Re: iptables et fwbuilder

2018-08-12 Par sujet Migrec 

  
  
Bonjour,

Le 11/08/2018 à 12:58, Migrec a écrit :

Le
  11/08/2018 à 09:12, didier gaumet a écrit :
  
  Le 10/08/2018 à 08:47, Migrec a écrit :

[...]

Je cherche à bloquer un site internet
  grâce à fwbuilder
  

[...]

J'ai bien créé la règle, elle semble se
  compiler mais elle n'apparaît
  
  pas dans la sortie de iptables -L
  

[...]


D'après ce que je comprends Fwbuilder attend de ta part deux
étapes

distinctes pour la mise en place effective d'une règle:

- compilation (à priori, c'est fait)

- installation (ça resterait à faire?)


cf:

http://fwbuilder.sourceforge.net/4.0/docs/users_guide5/install-detail.shtml

  
  
  Oui j'ai effectué les 2 étapes. Mes autres règles fonctionnent
  (NAT, accès extérieurs, etc.) mais pas celle qui utilise l'objet
  "DNS Names". C'est la seule règle avec cet objet.
  


Je crois que j'ai le début d'une piste... Certaines de mes règles
possédaient une option de log qui était traduite par fwbuilder en
ULOG au niveau iptables.
Je n'ai pas creusé mais il semblerait que ULOG soit déprécié au
profit de NFLOG.

Du coup, j'avais quelques règles qui se compilaient mais qui étaient
rejetées à l'exécution !
iptables: No chain/target/match by that name


Cordialement,

--
Mic Grentz

Re: iptables et fwbuilder

2018-08-11 Par sujet Migrec 

Le 11/08/2018 à 09:12, didier gaumet a écrit :

Le 10/08/2018 à 08:47, Migrec a écrit :
[...]

Je cherche à bloquer un site internet grâce à fwbuilder

[...]

J'ai bien créé la règle, elle semble se compiler mais elle n'apparaît
pas dans la sortie de iptables -L

[...]

D'après ce que je comprends Fwbuilder attend de ta part deux étapes
distinctes pour la mise en place effective d'une règle:
- compilation (à priori, c'est fait)
- installation (ça resterait à faire?)

cf:
http://fwbuilder.sourceforge.net/4.0/docs/users_guide5/install-detail.shtml


Oui j'ai effectué les 2 étapes. Mes autres règles fonctionnent (NAT, 
accès extérieurs, etc.) mais pas celle qui utilise l'objet "DNS Names". 
C'est la seule règle avec cet objet.


Cordialement,
--
Mic Grentz

Re: iptables et fwbuilder

2018-08-11 Par sujet didier gaumet 
Le 10/08/2018 à 08:47, Migrec a écrit :
[...]
> Je cherche à bloquer un site internet grâce à fwbuilder
[...]
> J'ai bien créé la règle, elle semble se compiler mais elle n'apparaît
> pas dans la sortie de iptables -L
[...]

D'après ce que je comprends Fwbuilder attend de ta part deux étapes
distinctes pour la mise en place effective d'une règle:
- compilation (à priori, c'est fait)
- installation (ça resterait à faire?)

cf:
http://fwbuilder.sourceforge.net/4.0/docs/users_guide5/install-detail.shtml

Re: iptables et fwbuilder

2018-08-10 Par sujet Ph. Gras 
Salut Mic,

> 
 J'ai bien créé la règle, elle semble se compiler mais elle n'apparaît
 pas dans la sortie de iptables -L

iptables -nvL te permettra d'afficher les adresses IP sous forme numérique :

iptables -L
DROP   tcp  --  informak.net anywhere tcp dpt:smtp /* 
spam mail soldat messageboutique.pro (informak.net) 30 juil. 2018 */

iptables -nL
DROP   tcp  --  137.74.94.17 0.0.0.0/0tcp dpt:25 /* 
spam mail soldat messageboutique.pro (informak.net) 30 juil. 2018 */

iptables --help

  --list-L [chain [rulenum]]
List the rules in a chain or all chains
  --numeric -n  numeric output of addresses and ports
  --verbose -v  verbose mode

host youtube.com
youtube.com has address 216.58.205.46
youtube.com has IPv6 address 2a00:1450:4002:806::200e

