Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1075 connectés 

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Help] Regles ipchains

n°234104
freds45
Posté le 07-03-2003 à 13:52:20  profilanswer
 

Voila, j'ai une gate sous smoothwall qui marche tres bien :), mais je souhaiterai bloquer le traffic vers le net dans un creneau horaire (23h -> 7h) pour certaines machines connectees derriere, mais pas toutes. Je ne vois pas tellement comment faire :/
Mettre qquechose dans le crontab ?
Autre solution ?
 
 :hello:


Message édité par freds45 le 10-03-2003 à 12:18:59
mood
Publicité
Posté le 07-03-2003 à 13:52:20  profilanswer
 

n°234106
e_esprit
Posté le 07-03-2003 à 13:54:11  profilanswer
 

freds45 a écrit :

Voila, j'ai une gate sous smoothwall qui marche tres bien :), mais je souhaiterai bloquer le traffic vers le net dans un creneau horaire (23h -> 7h) pour certaines machines connectees derriere, mais pas toutes. Je ne vois pas tellement comment faire :/
Mettre qquechose dans le crontab ?
Autre solution ?
 
 :hello:  


Bah ca me semble la chose la plus logique a faire...
a 23h tu lance le script le plus restrictif, a 7h le script moins restrictif...

n°234110
freds45
Posté le 07-03-2003 à 13:56:46  profilanswer
 

e_esprit a écrit :


Bah ca me semble la chose la plus logique a faire...
a 23h tu lance le script le plus restrictif, a 7h le script moins restrictif...


 
 
oui c'est pas tellement le crontab le probleme, mais c'est koi mettre dans le script pour bloquer le trafic.. :/ c'est la dessus que je bloque :/

n°234113
e_esprit
Posté le 07-03-2003 à 13:59:57  profilanswer
 

freds45 a écrit :


 
 
oui c'est pas tellement le crontab le probleme, mais c'est koi mettre dans le script pour bloquer le trafic.. :/ c'est la dessus que je bloque :/


Ah, ton probleme c'est que t'y connais rien en iptables ???
Bah tu peux preciser les adresses des tes machines dont on doit bloquer l'acces ? enfin un petit schema de ton reseau quoi si c'est possible (avec plage d'IP et type d'acces au net : modem, ou carte reseau, si oui nom de l'interface, etc...)
Comme ca on pourra te donner les regles iptables a rajouter.

n°234120
freds45
Posté le 07-03-2003 à 14:10:52  profilanswer
 

:jap: Voila, ca ressemble a ca:
 


   Internet
      |
 Modem ADSL USB
      |
  Smoothwall
      |
    Switch--Serveur
    / |  \
PC1  |   PC2
      |
     Hub
    / | \
 (bcp de pc)


 
Il faut que le net soit dispo 24/24 sur PC1, PC2 et le serveur web, mais pas entre 23h et 7h sur les autres, connectes sur le hub.
 
Smoothwall: 192.168.0.1
Serveur web: 192.168.0.2
PC1: 192.168.0.5
PC2: 192.168.0.6
Les autres pcs sur le hub : entre 192.168.0.10 et 192.168.0.255 (certains avec une adresse fixe, une partie en dhcp)
 
Sur la gate, eth0 est sur le lan (192.168.0.1) et ppp0 sur le net (adresse ip non fixe)
 
 
Merci :)


Message édité par freds45 le 07-03-2003 à 14:11:49
n°234126
e_esprit
Posté le 07-03-2003 à 14:16:27  profilanswer
 

OK, donc le mieux c'est de tout interdire sur la partie intranet, sauf les connexions en provenance de PC1 et PC2, et les connexions deja etablies a destination de ces deux machines...
 
Ce qui se traduit en terme de regles iptables par... (deux minutes, je cherche :D )

n°234130
freds45
Posté le 07-03-2003 à 14:21:24  profilanswer
 

merci de ton aide :hello:

n°234135
yold
Posté le 07-03-2003 à 14:28:05  profilanswer
 

http://www.netfilter.org/files/pat [...] 07.tar.bz2
 
Dans Base: tu as le patch TIME
 
This option adds CONFIG_IP_NF_MATCH_TIME, which supplies a time match module.
This match allows you to filter based on the packet arrival time
(arrival time at the machine which the netfilter is running on) or
departure time (for locally generated packets).
 
Supported options are:
--timestart HH:MM
  The starting point of the time match frame.
 
