Ainsi parla [EMAIL PROTECTED] <[EMAIL PROTECTED]>, le 5 septembre de l'an de
grâce 2003 :
> il faut ajouter une ligne par site commençant par 0.0.0.0 suivi de l'URL
> de chaque site web à bloquer:
> 0.0.0.0 www.siteabloquer1
> 0.0.0.0 www.siteabloquer2
Ceci concerne une forme différente de contrôle. Plus précisement, il
s'agit ici d'empêcher la résolution de noms (depuis la machine IpCop) de
certains noms d'hôte. Ça peut servir couplé à un proxy transparent pour
empêcher les utilisateurs à l'intérieur du réseau d'accéder à un site :
le proxy se verra répondre une adresse non-routable pour le site, et
renverra un message d'erreur. Je pourrais ajouter que je ne suis pas un
chaud partisan de ce genre de technique (un proxy filtrant chaîné avec
un proxy cache est bien plus flexible) mais ce n'est pas le débat. Ce
qui nous importe ici, c'est que cela n'empêchera pas des paquets
martiens de rentrer...
> et si ce n'est ni l'un ni l'autre, comment faut-il faire?
Je ne connais pas IPCop, toutefois quelques recherches avec mon ami
Google me donnent la piste suivante. Je considère ici comme acquis
d'après le fait que ta distrib' est installée depuis pas mal de temps
qu'il s'agit d'une version 1.2 :
tu dois avoir un fichier nommé /etc/rc.d/rc.firewall.up. Celui-ci doit
contenir des règles de filtrage.
#!/bin/sh
[ ... des commandes... ]
ipchains -P input REJECT
ipchains -P forward REJECT
ipchains -P output ACCEPT
Ici, on peut intervenir (avant les autres règles, entre autres pour que
ce soit intercepté avant celle qui journalise tout et remplit ton
disque :-) et rajouter une chaîne de règles spécifiques :
# Chaîne pour les Martiens
ipchains -N martiansgohome
ipchains -A martiansgohome -i ppp0 -j DENY -s 10.0.0.0/255.0.0.0
ipchains -A martiansgohome -i ppp0 -j DENY -s 172.16.0.0/255.240.0.0
[...]
# Et on ajoute la nouvelle chaîne à input
ipchains -A input -j martiansgohome
En théorie, il faudrait probablement aussi ajouter ladite chaîne à la
chaîne forward, iptables règle ça pour sa part avec la chaîne
PREROUTING qui est plus adaptée mais c'est une autre histoire.
Ceci étant dit, quelques réserves :
(1) je suis un gros neu² donc j'ai probablement raté quelque chose
(2) ça fait une plombe que j'ai pas eu un ipchains entre les mains
(3) je connais pas IPCop donc certains trucs spécifiques ont pu me
passer sous le nez. Gaffe avant de bidouiller le fichier. Mieux
vaudrait consulter un expert de ladite distrib'
> Ce qui m'ennuie, c'est que l'adresse qui devrait être bloquée en
> priorité, c'est: 127.0.0.1:80. Or c'est aussi celle du loopback!
Oui, mais tu peux spécifier l'interface sur laquelle tu ne veux pas de
ces paquets. Il est tout à fait normal que des paquets ayant comme
source 127.0.0.1 sortent de l'interface 'lo'. En revanche, ils n'ont
rien à faire sur ppp0 (la session PPP du modem qui ne doit amener _que_
des adresses routables). Donc on écrit :
ipchains -A martiansgohome -i ppp0 -j DENY -s 127.0.0.0/255.0.0.0
Néanmoins, encore une fois : ce sont des paramètres à modifier avec
prudence...
Voilà, j'espère que ça peut aider.
+++
--
Jacques Caruso | Administrateur système | Life? Don't talk to
[EMAIL PROTECTED] | Webmaster, jeuxdroles.org | me about life!
(+33) 493 847 728 | Membre des Minotaures du Sud | -- Marvin the
PGP : 0x41F5C63D | Membre de Linux-Azur | paranoid android
Linux-Azur : http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
**** Pas de message au format HTML, SVP ****
