RE: Pont filtrant

2014-03-12 Par sujet RAOULT sylvain 
Merci à vous tous pour vos réponses et désolé Bzz pour tes yeux :)
As-tu essayé plutôt un apt-get clean   ? :)

>Attention quand même , parce que la (si la règle matche) tu autorise la 
>totalité du réseau 192.168.0.X, et pas seulement le proxy.
Oui je m'en suis aperçu après, j'avais fait une sorte de passoire.

>"ebtables" serait surement plus approprié.
Effectivement , j'ai lu quelques posts à ce sujet, mais me sentant  "+ à l'aise 
avec iptables", je suis plutôt parti la dessus.

>Le forward est il activé ?
Est-ce vraiment utile d'activer le forward  dans une configuration de pont ?
La passerelle n'est pas le pont mais le routeur derrière

Après plusieurs test, j'ai réussi à faire ce que je voulais, je n'ai pas touché 
à la conf du bridge qui est bonne, et je me suis inspiré d'un post sur 
léa-linux pour la conf iptable.

La voici :


#!/bin/bash

 iptables -F
 iptables -X

 LANS="192.168.0.0/255.255.255.0"
 PROXY="192.168.0.5"
 WEB="192.168.0.6"
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

iptables -N KEEP_STATE
iptables -F KEEP_STATE
iptables -A KEEP_STATE -m state --state INVALID -j DROP
iptables -A KEEP_STATE -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -j KEEP_STATE

#règles persos
iptables -A FORWARD -p tcp -d $WEB --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s $LANS --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -s $LANS --dport 143 -j ACCEPT
iptables -A FORWARD -p tcp -s $LANS --dport 443 -j ACCEPT

#
iptables -A FORWARD -s $PROXY -j ACCEPT
iptables -A FORWARD -j DROP

--
Il n'y a donc que le proxy qui puisse sortir 'en tte liberté' et ainsi empêcher 
la connexion directe. 
J'espère que ces règles tiennent la route.







Re,

Le 11/03/2014 15:04, sylv raou a écrit :
> 
> Au lieu de faire une règle de redirection de port, je préfère bloquer 
> le  port 80 pour le lan, et n'autoriser que le proxy.
> je configure les règles suivantes :
> 
> #! /bin/sh
> iptables -F
> iptables -X
> PROXY="192.168.0.5/255.255.225.0";
> iptables -F FORWARD
> iptables -P FORWARD DROP
> iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID 
> -j DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j 
> ACCEPT iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT
> 
> Le proxy ne veut pas sortir ?
> Ai-je commis une erreur quelque part ?
> 

Question con, mais des fois ...

Le forward est il activé ?

*Méthode bourrin* :

echo 1 > /proc/sys/net/ipv4/ip_forward

*Méthode plus douce* :

sysctl net.ipv4.ip_forward=1

*Méthode permanente* :

retirer le # dans le fichier /etc/sysctl.conf

#net.ipv4.ip_forward=1

@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/531f7ea3.2030...@stuxnet.org

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/d88d0d07a51e40809e09d2b4a7ed7...@db4pr01mb175.eurprd01.prod.exchangelabs.com

RE: Pont filtrant

2014-03-11 Par sujet RAOULT sylvain 
Non non pas le masque

-Message d'origine-
De : Bzzz [mailto:lazyvi...@gmx.com] 
Envoyé : mardi 11 mars 2014 16:19
À : debian-user-french@lists.debian.org
Objet : Re: Pont filtrant

On Tue, 11 Mar 2014 14:35:59 +
RAOULT sylvain  wrote:

> PROXY="192.168.0.5/255.255.255.0";  au lieu de 
> PROXY="192.168.0.5/255.255.225.0";

Heu, j'veux pas dire, mais c'est la même ligne.

--
Damien: Au lit ma copine dit que je suis un athlète olympique !
Yoann: Oui, t'es bon une fois tous les 4 ans.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20140311161926.2173adf9@anubis.defcon1

RE: Pont filtrant

2014-03-11 Par sujet RAOULT sylvain 
Je viens de m'apercevoir d'une erreur dans ma variable en la recopiant , 
l'erreur ne figure pas dans le vrai script
PROXY="192.168.0.5/255.255.255.0";  au lieu de 
PROXY="192.168.0.5/255.255.225.0";



-Message d'origine-
De : Bzzz [mailto:lazyvi...@gmx.com] 
Envoyé : mardi 11 mars 2014 15:15
À : debian-user-french@lists.debian.org
Cc : sylv raou
Objet : Re: Pont filtrant

On Tue, 11 Mar 2014 14:04:42 + (GMT) sylv raou  wrote:

> routeur(192.168.0.1)<-->pont
> (eth1 - br0 - eth2)--->lan (192.168.0.0/24)
> 
> Proxy (192.168.0.5/24).
> Voici le pont :
> 
> brctl addbr brbrctl addif br0 eth0
> brctl addif br0 eth1
> ifconfig eth0 0.0.0.0
> ifconfig eth1 0.0.0.0
> ifconfig br0 192.168.0.12 netmask 255.255.255.0 broadcast
> 192.168.0.255

Déjà, tu bridges sur le même segment, ce qui relativement peu courant, ensuite, 
tu n'as pas séparé tes segments (adresses de broadcast différentes, masques 
différents), donc c'est peu étonnant que ça NMP.

--
 Je suis tellement un no-life que quand je sors de chez moi
  on me prend pour un nouveau voisin --'

RE: Pont filtrant

2014-03-11 Par sujet RAOULT sylvain 
Merci de ta réponse.
En fait j'ai suivi la documentation officielle ici: 
http://www.debian.org/doc/manuals/securing-debian-howto/ap-bridge-fw.en.html
Je voulais faire en sorte que le lan soit obligé de passer par le proxy ; je 
n'ai absolument pas la main sur le routeur du fai, et j'ai donc abandonné 
l'idée du proxy transparent. 


-Message d'origine-
De : Bzzz [mailto:lazyvi...@gmx.com] 
Envoyé : mardi 11 mars 2014 15:15
À : debian-user-french@lists.debian.org
Cc : sylv raou
Objet : Re: Pont filtrant

On Tue, 11 Mar 2014 14:04:42 + (GMT) sylv raou  wrote:

> routeur(192.168.0.1)<-->pont
> (eth1 - br0 - eth2)--->lan (192.168.0.0/24)
> 
> Proxy (192.168.0.5/24).
> Voici le pont :
> 
> brctl addbr brbrctl addif br0 eth0
> brctl addif br0 eth1
> ifconfig eth0 0.0.0.0
> ifconfig eth1 0.0.0.0
> ifconfig br0 192.168.0.12 netmask 255.255.255.0 broadcast
> 192.168.0.255

Déjà, tu bridges sur le même segment, ce qui relativement peu courant, ensuite, 
tu n'as pas séparé tes segments (adresses de broadcast différentes, masques 
différents), donc c'est peu étonnant que ça NMP.

--
 Je suis tellement un no-life que quand je sors de chez moi
  on me prend pour un nouveau voisin --'