bien qu'il y a une chaine forward... Je comprends plus
Keski cloche ?
Marsh Posté le 07-03-2003 à 18:31:39
essayes cette chaine là pour bloquer tout :
ipchains -P forward DENY
Marsh Posté le 07-03-2003 à 19:12:02
Mjules a écrit : essayes cette chaine là pour bloquer tout : |
bon, ya pas eu de message d'erreur... mais je suis derrière, et ca marche encore ?
Marsh Posté le 07-03-2003 à 19:23:49
j'avais vu un pb similaire avec iptable qui tenait au fait que la règle est ajoutée à la suite des autres et donc si il y a avant une règle qui autorise l'accès, c'est celle ci qui prévaudra.
il fallait utiliser l'option -I (au lieu de -A) avec iptable pour insérer la règle avant les autres.
Marsh Posté le 07-03-2003 à 19:31:24
Ce qui m'étonne avec tout à l'heure, c'est que
root@smoothwall~# ipchains --list forward |
donc la chaine foward existe, mais si je fais:
root@smoothwall~# ipchains -A forward -j reject -s 192.168.0.5 |
pour rejeter tout ce qui vient de 192.168.0.5, bah ca marche pas, il veut plus rien savoir, oubliée la chaine forward
Marsh Posté le 08-03-2003 à 09:31:35
ReplyMarsh Posté le 08-03-2003 à 15:03:09
un ptit coup de main svp... je vx pas y passer mon weekend, et je pige vraiment pas !
Marsh Posté le 08-03-2003 à 15:21:42
passe en 2.4, ipchains c'est obsolete.
et avec iptables t'as le patch que je t'ai propose plus haut ..
MEts toi une petite deb minimal avec un kernel 2.4
Marsh Posté le 08-03-2003 à 16:15:23
oué ca serait la solution, mais j'ai pas tellement envie de changer de distrib j'ai pas le temps de refaire toute la conf et tout le paramétrage...
c'est juste un probleme de syntaxe au niveau de la commande, mais je ne vois vraiment PAS d'ou ça vient
Marsh Posté le 08-03-2003 à 17:21:57
bon, j'ai trouvé !
C'est TRES con, faut juste mettre le forward en minuscules et pas en MAJUSCULES
root@smoothwall~# ipchains -I forward -s 192.168.0.5 -j REJECT |
... me bloque le traffic forward depuis 192.168.0.5 !
Marsh Posté le 08-03-2003 à 21:51:54
re probleme, ca marche pas comme j'en ai envie
ipchains -I input 1 -s 192.168.0.5 -j ACCEPT |
devrait me bloquer le traffic depuis tous les postes et le laisser sur 192.168.0.5, mais ca me le coupe quand même je vois pas le pb ...
Marsh Posté le 08-03-2003 à 22:11:00
T'as essayé dans le sens inverse ?
ou avec des -A a la place des -I (enfin si ipchains accepte le -A, je suis pas sur, je me base sur iptables...)
Marsh Posté le 08-03-2003 à 22:36:58
Dans quel sens il prend les regles normalement quand on fait un ipchains -L input ? De haut en bas, non ?
Marsh Posté le 08-03-2003 à 23:07:37
e_esprit a écrit : T'as essayé dans le sens inverse ? |
ben je viens de tester, ca me bloque le net nulle part
C'est quand même dingue cette histoire !
Marsh Posté le 09-03-2003 à 11:42:31
si qqun veut voir ce qui va pas, voila les 2 scripts:
microsoft et alp1go , ce sont les pcs à garder online 24/24
adresses ip: 192.168.0.42 et 192.168.0.5 respectivement.
|
|
j'en ai marre
Marsh Posté le 09-03-2003 à 16:47:41
ReplyMarsh Posté le 10-03-2003 à 12:16:19
freds45 a écrit : allez... un ptit coup de main svp ! |
Chnage ton topic en "[HELP] règles ipchains", parce que bon, la plupart des personnes ici connaissent iptables, pas ipchains...
Marsh Posté le 10-03-2003 à 12:21:06
Bon, voila ou ca en est :
petite precision, je passe par un proxy transparent pour le web (squid).
Si je bloque le forward sur tous les postes sauf les 2 a proteger, ca passe. Pareil avec le input. MAIS voila le pb: si je bloque le forward ET l'input sauf sur les 2 postes a proteger, bah ca marche plus nulle part... alors que ca devrait !
Je vois vraiment pas d'ou peut venir le pb ...
Marsh Posté le 07-03-2003 à 13:52:20
Voila, j'ai une gate sous smoothwall qui marche tres bien , mais je souhaiterai bloquer le traffic vers le net dans un creneau horaire (23h -> 7h) pour certaines machines connectees derriere, mais pas toutes. Je ne vois pas tellement comment faire
Mettre qquechose dans le crontab ?
Autre solution ?
Message édité par freds45 le 10-03-2003 à 12:18:59