Bonjour , je cherche à ajouter des règles de pare-feu sortant ,  sur plage d'adresses et ports particuliers

donc iptables OUTPUT , il n'y a pas cette possibilité dan l'interface http, uniquement filtrage entrant, est-ce réalisable en Telnet ?

 Merci par avance de votre aide

c rare de vouloir bloquer des sorties pour un particulier, evidemment, c'est possible en ssh, mais que veux-tu bloquer ?

bonjour, environnement semi-pro

je cherche à bloquer des requêtes sortantes ldap que je ne désire pas, donc sur le 389 vers une plage IP

de ce que j'ai vu en rapport, mais je n'arrive pas à mettre en place ,

le fichier /etc/firewall_rules.dump 

et le script /usr/syno/etc/rc.d/S01iptables.sh

merci pour l'intérêt

ben, moi je bloquerait les requete ldap entrante, si il y a pas de demande ldap, il y aura pas de réponses 
de plus, ca libere ton serveur ldap de gérer des requète totalement inutiles

donc tu bloque simplement ceci :

TCP 389. LDAP (sans cryptage ou starttls)
TCP 636, (LDAPS ssl)

oui mais non ... je veux bien bloquer en sortie sur certaines adresses car le syno est membre d'un domaine AD et  ne se contente pas du ldap que je lui indique, c'est bien lui qui requête sans raison apparente.

c'est effectivement particulier, mais dommage de ne pas pouvoir modifier directement  iptables du syno dans ce sens

merci

 

ok, alors, tu tape un script qui contient les regles iptables à ajouter

et tu met ce script de demarrage qui DOIT se trouvé dans /usr/local/etc/rc.d

le script doit toujours accepter au minimum 3 option start stop restart

voila la base, tu rajoute ce qu'il te faut :

#!/bin/sh

start() {
        iptables -I ...
        return 0
}

stop() {
        iptables -D ...
        return 0
}

start)
        start
        ;;
stop)
        stop
        ;;
restart)
        stop
        start
        ;;
*)
        exit 1
esac

 

il y a 11 minutes, Siouplait a dit :

c'est effectivement particulier, mais dommage de ne pas pouvoir modifier directement  iptables du syno dans ce sens

avec un script comme tu le proposais, ça ne devrait pas poser de problèmes

#!/bin/sh
/sbin/iptables -I OUTPUT -p tcp --dport 389 -d 1.2.3.4 -j REJECT
/sbin/iptables -I OUTPUT -p upd --dport 389 -d 1.2.3.4 -j REJECT

(la seconde ligne, c'est lié aux AD, ils écoutent aussi en udp)

OK résolu, cela fonctionne nickel ainsi

Merci à Gaetan et à Fenrir

Bonne journée

 

#!/bin/sh

start() {
        /sbin/iptables -t filter -F OUTPUT
        /sbin/iptables -I OUTPUT -p udp --dport 389 -d 1.2.3.4 -j DROP
        return 0
}

stop() {
        /sbin/iptables -D OUTPUT -p udp --dport 389 -d 1.2.3.4 -j DROP
        return 0
}

case $1 in
"start")
        start
;;
"stop")
        stop
;;
restart)
        stop
        start
;;
*)
exit 1
esac

Pour éviter les surprises, tu peux aussi ajouter le port LDAPS (udp/636).

Il y a 7 heures, PiwiLAbruti a dit :

Pour éviter les surprises, tu peux aussi ajouter le port LDAPS (udp/636).

oui merci, j'ai ajouté quelques autres règles, c'est sur DS1515+ 

je te recommande le REJECT à la place du DROP, ça consommera moins de ressources (avec un reject, le nas sait tout de suite que c'est mort, avec un drop, il doit attendre jusqu'à l'arrivée d'un timeout)