Ceci fait, un truc comme ci-après devrait fonctionner en ligne de commande 
(remplacer -s par ton adresse) :

iptables -t filter -I OUTPUT -p tcp -m multiport --dports 80,443 -s 
111.222.333.444/5 -d 216.58.205.46 -j DROP -m comment --comment "interdit 
adresse -d à partir de IPv4 -s"

iptables -t filter -I OUTPUT -p tcp -m multiport --dports 80,443 -s 
111.222.333.444/5 -d 2a00:1450:4002:806::200e -j DROP -m comment --comment 
"interdit adresse IPv6 -d à partir de IPv4 -s"

iptables -h
  --append  -A chainAppend to chain

  --insert  -I chain [rulenum]

[!] --source-s address[/mask][...]
source specification
[!] --destination -d address[/mask][…]


 Par la suite, je souhaite restreindre cette règles à certaines
 adresses MAC seulement.

Pour filtrer les adresses MAC, je ne sais pas. Mais tu peux déjà essayer de 
filtrer "/5" de ton réseau.

Re: iptables et fwbuilder

2018-08-10 Par sujet Migrec 

Bonjour,

Merci pour vos réponses. Je vais clarifier ma demande.

Le 10/08/2018 à 21:10, Pierre L. a écrit :

Bonsoir,

Le 10/08/2018 à 20:36, Pascal Hambourg a écrit :

Le 10/08/2018 à 08:47, Migrec a écrit :

Je cherche à bloquer un site internet grâce à fwbuilder.

C'est-à-dire ?

A mon avis, il cherche à interdire l'accès à un site internet hébergé
quelque part sur la toile... mettre en place une sorte de filtrage web.


Exactement, je veux empêcher à un téléphone et une tablette d'accéder à 
youtube. Mais pas sur les autres postes du réseau.



Je dispose d'une petit serveur Debian et de clients Ubuntu ainsi que
des téléphones/tablettes.

Quel rapport avec ce qui précède ?

Peut-être pense-t-il que certains sur cette liste pourraient l'aider à
trouver une solution adéquat en utilisant ce petit serveur existant ?
Via une règle DNS, ou autre...? Il pourrait être judicieux de savoir si
ce petit serveur sert de routeur entre le réseau local et l'internet...?
Le listing des clients pourrait permettre à la liste de proposer des
solutions logicielles à installer directement sur les clients ? Oui il
peut y avoir à mon avis un certain rapport avec la question précédemment
posée...


Le serveur est entre ma box et ma réseau local. Il me sert à tout : 
serveur NFS, CUPS, DNLA, DNS local, Backuppc, etc.




J'ai bien créé la règle, elle semble se compiler mais elle n'apparaît
pas dans la sortie de iptables -L

Je ne connais pas fwbuilder, seulement iptables.

A ma connaissance, fwbuilder permet de créer des règles iptables
facilement à l'aide de son interface. Cette GUI est plus simple à
prendre en mains et parait certainement plus claire que des instructions
iptables pour quelqu'un qui ne connaît pas ou ne comprend pas les
commandes à injecter.
C'est un peu le Kompozer du code HTML pour ceux qui connaissent... qui
"tapera" tout seul le code HTML selon le design et le contenu que désire
créer la personne via cette interface type traitement de texte.

Par la suite, je souhaite restreindre cette règles à certaines
adresses MAC seulement.

C'est-à-dire ?


Je pense que Migrec souhaite bloquer certains sites comme précédemment
exposé, mais uniquement à certaines machines de son réseau,
identifiables par leurs adresses MAC... c'est une piste qu'il propose...?


Dans un premier temps, je vais bloquer pour tout le monde et après 
j'irai au plus fin (adresse MAC des postes).
Je ne suis pas un professionnel mais j'ai beaucoup mis les mains dans la 
cambouis depuis 20ans. Mais là, mes connaissances sont trop anciennes et 
l'outil fwbuiler me paraissait pas mal pour entretenir mon firewall. Je 
n'ai rien trouvé d'autre qui pouvait me convenir.