--timestop HH:MM
  The stopping point of the time match frame
 
--days Tue,Mon...
  Days of the week to match separated by a coma, no space
  (one of Sun,Mon,Tue,Wed,Thu,Fri,Sat)
 
Example:
  -A INPUT -m time --timestart 8:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri
  will match packets that have an arrival timestamp in the range 8:00->18:00 from Monday
  to Friday.
 
  -A OUTPUT -m time --timestart 8:00 --timestop 18:00 --Days Mon
  will match the packets (locally generated) that have a departure timestamp
  in the range 8:00->18:00 on Monday only.

n°234229
sellin20
Posté le 07-03-2003 à 16:15:47  profilanswer
 

Tu peux aussi mettre en place un proxy. C'est plus facile et cela pourra te permettre de proscrire des urls (squid avec squidguard (blacklists))... Et même si tu le souhaite il peut te servir de cache (http, dns).Enfin c'est comme tu veux. Voili Voilà  :hello:

n°234262
freds45
Posté le 07-03-2003 à 16:48:04  profilanswer
 

sellin20 a écrit :

Tu peux aussi mettre en place un proxy. C'est plus facile et cela pourra te permettre de proscrire des urls (squid avec squidguard (blacklists))... Et même si tu le souhaite il peut te servir de cache (http, dns).Enfin c'est comme tu veux. Voili Voilà  :hello:  


 
j'utilise déjà squid ;) en parti justement pour bloquer certaines adresses :)
 
j'avais vu qu'on pouvait proscrire le traffic dans certains créneaux horaires avec squid, mais je veux pouvoir bloquer tout, même un simple ping :D !


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
mood
Publicité
Posté le 07-03-2003 à 16:48:04  profilanswer
 

n°234264
freds45
Posté le 07-03-2003 à 16:51:06  profilanswer
 

yold a écrit :

http://www.netfilter.org/files/pat [...] 07.tar.bz2
 
Dans Base: tu as le patch TIME
 
This option adds CONFIG_IP_NF_MATCH_TIME, which supplies a time match module.
This match allows you to filter based on the packet arrival time
(arrival time at the machine which the netfilter is running on) or
departure time (for locally generated packets).
 
Supported options are:
--timestart HH:MM
  The starting point of the time match frame.
 
--timestop HH:MM
  The stopping point of the time match frame
 
--days Tue,Mon...
  Days of the week to match separated by a coma, no space
  (one of Sun,Mon,Tue,Wed,Thu,Fri,Sat)
 
Example:
  -A INPUT -m time --timestart 8:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri
  will match packets that have an arrival timestamp in the range 8:00->18:00 from Monday
  to Friday.
 
  -A OUTPUT -m time --timestart 8:00 --timestop 18:00 --Days Mon
  will match the packets (locally generated) that have a departure timestamp
  in the range 8:00->18:00 on Monday only.
 


 
dans le readme ils mettent :

Citation :


IMPORTANT NOTE: This version _only_ supports kernel >= 2.4.18


 
et smoothwall, c'est:
 

root@smoothwall~# more /proc/version
Linux version 2.2.23 (root@work) (gcc version egcs-2.91.66 19990314/Linux (egcs-
1.1.2 release)) #5 Tue Dec 3 10:49:36 GMT 2002


:/
 
je vais tâcher de voir ca avec iptables, mais  :sweat: ...


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°234265
Mjules
Modérateur
Parle dans le vide
Posté le 07-03-2003 à 16:51:41  profilanswer
 

iptables -A FORWARD -s 192.168.0.11 -j DROP
 
avec cette commande, tu bloques tout ce qui vient de la machine 192.168.0.11 à destination du Net
 
EDIT : je viens de voir ta version de noyau, c'est pas iptables qu'il te faut, mais ipchain.


Message édité par Mjules le 07-03-2003 à 16:52:29

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
n°234275
freds45
Posté le 07-03-2003 à 17:04:23  profilanswer
 

Mjules a écrit :

iptables -A FORWARD -s 192.168.0.11 -j DROP
 
avec cette commande, tu bloques tout ce qui vient de la machine 192.168.0.11 à destination du Net
 
EDIT : je viens de voir ta version de noyau, c'est pas iptables qu'il te faut, mais ipchain.


