Forums Linux Autres OS Linux Debian

Pont filtrant

Le
sylv raou
--679054512-188571247-1394546682=:50039
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour, Je suis en train de monter un pont filtrant entre un lan et un r=
outeur (sur lequel je n'ai pas la main). Le but est d'interdire le surf e=
n bloquant le trafic web sur le pont, et n'y autoriser que le proxy. rout=
eur(192.168.0.1)<->pont (eth1 - br0 - eth2)--=
->lan (192.168.0.0/24) Proxy (192.168.0.5/24). Voici le pont : =
brctl addbr brbrctl addif br0 eth0 brctl addif br0 eth1 ifconfig eth=
0 0.0.0.0 ifconfig eth1 0.0.0.0 ifconfig br0 192.168.0.12 netmask 255.2=
55.255.0 broadcast 192.168.0.255 Au lieu de faire une règle de re=
direction de port, je préfère bloquer le  port 80 pour le lan, et n'a=
utoriser que le proxy. je configure les règles suivantes : #! =
/bin/sh iptables -F iptables -X PROXY="192.168.0.5/255.255.225.0";=
iptables -F FORWARD iptables -P FORWARD DROP iptables -A FORWARD -s =
0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP iptables -A FORWA=
RD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p =
tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT Le proxy ne veut pas sortir ? A=
i-je commis une erreur quelque part ?
--679054512-188571247-1394546682=:50039
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

<html><body><div style="color:#000; background-color:#fff; font-family:He=
lveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif;fo=
nt-size:12pt"><div>Bonjour,</div> <div>Je suis en train de monter un pont=
filtrant entre un lan et un routeur (sur lequel je n'ai pas la main).</div=
> <div>Le but est d'interdire le surf en bloquant le trafic web sur le po=
nt, et n'y autoriser que le proxy.</div> <div>routeur(192.168.0.1)&lt;=
-&gt;pont (eth1 - br0 - eth2)&gt;lan (192.=
168.0.0/24)<br><br> Proxy (192.168.0.5/24).</div> Voici le pont :<br><div=
class="container"><div class="line number2 index1 alt1"><code class==
"bash plain">brctl addbr br</code><code class="bash plain">brctl addif br=
0 eth0</code></div><div class="line number3 index2 alt2"><code class="b=
ash plain">brctl addif br0 eth1</code></div><div class="line number4 inde=
x3 alt1"><code class="bash functions">ifconfig</code> <code class="bash=
plain">eth0 0.0.0.0</code></div><div class="line number5 index4 alt2"><c=
ode class="bash functions">ifconfig</code> <code class="bash plain">eth=
1 0.0.0.0</code></div><div class="line number6 index5 alt1"><code class=
="bash functions">ifconfig</code> <code class="bash plain">br0 192.168.=
0.12 netmask 255.255.255.0 broadcast 192.168.0.255<br><br><br></code>Au lie=
u de faire une règle de redirection de port, je préfère bloquer le&nb=
sp; port 80 pour le lan, et n'autoriser que le proxy.<br>je configure les r=
ègles suivantes : <br><br><div class="container"><div class="line num=
ber1
index0 alt2"><code class="bash preprocessor bold">#! /bin/sh</code></div=
><div class="line number2 index1 alt1"><code class="bash plain">iptable=
s -F</code></div><div class="line number3 index2 alt2"><code class="bas=
h plain">iptables -X<br>PROXY="192.168.0.5/255.255.225.0";<br>iptables -F=
FORWARD<br>iptables -P FORWARD DROP<br>iptables -A FORWARD -s 0.0.0.0/0 -d=
0.0.0.0/0 -m state --state INVALID -j DROP<br>iptables -A FORWARD -m state=
--state ESTABLISHED,RELATED -j ACCEPT<br>iptables -A FORWARD -p tcp -s $PR=
OXY -d 0.0.0.0/0 -j ACCEPT<br></code></div><div class="line number11 inde=
x10 alt2">Le proxy ne veut pas sortir ?<br>Ai-je commis une erreur quelque =
part ?</div></div><code class="bash plain"><br><br></code></div></div><br=
></div></body></html>
--679054512-188571247-1394546682=:50039--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/1394546682.50039.YahooMailNeo@web133102.mail.ir2.yahoo.com
  • Partager ce contenu :
Vos réponses Page 1 / 2
Trier par : date / pertinence
Bzzz
Le #26028882
On Tue, 11 Mar 2014 14:04:42 +0000 (GMT)
sylv raou
routeur(192.168.0.1)<---------------------->pont
(eth1 - br0 - eth2)--------------->lan (192.168.0.0/24)

