Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 29/03/2007, à 20:37

Zergy

[IPTables] Mort au P2P !

Bonjour,

Je dispose chez moi de plusieurs PC en réseaux, l'un de ces PC fait office de passerelle/mur de feu, tout les PCs passent par celui-ci pour accéder à internet, tout fonctionne correctement, SAUF un truc :
Je souhaite bloquer les logiciel P2P pour :
- Eviter que la bande passante soit dévorée parce que mon petit frère télécharge le dernier album de <Insérer ici un artiste que vous n'aimez pas>
- Me mettre à l'abris au yeux de la loi (Pas de P2P, donc pas de problème)
- Je n'utilise pas moins même de logiciel P2P

Dans les règles IPTables de la passerelle j'ai indiqué que tout les paquets qui passent à travers le serveur (FORWARD) et qui sont à destination des ports des serveurs P2P (suffit de lire la doc de ces programmes pour savoir sur quoi ils se connectent) sont suppimées (DROP)

Mais, ça ne fonctionne pas, les logiciels visés (EMule, Kazaa et LimeWire) arrivent tout de même à se connecter et à télécharger des trucs.

Or, je souhaite qu'il ne puissent pas se connecter (ou alors se connecter mais ne rien pouvoir télécharger, niark niark tongue )

Voici le contenue de mon fichier de mur de feu
Bien entendu, ce fichier est éxécuté à chaque (re)démarrage des interfaces réseau de la passerelle.

#! /bin/sh

# Remise à zéro des règles de filtrage
iptables --table filter --flush
iptables --table nat --flush
iptables --table mangle --flush

# Règles par défaut
iptables --table filter --policy INPUT DROP             # Entrée sur machine refusé
iptables --table filter --policy OUTPUT ACCEPT          # Sortie de la machine accepté
iptables --table filter --policy FORWARD ACCEPT         # Forward accepté

# Règles de filtrages
iptables --table filter --append INPUT --in-interface lo --jump ACCEPT  # Acceptation des connexions entrantes à lo
iptables --table filter --append INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT  # Acceptations des connection entrantes correspondants à une connection déjà établi
iptables --table filter --append INPUT --source 192.168.1.0/24 --in-interface br0 --jump ACCEPT         # Acceptation des connectons entrantes provenants de 192.168.1.0/24 sur l'interface br0

# Autorisation d'accés au services installés sur le serveur
iptables --table filter --append INPUT --protocol tcp --destination-port 20 --jump ACCEPT       # FTP
iptables --table filter --append INPUT --protocol tcp --destination-port 21 --jump ACCEPT       # FTP
iptables --table filter --append INPUT --protocol tcp --destination-port 22 --jump ACCEPT       # SSH

# Interdiction emule
iptables --table filter --append FORWARD --protocol tcp --source 192.168.1.0/24 --out-interface eth0 --destination-port 4661 --jump DROP        # X -> 4661-TCP
iptables --table filter --append FORWARD --protocol tcp --source 192.168.1.0/24 --out-interface eth0 --destination-port 4662 --jump DROP        # X -> 4662-TCP
iptables --table filter --append FORWARD --protocol tcp --source 192.168.1.0/24 --out-interface eth0 --source-port 4662 --jump DROP     # 4662-TCP -> X
iptables --table filter --append FORWARD --protocol tcp --source 192.168.1.0/24 --out-interface eth0 --source-port 4771 --jump DROP     # 4771-TCP -> X
iptables --table filter --append FORWARD --protocol udp --source 192.168.1.0/24 --out-interface eth0 --destination-port 4665 --jump DROP        # X -> 4665-UDP
iptables --table filter --append FORWARD --protocol udp --source 192.168.1.0/24 --out-interface eth0 --destination-port 4672 --jump DROP        # X -> 4672-UDP
iptables --table filter --append FORWARD --protocol udp --source 192.168.1.0/24 --out-interface eth0 --source-port 4672 --jump DROP     # 4672-UDP -> X

# Interdiction LimeWire
iptables --table filter --append FORWARD --protocol tcp --source 192.168.1.0/24 --out-interface eth0 --destination-port 6346 --jump DROP        # X -> 6346-TCP
iptables --table filter --append FORWARD --protocol tcp --source 192.168.1.0/24 --out-interface eth0 --source-port 6346 --jump DROP     # 6346-TCP -> X
iptables --table filter --append FORWARD --protocol udp --source 192.168.1.0/24 --out-interface eth0 --destination-port 6347 --jump DROP        # X -> 6347-UDP
iptables --table filter --append FORWARD --protocol udp --source 192.168.1.0/24 --out-interface eth0 --source-port 6347 --jump DROP     # 6347-UDP -> X

# Règle de NAT
iptables --table nat --append POSTROUTING --source 192.168.1.0/24 --out-interface eth0 --jump MASQUERADE # Mise en place d'un PAT sur l'interface eth0
iptables --table nat --append PREROUTING --protocol tcp --in-interface eth0 --destination-port 4000 --jump DNAT --to-destination 192.168.1.2-192.168.1.254:4000 # Redirection des requètes sur le port 4000 de tux vers le port 4000 des hôtes du réseau. (Warppipe)
iptables --table nat --append PREROUTING --protocol tcp --in-interface eth0 --destination-port 27950:27970 --jump DNAT --to-destination 192.168.1.2-192.168.1.254:27950-27970 # Redirection des requètes sur le port 27950-27970 de tux vers le port 27950-27970 des hôtes du réseau. (Wolfenstein)

# Autres
echo "1" > /proc/sys/net/ipv4/ip_forward # Activation du routage de paquets

Donc, comment faire ?
Mon fichier de mur de feu est-il un bon début ou fais-je fausse route ?

Merci

Me trouver ailleurs | Mes configurations | Page utilisateur

Hors ligne

#2 Le 04/04/2007, à 00:24

Rodzic

Re : [IPTables] Mort au P2P !

Même config matériel, mais je n'arrive a me connecter qu'en low-Id alors que je voudrais pouvoir telecharger de mon ordi... On échange nos vie?

Vouloir à tout prix être dans le vent c'est avoir un destin de feuille morte.

Hors ligne

Pages : 1