Bonjour,=0AJe suis en train de monter un pont filtrant entre un lan et un r=
outeur (sur lequel je n'ai pas la main).=0ALe but est d'interdire le surf e=
n bloquant le trafic web sur le pont, et n'y autoriser que le proxy.=0Arout=
eur(192.168.0.1)<---------------------->pont (eth1 - br0 - eth2)-----------=
---->lan (192.168.0.0/24)=0A=0AProxy (192.168.0.5/24).=0AVoici le pont :=0A=
=0Abrctl addbr brbrctl addif br0 eth0=0Abrctl addif br0 eth1=0Aifconfig eth=
0 0.0.0.0=0Aifconfig eth1 0.0.0.0=0Aifconfig br0 192.168.0.12 netmask 255.2=
55.255.0 broadcast 192.168.0.255=0A=0A=0AAu lieu de faire une r=E8gle de re=
direction de port, je pr=E9f=E8re bloquer le=A0 port 80 pour le lan, et n'a=
utoriser que le proxy.=0Aje configure les r=E8gles suivantes : =0A=0A=0A#! =
/bin/sh=0Aiptables -F=0Aiptables -X=0APROXY=3D"192.168.0.5/255.255.225.0";=
=0Aiptables -F FORWARD=0Aiptables -P FORWARD DROP=0Aiptables -A FORWARD -s =
0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP=0Aiptables -A FORWA=
RD -m state --state ESTABLISHED,RELATED -j ACCEPT=0Aiptables -A FORWARD -p =
tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT=0A=0ALe proxy ne veut pas sortir ?=0AA=
i-je commis une erreur quelque part ?
--679054512-188571247-1394546682=:50039
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
<html><body><div style=3D"color:#000; background-color:#fff; font-family:He=
lveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif;fo=
nt-size:12pt"><div>Bonjour,</div>=0A<div>Je suis en train de monter un pont=
filtrant entre un lan et un routeur (sur lequel je n'ai pas la main).</div=
>=0A<div>Le but est d'interdire le surf en bloquant le trafic web sur le po=
nt, et n'y autoriser que le proxy.</div>=0A<div>routeur(192.168.0.1)<---=
------------------->pont (eth1 - br0 - eth2)--------------->lan (192.=
168.0.0/24)<br><br> Proxy (192.168.0.5/24).</div>=0AVoici le pont :<br><div=
class=3D"container"><div class=3D"line number2 index1 alt1"><code class=3D=
"bash plain">brctl addbr br</code><code class=3D"bash plain">brctl addif br=
0 eth0</code></div><div class=3D"line number3 index2 alt2"><code class=3D"b=
ash plain">brctl addif br0 eth1</code></div><div class=3D"line number4 inde=
x3 alt1"><code class=3D"bash functions">ifconfig</code> <code class=3D"bash=
plain">eth0 0.0.0.0</code></div><div class=3D"line number5 index4 alt2"><c=
ode class=3D"bash functions">ifconfig</code> <code class=3D"bash plain">eth=
1 0.0.0.0</code></div><div class=3D"line number6 index5 alt1"><code class=
=3D"bash functions">ifconfig</code> <code class=3D"bash plain">br0 192.168.=
0.12 netmask 255.255.255.0 broadcast 192.168.0.255<br><br><br></code>Au lie=
u de faire une r=E8gle de redirection de port, je pr=E9f=E8re bloquer le&nb=
sp; port 80 pour le lan, et n'autoriser que le proxy.<br>je configure les r=
=E8gles suivantes : <br><br><div class=3D"container"><div class=3D"line num=
ber1
index0 alt2"><code class=3D"bash preprocessor bold">#! /bin/sh</code></div=
><div class=3D"line number2 index1 alt1"><code class=3D"bash plain">iptable=
s -F</code></div><div class=3D"line number3 index2 alt2"><code class=3D"bas=
h plain">iptables -X<br>PROXY=3D"192.168.0.5/255.255.225.0";<br>iptables -F=
FORWARD<br>iptables -P FORWARD DROP<br>iptables -A FORWARD -s 0.0.0.0/0 -d=
0.0.0.0/0 -m state --state INVALID -j DROP<br>iptables -A FORWARD -m state=
--state ESTABLISHED,RELATED -j ACCEPT<br>iptables -A FORWARD -p tcp -s $PR=
OXY -d 0.0.0.0/0 -j ACCEPT<br></code></div><div class=3D"line number11 inde=
x10 alt2">Le proxy ne veut pas sortir ?<br>Ai-je commis une erreur quelque =
part ?</div></div><code class=3D"bash plain"><br><br></code></div></div><br=
></div></body></html>
--679054512-188571247-1394546682=:50039--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/1394546682.50039.YahooMailNeo@web133102.mail.ir2.yahoo.com
--
<J.A> Je suis tellement un no-life que quand je sors de chez moi
on me prend pour un nouveau voisin --'
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140311151442.3d931635@anubis.defcon1
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
On Tue, 11 Mar 2014 14:35:59 +0000
RAOULT sylvain <sylvain.raoult@eedk.fr> wrote:
PROXY="192.168.0.5/255.255.255.0"; au lieu de
PROXY="192.168.0.5/255.255.225.0";
Heu, j'veux pas dire, mais c'est la même ligne.
--
Damien: Au lit ma copine dit que je suis un athlète olympique !
Yoann: Oui, t'es bon une fois tous les 4 ans.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140311161926.2173adf9@anubis.defcon1
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140311164925.760963c2@anubis.defcon1
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Le 11/03/2014 16:19, Bzzz a écrit :
On Tue, 11 Mar 2014 14:35:59 +0000
RAOULT sylvain <sylvain.raoult@eedk.fr> wrote:
PROXY="192.168.0.5/255.255.255.0"; au lieu de
PROXY="192.168.0.5/255.255.225.0";
Heu, j'veux pas dire, mais c'est la même ligne.
