Re: iptables et fwbuilder
Bonjour, Le 11/08/2018 à 12:58, Migrec a écrit : Le 11/08/2018 à 09:12, didier gaumet a écrit : Le 10/08/2018 à 08:47, Migrec a écrit : [...] Je cherche à bloquer un site internet grâce à fwbuilder [...] J'ai bien créé la règle, elle semble se compiler mais elle n'apparaît pas dans la sortie de iptables -L [...] D'après ce que je comprends Fwbuilder attend de ta part deux étapes distinctes pour la mise en place effective d'une règle: - compilation (à priori, c'est fait) - installation (ça resterait à faire?) cf: http://fwbuilder.sourceforge.net/4.0/docs/users_guide5/install-detail.shtml Oui j'ai effectué les 2 étapes. Mes autres règles fonctionnent (NAT, accès extérieurs, etc.) mais pas celle qui utilise l'objet "DNS Names". C'est la seule règle avec cet objet. Je crois que j'ai le début d'une piste... Certaines de mes règles possédaient une option de log qui était traduite par fwbuilder en ULOG au niveau iptables. Je n'ai pas creusé mais il semblerait que ULOG soit déprécié au profit de NFLOG. Du coup, j'avais quelques règles qui se compilaient mais qui étaient rejetées à l'exécution ! iptables: No chain/target/match by that name Cordialement, -- Mic Grentz
Re: iptables et fwbuilder
Le 11/08/2018 à 09:12, didier gaumet a écrit : Le 10/08/2018 à 08:47, Migrec a écrit : [...] Je cherche à bloquer un site internet grâce à fwbuilder [...] J'ai bien créé la règle, elle semble se compiler mais elle n'apparaît pas dans la sortie de iptables -L [...] D'après ce que je comprends Fwbuilder attend de ta part deux étapes distinctes pour la mise en place effective d'une règle: - compilation (à priori, c'est fait) - installation (ça resterait à faire?) cf: http://fwbuilder.sourceforge.net/4.0/docs/users_guide5/install-detail.shtml Oui j'ai effectué les 2 étapes. Mes autres règles fonctionnent (NAT, accès extérieurs, etc.) mais pas celle qui utilise l'objet "DNS Names". C'est la seule règle avec cet objet. Cordialement, -- Mic Grentz
Re: iptables et fwbuilder
Le 10/08/2018 à 08:47, Migrec a écrit : [...] > Je cherche à bloquer un site internet grâce à fwbuilder [...] > J'ai bien créé la règle, elle semble se compiler mais elle n'apparaît > pas dans la sortie de iptables -L [...] D'après ce que je comprends Fwbuilder attend de ta part deux étapes distinctes pour la mise en place effective d'une règle: - compilation (à priori, c'est fait) - installation (ça resterait à faire?) cf: http://fwbuilder.sourceforge.net/4.0/docs/users_guide5/install-detail.shtml
Re: iptables et fwbuilder
Salut Mic, > J'ai bien créé la règle, elle semble se compiler mais elle n'apparaît pas dans la sortie de iptables -L iptables -nvL te permettra d'afficher les adresses IP sous forme numérique : iptables -L DROP tcp -- informak.net anywhere tcp dpt:smtp /* spam mail soldat messageboutique.pro (informak.net) 30 juil. 2018 */ iptables -nL DROP tcp -- 137.74.94.17 0.0.0.0/0tcp dpt:25 /* spam mail soldat messageboutique.pro (informak.net) 30 juil. 2018 */ iptables --help --list-L [chain [rulenum]] List the rules in a chain or all chains --numeric -n numeric output of addresses and ports --verbose -v verbose mode host youtube.com youtube.com has address 216.58.205.46 youtube.com has IPv6 address 2a00:1450:4002:806::200e Ceci fait, un truc comme ci-après devrait fonctionner en ligne de commande (remplacer -s par ton adresse) : iptables -t filter -I OUTPUT -p tcp -m multiport --dports 80,443 -s 111.222.333.444/5 -d 216.58.205.46 -j DROP -m comment --comment "interdit adresse -d à partir de IPv4 -s" iptables -t filter -I OUTPUT -p tcp -m multiport --dports 80,443 -s 111.222.333.444/5 -d 2a00:1450:4002:806::200e -j DROP -m comment --comment "interdit adresse IPv6 -d à partir de IPv4 -s" iptables -h --append -A chainAppend to chain --insert -I chain [rulenum] [!] --source-s address[/mask][...] source specification [!] --destination -d address[/mask][…] Par la suite, je souhaite restreindre cette règles à certaines adresses MAC seulement. Pour filtrer les adresses MAC, je ne sais pas. Mais tu peux déjà essayer de filtrer "/5" de ton réseau.