 
 
et on peut pas dire de bloquer TOUT le traffic sauf venant d'un ou 2 postes ?
 
du genre
 
ipchains -A FORWARD -s * -j DROP  
ipchains -A FORWARD -s 192.168.0.5 -j ALLOW
 
 :??: ou je raconte n'importe koi ?  :pt1cable:  


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°234280
Mjules
Modérateur
Parle dans le vide
Posté le 07-03-2003 à 17:15:57  profilanswer
 

je ne connais pas bien Ipchains, mais ce que tu dis doit être possible :
 
tu enlèves la référence à l'IP source et là, il bloquera tout. ensuite, tu réautorise ce que tu veux.


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
n°234281
freds45
Posté le 07-03-2003 à 17:21:32  profilanswer
 

Mjules a écrit :

je ne connais pas bien Ipchains, mais ce que tu dis doit être possible :
 
tu enlèves la référence à l'IP source et là, il bloquera tout. ensuite, tu réautorise ce que tu veux.


 
j'ai compris plus ou moins le principe :)
 
j'ai fait un petit essai, mais j'ai une erreur
 

root@smoothwall~# ipchains -A FORWARD -s 192.168.0.5 -j DROP
ipchains: No target by that name


 
J'ai fait plein de tests avec des valeurs différentes pour le -s, mais ca marche pas :/ à chaque fois il me met no target by that name  :sweat:


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°234312
Mjules
Modérateur
Parle dans le vide
Posté le 07-03-2003 à 18:13:55  profilanswer
 

la syntaxe doit pas être la même entre iptable et ipchain, et là, tu utilises la syntaxe iptable


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
n°234317
freds45
Posté le 07-03-2003 à 18:22:59  profilanswer
 

J'ai regardé le man et plusieurs exemples sur le net, ils disent bien de faire comme ca [:spamafote]
 
Le -A d'après ce que j'ai lu, c'est qu'on ajoute la règle (ici rejeter le traffic) à une chaine ou qquechose comme ca.
Pourtant qd je fais
 

root@smoothwall~# ipchains --list|grep Chain
Chain input (policy REJECT):
Chain forward (policy REJECT):
Chain output (policy ACCEPT):
Chain squid (1 references):
Chain secin (1 references):
Chain secout (1 references):
Chain block (1 references):
Chain xtaccess (1 references):
Chain dmzholes (1 references):
Chain dmzblock (0 references):
Chain ipac_in (1 references):
Chain ipac_out (1 references):
Chain ipac_bth (2 references):


 
on voit bien qu'il y a une chaine forward... Je comprends plus  :pt1cable:  
 
Keski cloche ? [:sisicaivrai]


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°234322
Mjules
Modérateur
Parle dans le vide
Posté le 07-03-2003 à 18:31:39  profilanswer
 

essayes cette chaine là pour bloquer tout :
ipchains -P forward DENY


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
n°234341
freds45
Posté le 07-03-2003 à 19:12:02  profilanswer
 

Mjules a écrit :

essayes cette chaine là pour bloquer tout :
ipchains -P forward DENY


 
bon, ya pas eu de message d'erreur... mais je suis derrière, et ca marche encore ?  :heink:


Message édité par freds45 le 07-03-2003 à 19:13:05

---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°234342
Mjules
Modérateur
Parle dans le vide
Posté le 07-03-2003 à 19:23:49  profilanswer
 

j'avais vu un pb similaire avec iptable qui tenait au fait que la règle est ajoutée à la suite des autres et donc si il y a avant une règle qui autorise l'accès, c'est celle ci qui prévaudra.
 
il fallait utiliser l'option -I (au lieu de -A) avec iptable pour insérer la règle avant les autres.


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
n°234344
freds45
Posté le 07-03-2003 à 19:31:24  profilanswer
 

Ce qui m'étonne avec tout à l'heure, c'est que
 
 

root@smoothwall~# ipchains --list forward
Chain forward (policy DENY):
target     prot opt     source                destination           ports
secout     all  ------  anywhere             anywhere              n/a
MASQ       all  ------  192.168.0.0/24       anywhere              n/a
MASQ       all  ------  192.168.0.0/24       anywhere              n/a
dmzholes   all  ------  anywhere             anywhere              n/a
ACCEPT     all  ------  anywhere             192.168.0.0/24        n/a
-          all  ----l-  anywhere             anywhere              n/a


 
donc la chaine foward existe, mais si je fais:
 

root@smoothwall~# ipchains -A forward -j reject -s 192.168.0.5
ipchains: No target by that name
root@smoothwall~# ipchains -I forward -j reject -s 192.168.0.5
ipchains: No target by that name


pour rejeter tout ce qui vient de 192.168.0.5, bah ca marche pas, il veut plus rien savoir, oubliée la chaine forward :sweat:


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°234442
freds45
Posté le 08-03-2003 à 09:31:35  profilanswer
 

:bounce: siouplé, c'est important  :jap: !