Proxy (192.168.0.5/24).
Voici le pont :

brctl addbr brbrctl addif br0 eth0
brctl addif br0 eth1
ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0
ifconfig br0 192.168.0.12 netmask 255.255.255.0 broadcast
192.168.0.255



Déjà, tu bridges sur le même segment, ce qui relativement peu
courant, ensuite, tu n'as pas séparé tes segments (adresses de
broadcast différentes, masques différents), donc c'est peu
étonnant que ça NMP.

--
on me prend pour un nouveau voisin --'

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Répondre en citant
Bzzz
Le #26028942
On Tue, 11 Mar 2014 14:35:59 +0000
RAOULT sylvain
PROXY="192.168.0.5/255.255.255.0"; au lieu de
PROXY="192.168.0.5/255.255.225.0";



Heu, j'veux pas dire, mais c'est la même ligne.

--
Damien: Au lit ma copine dit que je suis un athlète olympique !
Yoann: Oui, t'es bon une fois tous les 4 ans.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Répondre en citant
Bzzz
Le #26028992
On Tue, 11 Mar 2014 15:26:52 +0000
RAOULT sylvain
Non non pas le masque



Faut vraiment que je dorme plus de 4H moi :(

--
<Lubrifiant-Man> Je crois que la plus grosse surprise que j'ai eu, c'é tait
à mon anniversaire des 22 ans cet été.
<Sakapuss> Mais attends, t'as pas 20 ans toi? Et ton anniv est en Avril oO
<Lubrifiant-Man> Oui oui, c'est ça qui m'a surpris.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Répondre en citant
Daniel Huhardeaux
Le #26029002
Le 11/03/2014 16:19, Bzzz a écrit :
On Tue, 11 Mar 2014 14:35:59 +0000
RAOULT sylvain
PROXY="192.168.0.5/255.255.255.0"; au lieu de
PROXY="192.168.0.5/255.255.225.0";


Heu, j'veux pas dire, mais c'est la même ligne.




Change de yeux alors ;-)

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Répondre en citant
Philippe Gras
Le #26029122
--Apple-Mail-1--364439647
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=ISO-8859-1;
delsp=yes;
format=flowed


Le 11 mars 14 à 16:45, Daniel Huhardeaux a écrit :

Change de yeux alors ;-)

-- apt-get install yeux

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/





--Apple-Mail-1--364439647
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
charset=ISO-8859-1

<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">
--Apple-Mail-1--364439647--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Répondre en citant
Bzzz
Le #26029172
On Tue, 11 Mar 2014 17:16:27 +0100
Philippe Gras

> -- apt-get install yeux



Marche pô, pourtant j'avais bien tapé:
apt-get purge nÅ“ils-fatigués, mais
j'ai pas pu taper le reste, j'y voyais plus rien ;-p

(et pourtant, j'avais lu au moins 3 fois son post,
justement pour éviter un commentaire à côté de la plaqu e)

--
<backwash> Au fait!
<backwash> J'ai trouvé le concept qui tue.
<backwash> Faut que je dépose mon idée.
<backwash> J'suis parti de deux constats.
<backwash> 1) Un geek mange sur la table de son bureau et fait des miettes.
<backwash> 2) Un geek à la flemme de netoyer.
<Phnx> ouais =)
<backwash> D'ou l'invention de la souris ramasse miette !
<backwash> LE concept

