Siouplait Posté(e) le 3 février 2016 Posté(e) le 3 février 2016 Bonjour , je cherche à ajouter des règles de pare-feu sortant , sur plage d'adresses et ports particuliers donc iptables OUTPUT , il n'y a pas cette possibilité dan l'interface http, uniquement filtrage entrant, est-ce réalisable en Telnet ? Merci par avance de votre aide 0 Citer
gaetan.cambier Posté(e) le 3 février 2016 Posté(e) le 3 février 2016 c rare de vouloir bloquer des sorties pour un particulier, evidemment, c'est possible en ssh, mais que veux-tu bloquer ? 0 Citer
Siouplait Posté(e) le 4 février 2016 Auteur Posté(e) le 4 février 2016 bonjour, environnement semi-pro je cherche à bloquer des requêtes sortantes ldap que je ne désire pas, donc sur le 389 vers une plage IP de ce que j'ai vu en rapport, mais je n'arrive pas à mettre en place , le fichier /etc/firewall_rules.dump et le script /usr/syno/etc/rc.d/S01iptables.sh merci pour l'intérêt 0 Citer
gaetan.cambier Posté(e) le 4 février 2016 Posté(e) le 4 février 2016 ben, moi je bloquerait les requete ldap entrante, si il y a pas de demande ldap, il y aura pas de réponses de plus, ca libere ton serveur ldap de gérer des requète totalement inutiles donc tu bloque simplement ceci : TCP 389. LDAP (sans cryptage ou starttls) TCP 636, (LDAPS ssl) 0 Citer
Siouplait Posté(e) le 4 février 2016 Auteur Posté(e) le 4 février 2016 oui mais non ... je veux bien bloquer en sortie sur certaines adresses car le syno est membre d'un domaine AD et ne se contente pas du ldap que je lui indique, c'est bien lui qui requête sans raison apparente. c'est effectivement particulier, mais dommage de ne pas pouvoir modifier directement iptables du syno dans ce sens merci 0 Citer
gaetan.cambier Posté(e) le 4 février 2016 Posté(e) le 4 février 2016 ok, alors, tu tape un script qui contient les regles iptables à ajouter et tu met ce script de demarrage qui DOIT se trouvé dans /usr/local/etc/rc.d le script doit toujours accepter au minimum 3 option start stop restart voila la base, tu rajoute ce qu'il te faut : #!/bin/sh start() { iptables -I ... return 0 } stop() { iptables -D ... return 0 } start) start ;; stop) stop ;; restart) stop start ;; *) exit 1 esac 0 Citer
Fenrir Posté(e) le 4 février 2016 Posté(e) le 4 février 2016 il y a 11 minutes, Siouplait a dit : c'est effectivement particulier, mais dommage de ne pas pouvoir modifier directement iptables du syno dans ce sens avec un script comme tu le proposais, ça ne devrait pas poser de problèmes #!/bin/sh /sbin/iptables -I OUTPUT -p tcp --dport 389 -d 1.2.3.4 -j REJECT /sbin/iptables -I OUTPUT -p upd --dport 389 -d 1.2.3.4 -j REJECT (la seconde ligne, c'est lié aux AD, ils écoutent aussi en udp) 0 Citer
Siouplait Posté(e) le 5 février 2016 Auteur Posté(e) le 5 février 2016 OK résolu, cela fonctionne nickel ainsi Merci à Gaetan et à Fenrir Bonne journée #!/bin/sh start() { /sbin/iptables -t filter -F OUTPUT /sbin/iptables -I OUTPUT -p udp --dport 389 -d 1.2.3.4 -j DROP return 0 } stop() { /sbin/iptables -D OUTPUT -p udp --dport 389 -d 1.2.3.4 -j DROP return 0 } case $1 in "start") start ;; "stop") stop ;; restart) stop start ;; *) exit 1 esac 0 Citer
PiwiLAbruti Posté(e) le 5 février 2016 Posté(e) le 5 février 2016 Pour éviter les surprises, tu peux aussi ajouter le port LDAPS (udp/636). 0 Citer
Siouplait Posté(e) le 5 février 2016 Auteur Posté(e) le 5 février 2016 Il y a 7 heures, PiwiLAbruti a dit : Pour éviter les surprises, tu peux aussi ajouter le port LDAPS (udp/636). oui merci, j'ai ajouté quelques autres règles, c'est sur DS1515+ 0 Citer
Fenrir Posté(e) le 5 février 2016 Posté(e) le 5 février 2016 je te recommande le REJECT à la place du DROP, ça consommera moins de ressources (avec un reject, le nas sait tout de suite que c'est mort, avec un drop, il doit attendre jusqu'à l'arrivée d'un timeout) 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.