Bonjour,=0AJe suis en train de monter un pont filtrant entre un lan et un r=
outeur (sur lequel je n'ai pas la main).=0ALe but est d'interdire le surf e=
n bloquant le trafic web sur le pont, et n'y autoriser que le proxy.=0Arout=
eur(192.168.0.1)<---------------------->pont (eth1 - br0 - eth2)-----------=
---->lan (192.168.0.0/24)=0A=0AProxy (192.168.0.5/24).=0AVoici le pont :=0A=
=0Abrctl addbr brbrctl addif br0 eth0=0Abrctl addif br0 eth1=0Aifconfig eth=
0 0.0.0.0=0Aifconfig eth1 0.0.0.0=0Aifconfig br0 192.168.0.12 netmask 255.2=
55.255.0 broadcast 192.168.0.255=0A=0A=0AAu lieu de faire une r=E8gle de re=
direction de port, je pr=E9f=E8re bloquer le=A0 port 80 pour le lan, et n'a=
utoriser que le proxy.=0Aje configure les r=E8gles suivantes : =0A=0A=0A#! =
/bin/sh=0Aiptables -F=0Aiptables -X=0APROXY=3D"192.168.0.5/255.255.225.0";=
=0Aiptables -F FORWARD=0Aiptables -P FORWARD DROP=0Aiptables -A FORWARD -s =
0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP=0Aiptables -A FORWA=
RD -m state --state ESTABLISHED,RELATED -j ACCEPT=0Aiptables -A FORWARD -p =
tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT=0A=0ALe proxy ne veut pas sortir ?=0AA=
i-je commis une erreur quelque part ?
--679054512-188571247-1394546682=:50039
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
<html><body><div style=3D"color:#000; background-color:#fff; font-family:He=
lveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif;fo=
nt-size:12pt"><div>Bonjour,</div>=0A<div>Je suis en train de monter un pont=
filtrant entre un lan et un routeur (sur lequel je n'ai pas la main).</div=
>=0A<div>Le but est d'interdire le surf en bloquant le trafic web sur le po=
nt, et n'y autoriser que le proxy.</div>=0A<div>routeur(192.168.0.1)<---=
------------------->pont (eth1 - br0 - eth2)--------------->lan (192.=
168.0.0/24)<br><br> Proxy (192.168.0.5/24).</div>=0AVoici le pont :<br><div=
class=3D"container"><div class=3D"line number2 index1 alt1"><code class=3D=
"bash plain">brctl addbr br</code><code class=3D"bash plain">brctl addif br=
0 eth0</code></div><div class=3D"line number3 index2 alt2"><code class=3D"b=
ash plain">brctl addif br0 eth1</code></div><div class=3D"line number4 inde=
x3 alt1"><code class=3D"bash functions">ifconfig</code> <code class=3D"bash=
plain">eth0 0.0.0.0</code></div><div class=3D"line number5 index4 alt2"><c=
ode class=3D"bash functions">ifconfig</code> <code class=3D"bash plain">eth=
1 0.0.0.0</code></div><div class=3D"line number6 index5 alt1"><code class=
=3D"bash functions">ifconfig</code> <code class=3D"bash plain">br0 192.168.=
0.12 netmask 255.255.255.0 broadcast 192.168.0.255<br><br><br></code>Au lie=
u de faire une r=E8gle de redirection de port, je pr=E9f=E8re bloquer le&nb=
sp; port 80 pour le lan, et n'autoriser que le proxy.<br>je configure les r=
=E8gles suivantes : <br><br><div class=3D"container"><div class=3D"line num=
ber1
index0 alt2"><code class=3D"bash preprocessor bold">#! /bin/sh</code></div=
><div class=3D"line number2 index1 alt1"><code class=3D"bash plain">iptable=
s -F</code></div><div class=3D"line number3 index2 alt2"><code class=3D"bas=
h plain">iptables -X<br>PROXY=3D"192.168.0.5/255.255.225.0";<br>iptables -F=
FORWARD<br>iptables -P FORWARD DROP<br>iptables -A FORWARD -s 0.0.0.0/0 -d=
0.0.0.0/0 -m state --state INVALID -j DROP<br>iptables -A FORWARD -m state=
--state ESTABLISHED,RELATED -j ACCEPT<br>iptables -A FORWARD -p tcp -s $PR=
OXY -d 0.0.0.0/0 -j ACCEPT<br></code></div><div class=3D"line number11 inde=
x10 alt2">Le proxy ne veut pas sortir ?<br>Ai-je commis une erreur quelque =
part ?</div></div><code class=3D"bash plain"><br><br></code></div></div><br=
></div></body></html>
--679054512-188571247-1394546682=:50039--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/1394546682.50039.YahooMailNeo@web133102.mail.ir2.yahoo.com
Merci à vous tous pour vos réponses et désolé Bzz pour tes yeux :) As-tu essayé plutôt un apt-get clean ? :)
Attention quand même , parce que la (si la règle matche) tu autorise l a totalité du réseau 192.168.0.X, et pas seulement le proxy.