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Répondre en citant
Christophe
Le #26029622
Bonsoir,

Le 11/03/2014 15:35, RAOULT sylvain a écrit :
Je viens de m'apercevoir d'une erreur dans ma variable en la recopiant , l'erreur ne figure pas dans le vrai script
PROXY="192.168.0.5/255.255.255.0"; au lieu de PROXY="192.168.0.5/2 55.255.225.0";




Attention quand même , parce que la (si la règle matche) tu aut orise la
totalité du réseau 192.168.0.X, et pas seulement le proxy.

PROXY="192.168.0.5/255.255.255.255";
ou
PROXY="192.168.0.5/32";
ou (encore plus simple)
PROXY="192.168.0.5"

Me paraissent plus adaptés.


Au lieu de faire une règle de redirection de port, je préfà ¨re bloquer le port 80 pour le lan, et n'autoriser que le proxy.
je configure les règles suivantes :

#! /bin/sh
iptables -F
iptables -X
PROXY="192.168.0.5/255.255.225.0";
iptables -F FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT
Le proxy ne veut pas sortir ?
Ai-je commis une erreur quelque part ?



Je te conseille un (de mémoire) :

iptables -A FORWARD -j LOG --log-prefix "Forward DROP:"

En toute dernière règle de la chaine FORWARD, pour voir si effe ctivement
tes paquets se font jeter (à regarder dans le syslog). Et donc voir s'il
s'agit d'un problème de firewalling ou de routage/bridging.

Mais au final, je pense que le problème est tout autre : je ne suis pas
sur qu'iptables soit le bon outil dans le cas présent (s'agissant d' un
bridge, il me semble que ca ne passe pas dans la chaine FORWARD).

"ebtables" serait surement plus approprié.

@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Répondre en citant
Christophe
Le #26029652
Bonsoir,

Le 11/03/2014 15:14, Bzzz a écrit :
Déjà, tu bridges sur le même segment, ce qui relativemen t peu
courant, ensuite, tu n'as pas séparé tes segments (adresses d e
broadcast différentes, masques différents), donc c'est peu
étonnant que ça NMP.




Que veux tu bridger, si c'est pas sur le même segment ?
(n'est-ce pas le principe même du bridge ???)

Cette conf me parait tout ce qu'il y a de plus légitime.

@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Répondre en citant
Christophe
Le #26029682
Re,

Le 11/03/2014 15:04, sylv raou a écrit :

Au lieu de faire une règle de redirection de port, je préfère blo quer
le port 80 pour le lan, et n'autoriser que le proxy.
je configure les règles suivantes :

#! /bin/sh
iptables -F
iptables -X
PROXY="192.168.0.5/255.255.225.0";
iptables -F FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID
-j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT

Le proxy ne veut pas sortir ?
Ai-je commis une erreur quelque part ?




Question con, mais des fois ...

Le forward est il activé ?

*Méthode bourrin* :

echo 1 > /proc/sys/net/ipv4/ip_forward

*Méthode plus douce* :

sysctl net.ipv4.ip_forward=1

*Méthode permanente* :

retirer le # dans le fichier /etc/sysctl.conf

#net.ipv4.ip_forward=1

@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Répondre en citant
Bzzz
Le #26029712
On Tue, 11 Mar 2014 22:05:12 +0100
Christophe
Que veux tu bridger, si c'est pas sur le même segment ?
(n'est-ce pas le principe même du bridge ???)



Je parle du fait qu'il bridge des segments de la même
plage d'adresses IP.

Cette conf me parait tout ce qu'il y a de plus légitime.



Je n'ai pas dis le contraire, seulement qu'il était rare
de bridger entre 2 segments de la même plage d'adresses IP.

--
TooTo: Par exemple si tu mets le chien dans le micro onde, tu perds la gara ntie
Manny: Pour le chien ou pour le micro onde?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Répondre en citant
Poster une réponse
Anonyme