Re: iptables et fwbuilder
Bonjour, Merci pour vos réponses. Je vais clarifier ma demande. Le 10/08/2018 à 21:10, Pierre L. a écrit : Bonsoir, Le 10/08/2018 à 20:36, Pascal Hambourg a écrit : Le 10/08/2018 à 08:47, Migrec a écrit : Je cherche à bloquer un site internet grâce à fwbuilder. C'est-à-dire ? A mon avis, il cherche à interdire l'accès à un site internet hébergé quelque part sur la toile... mettre en place une sorte de filtrage web. Exactement, je veux empêcher à un téléphone et une tablette d'accéder à youtube. Mais pas sur les autres postes du réseau. Je dispose d'une petit serveur Debian et de clients Ubuntu ainsi que des téléphones/tablettes. Quel rapport avec ce qui précède ? Peut-être pense-t-il que certains sur cette liste pourraient l'aider à trouver une solution adéquat en utilisant ce petit serveur existant ? Via une règle DNS, ou autre...? Il pourrait être judicieux de savoir si ce petit serveur sert de routeur entre le réseau local et l'internet...? Le listing des clients pourrait permettre à la liste de proposer des solutions logicielles à installer directement sur les clients ? Oui il peut y avoir à mon avis un certain rapport avec la question précédemment posée... Le serveur est entre ma box et ma réseau local. Il me sert à tout : serveur NFS, CUPS, DNLA, DNS local, Backuppc, etc. J'ai bien créé la règle, elle semble se compiler mais elle n'apparaît pas dans la sortie de iptables -L Je ne connais pas fwbuilder, seulement iptables. A ma connaissance, fwbuilder permet de créer des règles iptables facilement à l'aide de son interface. Cette GUI est plus simple à prendre en mains et parait certainement plus claire que des instructions iptables pour quelqu'un qui ne connaît pas ou ne comprend pas les commandes à injecter. C'est un peu le Kompozer du code HTML pour ceux qui connaissent... qui "tapera" tout seul le code HTML selon le design et le contenu que désire créer la personne via cette interface type traitement de texte. Par la suite, je souhaite restreindre cette règles à certaines adresses MAC seulement. C'est-à-dire ? Je pense que Migrec souhaite bloquer certains sites comme précédemment exposé, mais uniquement à certaines machines de son réseau, identifiables par leurs adresses MAC... c'est une piste qu'il propose...? Dans un premier temps, je vais bloquer pour tout le monde et après j'irai au plus fin (adresse MAC des postes). Je ne suis pas un professionnel mais j'ai beaucoup mis les mains dans la cambouis depuis 20ans. Mais là, mes connaissances sont trop anciennes et l'outil fwbuiler me paraissait pas mal pour entretenir mon firewall. Je n'ai rien trouvé d'autre qui pouvait me convenir. -- Mic Grentz
Re: iptables et fwbuilder
Bonsoir, Le 10/08/2018 à 20:36, Pascal Hambourg a écrit : > Le 10/08/2018 à 08:47, Migrec a écrit : >> >> Je cherche à bloquer un site internet grâce à fwbuilder. > > C'est-à-dire ? A mon avis, il cherche à interdire l'accès à un site internet hébergé quelque part sur la toile... mettre en place une sorte de filtrage web. > >> Je dispose d'une petit serveur Debian et de clients Ubuntu ainsi que >> des téléphones/tablettes. > > Quel rapport avec ce qui précède ? Peut-être pense-t-il que certains sur cette liste pourraient l'aider à trouver une solution adéquat en utilisant ce petit serveur existant ? Via une règle DNS, ou autre...? Il pourrait être judicieux de savoir si ce petit serveur sert de routeur entre le réseau local et l'internet...? Le listing des clients pourrait permettre à la liste de proposer des solutions logicielles à installer directement sur les clients ? Oui il peut y avoir à mon avis un certain rapport avec la question précédemment posée... > >> J'ai bien créé la règle, elle semble se compiler mais elle n'apparaît >> pas dans la sortie de iptables -L > > Je ne connais pas fwbuilder, seulement iptables. A ma connaissance, fwbuilder permet de créer des règles iptables facilement à l'aide de son interface. Cette GUI est plus simple à prendre en mains et parait certainement plus claire que des instructions iptables pour quelqu'un qui ne connaît pas ou ne comprend pas les commandes à injecter. C'est un peu le Kompozer du code HTML pour ceux qui connaissent... qui "tapera" tout seul le code HTML selon le design et le contenu que désire créer la personne via cette interface type traitement de texte. > >> Par la suite, je souhaite restreindre cette règles à certaines >> adresses MAC seulement. > > C'est-à-dire ? > Je pense que Migrec souhaite bloquer certains sites comme précédemment exposé, mais uniquement à certaines machines de son réseau, identifiables par leurs adresses MAC... c'est une piste qu'il propose...? Espérant être au plus proche de la réalité de ta demande, et ne pas avoir trop déformé tes paroles ;) signature.asc Description: OpenPGP digital signature
Re: iptables et fwbuilder
Le 10/08/2018 à 08:47, Migrec a écrit : Je cherche à bloquer un site internet grâce à fwbuilder. C'est-à-dire ? Je dispose d'une petit serveur Debian et de clients Ubuntu ainsi que des téléphones/tablettes. Quel rapport avec ce qui précède ? J'ai bien créé la règle, elle semble se compiler mais elle n'apparaît pas dans la sortie de iptables -L Je ne connais pas fwbuilder, seulement iptables. 1) iptables -L n'affiche que la table "filter". Si la règle a été créée dans une autre table ("mangle" par exemple, bien qu'elle ne soit pas prévue pour le filtrage), cette commande ne l'affichera pas. Il vaut mieux utiliser iptables-save qui affiche toutes les tables actives dans un format plus lisible proche de la syntaxe de création par iptables. 2) Si la règle a été créée avec le nom du site à bloquer, celui-ci a été résolu en adresse IP lors de la création, et la règle effective ne contient que l'adresse IP, pas le nom. Par la suite, je souhaite restreindre cette règles à certaines adresses MAC seulement. C'est-à-dire ?