Oui je m'en suis aperçu après, j'avais fait une sorte de passoire.
"ebtables" serait surement plus approprié.
Effectivement , j'ai lu quelques posts à ce sujet, mais me sentant "+ à l'aise avec iptables", je suis plutôt parti la dessus.
Le forward est il activé ?
Est-ce vraiment utile d'activer le forward dans une configuration de pont ? La passerelle n'est pas le pont mais le routeur derrière
Après plusieurs test, j'ai réussi à faire ce que je voulais, je n'ai pas touché à la conf du bridge qui est bonne, et je me suis inspiré d 'un post sur léa-linux pour la conf iptable.
iptables -N KEEP_STATE iptables -F KEEP_STATE iptables -A KEEP_STATE -m state --state INVALID -j DROP iptables -A KEEP_STATE -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -j KEEP_STATE
# iptables -A FORWARD -s $PROXY -j ACCEPT iptables -A FORWARD -j DROP
--------------------------------------------------------------------------- ----------------------------------- Il n'y a donc que le proxy qui puisse sortir 'en tte liberté' et ainsi em pêcher la connexion directe. J'espère que ces règles tiennent la route.
Re,
Le 11/03/2014 15:04, sylv raou a écrit :
Au lieu de faire une règle de redirection de port, je préfère bloqu er le port 80 pour le lan, et n'autoriser que le proxy. je configure les règles suivantes :
#! /bin/sh iptables -F iptables -X PROXY="192.168.0.5/255.255.225.0"; iptables -F FORWARD iptables -P FORWARD DROP iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT
Le proxy ne veut pas sortir ? Ai-je commis une erreur quelque part ?
Question con, mais des fois ...
Le forward est il activé ?
*Méthode bourrin* :
echo 1 > /proc/sys/net/ipv4/ip_forward
*Méthode plus douce* :
sysctl net.ipv4.ip_forward=1
*Méthode permanente* :
retirer le # dans le fichier /etc/sysctl.conf
#net.ipv4.ip_forward=1
@+ Christophe.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Merci à vous tous pour vos réponses et désolé Bzz pour tes yeux :)
As-tu essayé plutôt un apt-get clean ? :)
Attention quand même , parce que la (si la règle matche) tu autorise l a totalité du réseau 192.168.0.X, et pas seulement le proxy.
Oui je m'en suis aperçu après, j'avais fait une sorte de passoire.
"ebtables" serait surement plus approprié.
Effectivement , j'ai lu quelques posts à ce sujet, mais me sentant "+ à l'aise avec iptables", je suis plutôt parti la dessus.
Le forward est il activé ?
Est-ce vraiment utile d'activer le forward dans une configuration de pont ?