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°234444
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 08-03-2003 à 09:58:56  profilanswer
 

dsl ... sur ipchains, peux pas trop t'aider ... :/

n°234527
freds45
Posté le 08-03-2003 à 15:03:09  profilanswer
 

un ptit coup de main svp... je vx pas y passer mon weekend, et je pige vraiment pas [:sisicaivrai] !


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°234536
yold
Posté le 08-03-2003 à 15:21:42  profilanswer
 

passe en 2.4, ipchains c'est obsolete.
et avec iptables t'as le patch que je t'ai propose plus haut ..
MEts toi une petite deb minimal avec un kernel 2.4

n°234542
freds45
Posté le 08-03-2003 à 16:15:23  profilanswer
 

oué ca serait la solution, mais j'ai pas tellement envie de changer de distrib :/ j'ai pas le temps de refaire toute la conf et tout le paramétrage...  :(
 
c'est juste un probleme de syntaxe au niveau de la commande, mais je ne vois vraiment PAS d'ou ça vient  :pt1cable:


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°234566
freds45
Posté le 08-03-2003 à 17:21:57  profilanswer
 

bon, j'ai trouvé !  [:bananav]  [:bananav]  [:bananav]  
 
C'est TRES con, faut juste mettre le forward en minuscules et pas en MAJUSCULES :o
 

root@smoothwall~# ipchains -I forward -s 192.168.0.5 -j REJECT
root@smoothwall~# ipchains -I input -s 192.168.0.5 -j REJECT


 
... me bloque le traffic forward depuis 192.168.0.5 ! ;)


Message édité par freds45 le 08-03-2003 à 17:22:19

---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°234634
freds45
Posté le 08-03-2003 à 21:51:54  profilanswer
 

re probleme, ca marche pas comme j'en ai envie  :sweat:  
 

ipchains -I input 1 -s 192.168.0.5 -j ACCEPT
ipchains -I input 3 -j REJECT -i eth0


 
devrait me bloquer le traffic depuis tous les postes et le laisser sur 192.168.0.5, mais ca me le coupe quand même :/ je vois pas le pb  :sweat: ...


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°234641
e_esprit
Posté le 08-03-2003 à 22:11:00  profilanswer
 

T'as essayé dans le sens inverse ?
ou avec des -A a la place des -I (enfin si ipchains accepte le -A, je suis pas sur, je me base sur iptables...)

n°234642
freds45
Posté le 08-03-2003 à 22:36:58  profilanswer
 

Dans quel sens il prend les regles normalement quand on fait un ipchains -L input ? De haut en bas, non ?


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°234650
freds45
Posté le 08-03-2003 à 23:07:37  profilanswer
 

e_esprit a écrit :

T'as essayé dans le sens inverse ?
ou avec des -A a la place des -I (enfin si ipchains accepte le -A, je suis pas sur, je me base sur iptables...)


 
 
ben je viens de tester, ca me bloque le net nulle part :pt1cable:
C'est quand même dingue cette histoire :sweat:!
 


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°234689
freds45
Posté le 09-03-2003 à 11:42:31  profilanswer
 

si qqun veut voir ce qui va pas, voila les 2 scripts:
microsoft et alp1go , ce sont les pcs à garder online 24/24
adresses ip: 192.168.0.42 et 192.168.0.5 respectivement.
 


#
#==============================================================================
#
 
# nouvelle version soir, a executer toutes les n minutes entre 23h et 7h
# voir pour passer via un fichier de hosts à autoriser
 
#on "protege" de la coupure 2 pcs, puis on bloque le reste de la troupe
 
#on voit si  192.168.0.42 est autorisé ou non
if [ `ipchains -L input|grep "microsoft"|grep "ACCEPT"|wc -l` = 0 ]
then
 ipchains -I input 1 -s 192.168.0.42 -j ACCEPT
fi
if [ `ipchains -L forward|grep "microsoft"|grep "ACCEPT"|wc -l` = 0 ]
then
 ipchains -I forward 1 -s 192.168.0.42 -j ACCEPT
fi
 
#on voit si  192.168.0.5 est autorisé ou non
if [ `ipchains -L input|grep "alp1go"|grep "ACCEPT"|wc -l` = 0 ]
then
 ipchains -I input 1 -s 192.168.0.5 -j ACCEPT
fi
if [ `ipchains -L forward|grep "alp1go"|grep "ACCEPT"|wc -l` = 0 ]
then
 ipchains -I forward 1 -s 192.168.0.5 -j ACCEPT
fi
 
