Aller au contenu

Pare-feu sortant


Siouplait

Messages recommandés

bonjour, environnement semi-pro

je cherche à bloquer des requêtes sortantes ldap que je ne désire pas, donc sur le 389 vers une plage IP

de ce que j'ai vu en rapport, mais je n'arrive pas à mettre en place ,

le fichier /etc/firewall_rules.dump 

et le script /usr/syno/etc/rc.d/S01iptables.sh

merci pour l'intérêt

Lien vers le commentaire
Partager sur d’autres sites

ben, moi je bloquerait les requete ldap entrante, si il y a pas de demande ldap, il y aura pas de réponses :idea:
de plus, ca libere ton serveur ldap de gérer des requète totalement inutiles

donc tu bloque simplement ceci :

TCP 389. LDAP (sans cryptage ou starttls)
TCP 636, (LDAPS ssl)

Lien vers le commentaire
Partager sur d’autres sites

oui mais non ... je veux bien bloquer en sortie sur certaines adresses car le syno est membre d'un domaine AD et  ne se contente pas du ldap que je lui indique, c'est bien lui qui requête sans raison apparente.

c'est effectivement particulier, mais dommage de ne pas pouvoir modifier directement  iptables du syno dans ce sens

merci

 

Lien vers le commentaire
Partager sur d’autres sites

ok, alors, tu tape un script qui contient les regles iptables à ajouter

et tu met ce script de demarrage qui DOIT se trouvé dans /usr/local/etc/rc.d

le script doit toujours accepter au minimum 3 option start stop restart

voila la base, tu rajoute ce qu'il te faut :

#!/bin/sh

start() {
        iptables -I ...
        return 0
}

stop() {
        iptables -D ...
        return 0
}

start)
        start
        ;;
stop)
        stop
        ;;
restart)
        stop
        start
        ;;
*)
        exit 1
esac

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 11 minutes, Siouplait a dit :

c'est effectivement particulier, mais dommage de ne pas pouvoir modifier directement  iptables du syno dans ce sens

avec un script comme tu le proposais, ça ne devrait pas poser de problèmes

#!/bin/sh
/sbin/iptables -I OUTPUT -p tcp --dport 389 -d 1.2.3.4 -j REJECT
/sbin/iptables -I OUTPUT -p upd --dport 389 -d 1.2.3.4 -j REJECT

(la seconde ligne, c'est lié aux AD, ils écoutent aussi en udp)

Lien vers le commentaire
Partager sur d’autres sites

OK résolu, cela fonctionne nickel ainsi

Merci à Gaetan et à Fenrir

Bonne journée

 

#!/bin/sh

start() {
        /sbin/iptables -t filter -F OUTPUT
        /sbin/iptables -I OUTPUT -p udp --dport 389 -d 1.2.3.4 -j DROP
        return 0
}

stop() {
        /sbin/iptables -D OUTPUT -p udp --dport 389 -d 1.2.3.4 -j DROP
        return 0
}

case $1 in
"start")
        start
;;
"stop")
        stop
;;
restart)
        stop
        start
;;
*)
exit 1
esac

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.