La passerelle n'est pas le pont mais le routeur derrière
Après plusieurs test, j'ai réussi à faire ce que je voulais, je n'ai pas touché à la conf du bridge qui est bonne, et je me suis inspiré d 'un post sur léa-linux pour la conf iptable.
iptables -N KEEP_STATE
iptables -F KEEP_STATE
iptables -A KEEP_STATE -m state --state INVALID -j DROP
iptables -A KEEP_STATE -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -j KEEP_STATE
#
iptables -A FORWARD -s $PROXY -j ACCEPT
iptables -A FORWARD -j DROP
--------------------------------------------------------------------------- -----------------------------------
Il n'y a donc que le proxy qui puisse sortir 'en tte liberté' et ainsi em pêcher la connexion directe.
J'espère que ces règles tiennent la route.
Re,
Le 11/03/2014 15:04, sylv raou a écrit :
Au lieu de faire une règle de redirection de port, je préfère bloqu er
le port 80 pour le lan, et n'autoriser que le proxy.
je configure les règles suivantes :
#! /bin/sh
iptables -F
iptables -X
PROXY="192.168.0.5/255.255.225.0";
iptables -F FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID
-j DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j
ACCEPT iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT
Le proxy ne veut pas sortir ?
Ai-je commis une erreur quelque part ?
Question con, mais des fois ...
Le forward est il activé ?
*Méthode bourrin* :
echo 1 > /proc/sys/net/ipv4/ip_forward
*Méthode plus douce* :
sysctl net.ipv4.ip_forward=1
*Méthode permanente* :
retirer le # dans le fichier /etc/sysctl.conf
#net.ipv4.ip_forward=1
@+
Christophe.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/531F7EA3.2030307@stuxnet.org
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/d88d0d07a51e40809e09d2b4a7ed7d81@DB4PR01MB175.eurprd01.prod.exchangelabs.com
Merci à vous tous pour vos réponses et désolé Bzz pour tes yeux :) As-tu essayé plutôt un apt-get clean ? :)
Attention quand même , parce que la (si la règle matche) tu autorise l a totalité du réseau 192.168.0.X, et pas seulement le proxy.
Oui je m'en suis aperçu après, j'avais fait une sorte de passoire.
"ebtables" serait surement plus approprié.
Effectivement , j'ai lu quelques posts à ce sujet, mais me sentant "+ à l'aise avec iptables", je suis plutôt parti la dessus.
Le forward est il activé ?
Est-ce vraiment utile d'activer le forward dans une configuration de pont ? La passerelle n'est pas le pont mais le routeur derrière
Après plusieurs test, j'ai réussi à faire ce que je voulais, je n'ai pas touché à la conf du bridge qui est bonne, et je me suis inspiré d 'un post sur léa-linux pour la conf iptable.
iptables -N KEEP_STATE iptables -F KEEP_STATE iptables -A KEEP_STATE -m state --state INVALID -j DROP iptables -A KEEP_STATE -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -j KEEP_STATE
# iptables -A FORWARD -s $PROXY -j ACCEPT iptables -A FORWARD -j DROP
--------------------------------------------------------------------------- ----------------------------------- Il n'y a donc que le proxy qui puisse sortir 'en tte liberté' et ainsi em pêcher la connexion directe. J'espère que ces règles tiennent la route.
Re,
Le 11/03/2014 15:04, sylv raou a écrit :
Au lieu de faire une règle de redirection de port, je préfère bloqu er le port 80 pour le lan, et n'autoriser que le proxy. je configure les règles suivantes :
#! /bin/sh iptables -F iptables -X PROXY="192.168.0.5/255.255.225.0"; iptables -F FORWARD iptables -P FORWARD DROP iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT
Le proxy ne veut pas sortir ? Ai-je commis une erreur quelque part ?
Question con, mais des fois ...
Le forward est il activé ?
*Méthode bourrin* :
echo 1 > /proc/sys/net/ipv4/ip_forward
*Méthode plus douce* :
sysctl net.ipv4.ip_forward=1
*Méthode permanente* :
retirer le # dans le fichier /etc/sysctl.conf
#net.ipv4.ip_forward=1
@+ Christophe.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