#si le blocage n'est pas mis en place, on le remet
if [ `ipchains -L input|grep REJECT|grep "anywhere"|wc -l` = 0 ]
then
 ipchains -I input 3 -j REJECT -i eth0
fi
if [ `ipchains -L forward|grep REJECT|grep "anywhere"|wc -l` = 0 ]
then
 ipchains -I forward 3 -j REJECT -i eth0
fi
 



 
 
 
#
#==============================================================================
#
 
#nouvelle version matin, supprime les blocages mis le soir
 
#si acces toujours pour 192.168.0.42 on l'enleve :
if [ `ipchains -L input|grep "microsoft"|grep "ACCEPT"|wc -l` = 1 ]
then
 NUM = `ipchains -L input|grep "microsoft" -n|grep "ACCEPT"|cut -f1 -d:`
 ipchains -D input $NUM
fi
 
if [ `ipchains -L forward|grep "microsoft"|grep "ACCEPT"|wc -l` = 1 ]
then
 NUM = `ipchains -L forward|grep "microsoft" -n|grep "ACCEPT"|cut -f1 -d:`
 ipchains -D forward $NUM
fi
 
 
 
#si acces toujours pour 192.168.0.5 on l'enleve :
if [ `ipchains -L input|grep "alp1go"|grep "ACCEPT"|wc -l` = 1 ]
then
 NUM = `ipchains -L input|grep "alp1go" -n|grep "ACCEPT"|cut -f1 -d:`
 ipchains -D input $NUM
fi
 
if [ `ipchains -L forward|grep "alp1go"|grep "ACCEPT"|wc -l` = 1 ]
then
 NUM = `ipchains -L forward|grep "alp1go" -n|grep "ACCEPT"|cut -f1 -d:`
 ipchains -D forward $NUM
fi
 
 
#si reste le blocage pour tous les autres, on le vire:
 
if [ `ipchains -L input|grep "anywhere"|grep "REJECT"|wc -l` = 1 ]
then
 NUM = `ipchains -L input|grep "anywhere" -n|grep "REJECT"|cut -f1 -d:`
 ipchains -D input $NUM
fi
if [ `ipchains -L forward|grep "anywhere"|grep "REJECT"|wc -l` = 1 ]
then
 NUM = `ipchains -L forward|grep "anywhere" -n|grep "REJECT"|cut -f1 -d:`
 ipchains -D forward $NUM
fi
 
 
#
#==============================================================================
#


 
j'en ai marre :cry:


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°234758
freds45
Posté le 09-03-2003 à 16:47:41  profilanswer
 

up du soir, bonsoir ! :bounce:


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°234906
freds45
Posté le 10-03-2003 à 12:01:01  profilanswer
 

allez... un ptit coup de main svp  :hello: !

n°234910
e_esprit
Posté le 10-03-2003 à 12:16:19  profilanswer
 

freds45 a écrit :

allez... un ptit coup de main svp  :hello: !


Chnage ton topic en "[HELP] règles ipchains", parce que bon, la plupart des personnes ici connaissent iptables, pas ipchains...

n°234915
freds45
Posté le 10-03-2003 à 12:21:06  profilanswer
 

Bon, voila ou ca en est :
 
petite precision, je passe par un proxy transparent pour le web (squid).
 
Si je bloque le forward sur tous les postes sauf les 2 a proteger, ca passe. Pareil avec le input. MAIS voila le pb: si je bloque le forward ET l'input sauf sur les 2 postes a proteger, bah ca marche plus nulle part... alors que ca devrait !
Je vois vraiment pas d'ou peut venir le pb :/ ...

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
 

Sujets relatifs
[IPTABLES] quelles règles pour ftp ?Créer des regles sur les adresses Mail.
[HELP] J'ai merdé gros temp! - Gentoo - Grub - Evms [RESOLU]Help ! Je peux pas envoyer de mail !
Help !!!! Installation de 2 OS !!<!>HELP<!> Installation de 2 OS
help, plus d'affichage KDE (installation de driver Nvidia)Probleme partition/sauvegarde donnee importantes ...please help !!!
Linux Phpsysinfo Help !plantage logiciel lors d'un acces a la racine / HELP
Plus de sujets relatifs à : [Help] Regles ipchains


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR