securiser mon reseau local avec iptables

melinameline · Le 04/06/2011, à 00:56

Bonjour,
j'au un serveur dns sous ubuntu server, je veux securiser mon reseau local, en limittant le flux sortant vers l'exterieure c'est à dire interdir tout type de telechargement (qui utilise les torrents, IDM,arres...etc).

je voudrais aussi creer une black list des sites interdits,

comment le faire???

sachant que je doit utiliser des regles de iptables!!!

en fait c'est mon dns qui va contenir les regle de iptables (c'est à dire qu'il va j'ouer le role d 'un firewall aussi).

le plus urgent actuellement c'est de bloquer le telechargement : comment le faire SVP, c'est tres urgent sinon mon institution sera bani de la connexion à internet,

SVP aidez moi

merci c'est tressssssss urgent.

Cypher5762 · Le 04/06/2011, à 01:12

bonjour voici un exemple que tu peut utiliser :

#!/bin/bash

#Suppression des règles iptables
iptables -F
iptables -X

#Blocage par défaut de toutes les connexions
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Déblocage pour les connexions déjà ouverte
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Ouverture des connexions entrantes et sortantes pour la boucle locale
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Ouverture des connexions entrantes et sortantes pour les paquets ICMP (ping)
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#Ouverture des connexions sortantes des protocoles HTTP,HTTPS,FTP,DNS,NTP pour la connexion internet et les mises à jour
iptables -A OUTPUT -o eth0 -p tcp -m multiport --dports 80,443 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 123 -j ACCEPT

#Ouverture des connexions entrantes pour le serveur DNS
iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT

#Blocage des scans XMAS et NULL
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

#Blocage des connexions TCP ne commençant pas par SYN
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

#Blocage des paquets avec fragment entrant
iptables -A INPUT -f -j DROP

#Blocage des paquets broadcastés
iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP

#On bloque toutes les autres connexions
iptables -A INPUT -p all -j DROP
iptables -A OUTPUT -p all -j DROP
iptables -A FORWARD -p all -j DROP

J'ai rajouté au script les connexions entrantes pour ton serveur dns, sur le port UDP 53
J'ai mis l'interface eth0, le script est à adapté en fonction de ta configuration

Dernière modification par Cypher5762 (Le 04/06/2011, à 01:15)

slasher-fun · Le 04/06/2011, à 01:13

Bonjour,

melinameline a écrit :

interdir tout type de telechargement (qui utilise les torrents, IDM,arres...etc)

Bah euh... débrancher le cable réseau, puisqu'internet c'est basiquement du téléchargement et de l'envoi de données

Hoper · Le 04/06/2011, à 21:52

+1 avec Slasher fun.

En gros tu as le choix entre :

a) Expliquer à tes supérieurs que ce qu'ils demande et impossible
b) Démissionner
c) Te suicider
d) Le choix d

Ce que je ne comprend pas, c'est qu'un informaticien (tu l'es ?) près à utiliser des regèles iptables ne semble pas réaliser cela... tu sais que le téléchargement d'un film en direct download par exemple se fait tout simplement avec une requette http sur un port 80 ? Tu tu interdit cela, tu bloque immédiatement l'accès au web.

melinameline · Le 04/06/2011, à 23:41

Bonjour,

merci Cypher5762 pour ta reponse, je vais l'essayer.

tu sais que le téléchargement d'un film en direct download par exemple se fait tout simplement avec une requette http sur un port 80 ? Tu tu interdit cela, tu bloque immédiatement l'accès au web.

je le sais, mais je sais aussi que les logiciels de telechargement utilisent des port tcp ou udp du genre 4662 pour emule par exemple ou de 6881 à 6889 pour bittorrent, c'est ce que je veux bloquer.

en fait je veux bloquer le telechargement illegal sur internet pour les utilisateurs dans mon reseau local,

est-il possible avec iptables?
si ce n'est le cas dois-je utiliser un firewall du genre endian ou ipcop? au fait endian est il compatible avec ubuntu??

merci de me repondre.

slasher-fun · Le 05/06/2011, à 02:46

melinameline a écrit :

je le sais, mais je sais aussi que les logiciels de telechargement utilisent des port tcp ou udp du genre 4662 pour emule par exemple ou de 6881 à 6889 pour bittorrent, c'est ce que je veux bloquer.

Ça se change en claquant des doigts ça.

melinameline a écrit :

en fait je veux bloquer le telechargement illegal sur internet pour les utilisateurs dans mon reseau local,
est-il possible avec iptables?
si ce n'est le cas dois-je utiliser un firewall du genre endian ou ipcop?

Aucune protection ne permet de différencier du contenu "légal" de contenu "illégal". Tout simplement parce que les deux s'obtiennent par les mêmes biais.

Cypher5762 · Le 05/06/2011, à 16:14

Hoper a écrit :

Ce que je ne comprend pas, c'est qu'un informaticien (tu l'es ?) près à utiliser des regèles iptables ne semble pas réaliser cela... tu sais que le téléchargement d'un film en direct download par exemple se fait tout simplement avec une requette http sur un port 80 ? Tu tu interdit cela, tu bloque immédiatement l'accès au web.

C'est vrai que ce que j'ai posté n'empêchera pas le direct download ou le tunneling http (faire passer emule sur le port 80). La seule solution viable est de voir du coté de squid.

melinameline · Le 05/06/2011, à 20:08

Bonjour, just une question,

iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT

ici eth0, c'est l'adresse locale de mon serveur dns, n'est ce pas??

ne rigolez pas trop, parce que je n'arrive pas à assimiler facilement ce truc,:/
merci de me repondre

Bruno666 · Le 06/06/2011, à 12:27

Salut à mon avis tu t'y prends mal et tu confonds beaucoup de chose

dans un premier temps voir comment est installé ton réseau et là où tu veux faire ton blocage

si ton réseau c'est une simple connexion internet avec un modem / routeur du type de box internet alors tu peux en effet mettre une machine derrière ta box avec une distribution spéciale sécurité comme ipcop. (distribution légère environ 50 Mo et 10 mn d'install et de config)
Sur ipcop tu pourras adjoindre un certain nombre d'add on pour interdire des sites ou créer des plages horaire de surf etc.

tu pourras même créer des listes d'ordinateurs autorisés ou non.

Ubuntu est une distribution non spécialisée, dans laquelle tu peux en effet configurer un firewall iptable ou adjoindre des logiciels spécifiques.

Par contre si tu veux que ta machine devienne un firewall (avec ipcop ou ou ubuntu ou autre) il faut bien sur que ta machine ait deux cartes réseau (l'une sur laquelle sera branchée ta box et l'autre sur laquelle sera branchée ton réseau au travers de switch(s) .

c'est ce qui me parait le plus simple.

Pour le reste tu peux en effet bloquer un max de port ( ne laisser passer que les ports autorisés) mais en effet télécharger un film sur différents sites de download sans utiliser de torrent ou autre est très simple.... donc il faudra bien bloquer une ensemble de sites et de ports....
je ne connais pas ton institution, mais il est également courant de mettre en place une charte informatique interdisant le téléchargement illégale et autre règles (du style : ne jamais installer de programme sans l'accord du service informatique ...) et en cas de manquement à la règle, sévir.... (avertissement, mise à pied, licenciement pour faute grave ...) et c'est à la direction de prendre ces mesures et de les faire appliquer, car sans ça comment faire respecter le travail des informaticiens.....

Si la direction ne veut pas te suivre alors en effet la solution est simple... il faut leur dire :
"vous souhaitez bloquer tout ce qui est illégal ? et vous ne souhaitez pas mettre en place un système d'éducation des utilisateurs ? soit, je ferme la connexion internet et il n'y aura plus de telechargement.... " " ce que vous demandez c'est comme de donner une fomule 1 à tous les utilisateurs en leur disant ne dépassez pas le 50 km / heure... certain le feront et d'autres iront à 250 km/h"

bonne chance

Hoper · Le 06/06/2011, à 12:36

en fait je veux bloquer le telechargement illegal sur internet pour les utilisateurs dans mon reseau local,est-il possible avec iptables?

NON. Ni avec iptables, ni avec quoi que ce soit d'autre.
Et comme visiblement tu as déjà bien du mal a comprendre un truc aussi simple que ça... Les regles iptables... comment dire... lol.

melinameline · Le 06/06/2011, à 19:33

Bonjour,
adresse locale, pofff je voulait dire adresse privée, car dans mon cas, j'ai un reseau local relié à un serveur dns qui va contenir le firewall , ce serveur est relié à un routeur qui est relié à une ligne specialisée, donc au final, le serveur dns à deux cartes reseaux une ayant une adresse privée dans mon cas eth1=192.168.0.1, l'autre c'est eth0 avec une adresse publique.

donc: iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
donc ici quelle interface dois je utiliser?

merci de repondre,

Bruno666 · Le 06/06/2011, à 21:02

vu que ton réseau local à besoin d'accéder au serveur dns ne touche pas à eth1.

par contre vu que eth0 est la carte qui est connectée à internet il faut jouer sur elle et bloquer les entrées voir les sorties si tu veux bloquer les utilsateurs internes...

mais tout cela n'empechera en rien le téléchargement illégal car ceux qui savent installer des logiciels de peer to peer en générale savent utiliser les sites sur internet pour télécharger....

bonne chance

melinameline · Le 06/06/2011, à 23:54

je te remercie Bruno666, c'est la reponse que je cherchait.
merci

hossec · Le 30/06/2011, à 13:33

Bonjour à tous,

je prend ce post en cours ou fini pour apporter "peut être" une solution complémentaire. Avec un compte Open DNS, associé éventuellement à squid3 on peut bloquer beaucoup de chose comme les sites de P2P. Pour ceux qui ont une adresse dynamique, on installera ddclient

A+

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 04/06/2011, à 00:56

securiser mon reseau local avec iptables

#2 Le 04/06/2011, à 01:12

Re : securiser mon reseau local avec iptables

#3 Le 04/06/2011, à 01:13

Re : securiser mon reseau local avec iptables

#4 Le 04/06/2011, à 21:52

Re : securiser mon reseau local avec iptables

#5 Le 04/06/2011, à 23:41

Re : securiser mon reseau local avec iptables

#6 Le 05/06/2011, à 02:46

Re : securiser mon reseau local avec iptables

#7 Le 05/06/2011, à 16:14

Re : securiser mon reseau local avec iptables

#8 Le 05/06/2011, à 20:08

Re : securiser mon reseau local avec iptables

#9 Le 06/06/2011, à 12:27

Re : securiser mon reseau local avec iptables

#10 Le 06/06/2011, à 12:36

Re : securiser mon reseau local avec iptables

#11 Le 06/06/2011, à 19:33

Re : securiser mon reseau local avec iptables

#12 Le 06/06/2011, à 21:02

Re : securiser mon reseau local avec iptables

#13 Le 06/06/2011, à 23:54

Re : securiser mon reseau local avec iptables

#14 Le 30/06/2011, à 13:33

Re : securiser mon reseau local avec iptables

Pied de page des forums