--
Mic Grentz

Re: iptables et fwbuilder

2018-08-10 Par sujet Pierre L. 
Bonsoir,

Le 10/08/2018 à 20:36, Pascal Hambourg a écrit :
> Le 10/08/2018 à 08:47, Migrec a écrit :
>>
>> Je cherche à bloquer un site internet grâce à fwbuilder.
>
> C'est-à-dire ?
A mon avis, il cherche à interdire l'accès à un site internet hébergé
quelque part sur la toile... mettre en place une sorte de filtrage web.

>
>> Je dispose d'une petit serveur Debian et de clients Ubuntu ainsi que
>> des téléphones/tablettes.
>
> Quel rapport avec ce qui précède ?
Peut-être pense-t-il que certains sur cette liste pourraient l'aider à
trouver une solution adéquat en utilisant ce petit serveur existant ?
Via une règle DNS, ou autre...? Il pourrait être judicieux de savoir si
ce petit serveur sert de routeur entre le réseau local et l'internet...?
Le listing des clients pourrait permettre à la liste de proposer des
solutions logicielles à installer directement sur les clients ? Oui il
peut y avoir à mon avis un certain rapport avec la question précédemment
posée...
>
>> J'ai bien créé la règle, elle semble se compiler mais elle n'apparaît
>> pas dans la sortie de iptables -L
>
> Je ne connais pas fwbuilder, seulement iptables.
A ma connaissance, fwbuilder permet de créer des règles iptables
facilement à l'aide de son interface. Cette GUI est plus simple à
prendre en mains et parait certainement plus claire que des instructions
iptables pour quelqu'un qui ne connaît pas ou ne comprend pas les
commandes à injecter.
C'est un peu le Kompozer du code HTML pour ceux qui connaissent... qui
"tapera" tout seul le code HTML selon le design et le contenu que désire
créer la personne via cette interface type traitement de texte.
>
>> Par la suite, je souhaite restreindre cette règles à certaines
>> adresses MAC seulement.
>
> C'est-à-dire ?
>
Je pense que Migrec souhaite bloquer certains sites comme précédemment
exposé, mais uniquement à certaines machines de son réseau,
identifiables par leurs adresses MAC... c'est une piste qu'il propose...?

Espérant être au plus proche de la réalité de ta demande, et ne pas
avoir trop déformé tes paroles ;)



signature.asc
Description: OpenPGP digital signature

Re: iptables et fwbuilder

2018-08-10 Par sujet Pascal Hambourg 

Le 10/08/2018 à 08:47, Migrec a écrit :


Je cherche à bloquer un site internet grâce à fwbuilder.


C'est-à-dire ?

Je dispose 
d'une petit serveur Debian et de clients Ubuntu ainsi que des 
téléphones/tablettes.


Quel rapport avec ce qui précède ?

J'ai bien créé la règle, elle semble se compiler mais elle n'apparaît 
pas dans la sortie de iptables -L


Je ne connais pas fwbuilder, seulement iptables.

1) iptables -L n'affiche que la table "filter". Si la règle a été créée 
dans une autre table ("mangle" par exemple, bien qu'elle ne soit pas 
prévue pour le filtrage), cette commande ne l'affichera pas.
Il vaut mieux utiliser iptables-save qui affiche toutes les tables 
actives dans un format plus lisible proche de la syntaxe de création par 
iptables.


2) Si la règle a été créée avec le nom du site à bloquer, celui-ci a été 
résolu en adresse IP lors de la création, et la règle effective ne 
contient que l'adresse IP, pas le nom.


Par la suite, je souhaite restreindre cette règles à certaines adresses 
MAC seulement.


C'est-à-dire ?

iptables et fwbuilder

2018-08-10 Par sujet Migrec 

Bonjour,

Je cherche à bloquer un site internet grâce à fwbuilder. Je dispose 
d'une petit serveur Debian et de clients Ubuntu ainsi que des 
téléphones/tablettes.
J'ai bien créé la règle, elle semble se compiler mais elle n'apparaît 
pas dans la sortie de iptables -L


Je ne vois pas trop comment chercher ce qui ne va pas. Une idée ?
Par la suite, je souhaite restreindre cette règles à certaines adresses 
MAC seulement.


--
Mic Grentz