Change de yeux alors ;-)
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/531F2F8F.7000207@tootai.net
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
Le 11 mars 14 à 16:45, Daniel Huhardeaux a écrit :
Change de yeux alors ;-)
-- apt-get install yeux
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/531F2F8F.7000207@tootai.net
<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">
<br><div><div>Le 11 mars 14 à 16:45, Daniel Huhardeaux a écrit :</div><br class="Apple-interchange-newline"><blockquote type="cite"><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Change de yeux alors ;-)</div></blockquote><div><br></div><blockquote type="cite"><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; min-height: 14px; "><font class="Apple-style-span" color="#000000">-</font>- apt-get install yeux</div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; min-height: 14px; "><br></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">--<span class="Apple-converted-space"> </span></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Lisez la FAQ de la liste avant de poser une question :</div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; "><a href="http://wiki.debian.org/fr/FrenchLists">http://wiki.debian.org/fr/F renchLists</a></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; min-height: 14px; "><br></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"</div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">vers <a href="mailto:debian-user-french-REQUEST@lists.debian.org">debian-user-fr ench-REQUEST@lists.debian.org</a></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">En cas de soucis, contactez EN ANGLAIS <a href="mailto:listmaster@lists.debian.org">listmaster@lists.debian.org</a ></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Archive: <a href="https://lists.debian.org/531F2F8F.7000207@tootai.net">https://list s.debian.org/531F2F8F.7000207@tootai.net</a></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; min-height: 14px; "><br></div> </blockquote></div><br></body></html>
--Apple-Mail-1--364439647--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/6F80F13A-86D1-41B3-A084-8708B6FB9F29@worldonline.fr
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
Bzzz
On Tue, 11 Mar 2014 17:16:27 +0100 Philippe Gras wrote:
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140311172205.7572c5b5@anubis.defcon1
Je viens de m'apercevoir d'une erreur dans ma variable en la recopiant , l'erreur ne figure pas dans le vrai script PROXY="192.168.0.5/255.255.255.0"; au lieu de PROXY="192.168.0.5/2 55.255.225.0";
iptables -A FORWARD -j LOG --log-prefix "Forward DROP:"
En toute dernière règle de la chaine FORWARD, pour voir si effe ctivement tes paquets se font jeter (à regarder dans le syslog). Et donc voir s'il s'agit d'un problème de firewalling ou de routage/bridging.
Je viens de m'apercevoir d'une erreur dans ma variable en la recopiant , l'erreur ne figure pas dans le vrai script
PROXY="192.168.0.5/255.255.255.0"; au lieu de PROXY="192.168.0.5/2 55.255.225.0";
iptables -A FORWARD -j LOG --log-prefix "Forward DROP:"
En toute dernière règle de la chaine FORWARD, pour voir si effe ctivement
tes paquets se font jeter (Ã regarder dans le syslog). Et donc voir s'il
s'agit d'un problème de firewalling ou de routage/bridging.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/531F76F3.4070702@stuxnet.org
Je viens de m'apercevoir d'une erreur dans ma variable en la recopiant , l'erreur ne figure pas dans le vrai script PROXY="192.168.0.5/255.255.255.0"; au lieu de PROXY="192.168.0.5/2 55.255.225.0";
iptables -A FORWARD -j LOG --log-prefix "Forward DROP:"
En toute dernière règle de la chaine FORWARD, pour voir si effe ctivement tes paquets se font jeter (à regarder dans le syslog). Et donc voir s'il s'agit d'un problème de firewalling ou de routage/bridging.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/531F7A88.9090107@stuxnet.org
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Christophe
Re,
Le 11/03/2014 15:04, sylv raou a écrit :
Au lieu de faire une règle de redirection de port, je préfère blo quer le port 80 pour le lan, et n'autoriser que le proxy. je configure les règles suivantes :
#! /bin/sh iptables -F iptables -X PROXY="192.168.0.5/255.255.225.0"; iptables -F FORWARD iptables -P FORWARD DROP iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT
Le proxy ne veut pas sortir ? Ai-je commis une erreur quelque part ?
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Re,
Le 11/03/2014 15:04, sylv raou a écrit :
Au lieu de faire une règle de redirection de port, je préfère blo quer
le port 80 pour le lan, et n'autoriser que le proxy.
je configure les règles suivantes :
#! /bin/sh
iptables -F
iptables -X
PROXY="192.168.0.5/255.255.225.0";
iptables -F FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID
-j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT
Le proxy ne veut pas sortir ?
Ai-je commis une erreur quelque part ?
Question con, mais des fois ...
Le forward est il activé ?
*Méthode bourrin* :
echo 1 > /proc/sys/net/ipv4/ip_forward
*Méthode plus douce* :
sysctl net.ipv4.ip_forward=1
*Méthode permanente* :
retirer le # dans le fichier /etc/sysctl.conf
#net.ipv4.ip_forward=1
@+
Christophe.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/531F7EA3.2030307@stuxnet.org
Au lieu de faire une règle de redirection de port, je préfère blo quer le port 80 pour le lan, et n'autoriser que le proxy. je configure les règles suivantes :
#! /bin/sh iptables -F iptables -X PROXY="192.168.0.5/255.255.225.0"; iptables -F FORWARD iptables -P FORWARD DROP iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT
Le proxy ne veut pas sortir ? Ai-je commis une erreur quelque part ?
--
TooTo: Par exemple si tu mets le chien dans le micro onde, tu perds la gara ntie
Manny: Pour le chien ou pour le micro onde?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140311224756.7233c58b@anubis.defcon1
