bloquer internet via une passerelle debian

[chili69]

Bonjour

j'ai un rézo avec une petiote passerelle qui est sur une debian sur laquelle je gère mes entrées/sorties sur le rézo local à l'aide d'un petit script que Zep avait fait à l'époque.
J'aimerais juste bloquer les browsers et pas les streamings comme les webradio et bien entendu conserver les mails et peut etre un msn

voici le sscript, pourvez me dire ce que je dois rajouter comme ligne ?


**************************************************************************************************
#!/bin/sh
# Script de démarrage pare-feu

# On remet tout à zéro
iptables -F
iptables -t nat -F

# On bloque toutes les connexions entrantes, mais on autorise le forwarding et les connexions sortantes
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# Filtrage approfondi
# On désactive le filtrage sur le loopback et l'interface locale filaire
iptables -A INPUT -i lo -j ACCEPT
#iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
#iptables -A INPUT -i eth2 -j ACCEPT

# On accepte les paquets ICMP/IGMP
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p igmp -j ACCEPT

# On accepte les paquets relatifs aux connexions préexistantes
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Ouverture du port pour SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Ouverture du port IDENT
#iptables -A INPUT -p tcp --dport 113 -j ACCEPT

# On ouvre le serveur Apache (port 80)
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# On ouvre le port pour le monitoring ntop
#iptables -A INPUT -p tcp --dport 3000 -j ACCEPT

# On ouvre le port FTP
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT

# Ouverture du serveur DNS
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT

#ouverture de la passerelle pour la mule
iptables -A INPUT -p tcp --dport 40000 -j ACCEPT
iptables -A INPUT -p udp --dport 41000 -j ACCEPT

#ouverture de la passerelle pour boinc studio
iptables -A INPUT -p tcp --dport 31416 -j ACCEPT

# Ouverture du serveur mail
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT

# Ouverture du port SVN
#iptables -A INPUT -p tcp --dport 3690 -j ACCEPT

# Ouverture du serveur imap ssl
#iptables -A INPUT -p tcp --dport 993 -j ACCEPT

# Ouverture du port pour VMware
#iptables -A INPUT -p tcp --dport 902 -j ACCEPT
#iptables -A INPUT -p udp --dport 902 -j ACCEPT

#iptables -A INPUT -p tcp --dport 2049 -j ACCEPT
#iptables -A INPUT -p udp --dport 2049 -j ACCEPT
#iptables -A INPUT -p tcp --dport 6882 -j ACCEPT
#iptables -A INPUT -p udp --dport 6882 -j ACCEPT
#iptables -A INPUT -p tcp --dport 6345 -j ACCEPT
#iptables -A INPUT -p udp --dport 6345 -j ACCEPT
#iptables -A INPUT -p tcp --dport 6346 -j ACCEPT
#iptables -A INPUT -p udp --dport 6346 -j ACCEPT
#iptables -A INPUT -p tcp --dport 6347 -j ACCEPT
#iptables -A INPUT -p udp --dport 6347 -j ACCEPT
#iptables -A INPUT -p tcp --dport 6348 -j ACCEPT
#iptables -A INPUT -p udp --dport 6348 -j ACCEPT
#ptables -A INPUT -p tcp --dport 81 -j ACCEPT
#iptables -A INPUT -p tcp --dport 8000 -j ACCEPT

iptables -A OUTPUT -m state --state NEW -p tcp --dport 80 -j DROP

# Règle REJECT par défaut
#iptables -A INPUT -j LOG
iptables -A INPUT -j DROP
# Fin du filtrage

# Début des règles de NAT
# On active le masquerading sur l'interface connectée au WAN
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adaptation du MTU
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0 --clamp-mss-to-pmtu
# Fin du NAT

# Début des règles de port forwarding
# De la forme
iptables -t nat -A PREROUTING -p tcp --dport 40000 -j DNAT --to-destination 192.168.0.3:40000
iptables -t nat -A PREROUTING -p udp --dport 41000 -j DNAT --to-destination 192.168.0.3:41000
#iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.67:80
# Fin du port forwarding
#iptables -t nat -A PREROUTING -p tcp --dport 81 -j DNAT --to 192.168.0.198:80

**************************************************************************************************

merci d'avance pour les réponses

[biour]

iptables -A OUTPUT -p tcp --dport 80 -j DROP

nan? (j'en sais rien enfait)

[fighting_falcon]

ça va tout bloquer ...


Bloquer le net, sauf les radios, sauf MSN c'est loin d'être facile ...
ou alors tu n'autorises l'accès au net que de TA machine et tu interdis tout le reste, et là c'est déjà beaucoup plus simple ...

[chili69]

l'inconvénient c'est que je veux au moins le mail sur toutes les machines
msn et les radios c'est sur le 80 aussi ?

[Dream49]

les mails et msn spa du 80 donc spa grave et les webradio ca dépend lesquelle

Sinon mettre un proxy

[fighting_falcon]

les mails, c'est pas sur le port 80

msn par défaut non (port 1863), mais il peut aussi utiliser le 80 ...

les webradios, à part du particulier, je dirais que par défaut c'est sur le port 80 (tu charges une URL qui correspond à un flux en streamming)

et mettre un proxy, ça va être tout aussi compliqué à gérer d'autant (expérience perso) que certains flux en streaming ne passent plus dès lors que tu es derrière un proxy ...

[poulpito]

ben a la base déjà on avait réfléchit ensemble pour bloquer toutes les sorties vers un port 80

donc iptables -A OUTPUT -p tcp --dport 80 -j DROP
serait une règle valable .. chose bizarre ca marche pas dans son script
je suis pas du tout doué dans iptables mais il me semble que l'ordre importe
les dernières requetes passant par dessus les autres non ?

on avait essayé plein de choses sans succès

[fighting_falcon]

je suis pas expert non plus ...

mais si :
eth0 -> modem / routeur / enfin au net quoi
eth1 -> réseau local
eth2 -> dmz ou autre

iptables -A INPUT -i eth1 -j ACCEPT

c'est le drame ....
si le but c'est de bloquer l'accès au net depuis les postes du lan (connectés à eth1 donc), cette commande signifie d'accepter sans poser de question tout ce qui arrive sur eth1

ensuite, tu vas me dire "oui mais je bloque tout ce qui sort à destination du port 80" sauf que dans le cas de la passerelle, pour les postes du lan, les paquets sont "forwardés", ils passent donc par la chaîne FORWARD mais PAS par la chaîne OUTPUT ...

je pense que

iptables -A FORWARD -i eth1 -p tcp --dport 80 -j DROP

pourrait marcher ...

[gizmo78]

poulpi: les règles exécutées en premières sont en premières, donc si t'as une règle qui concerne ce port et bas le truc s'arrête à celle-ci et exécute pas une autre ligne qui concerne ce port normalement.

edit: après je dis peut être une grosse boulette, je sais plus si c'est pour le routage ou le iptable

[Kronick]

plop oui c'est tout à fait ça

[poulpito]

ok merci pour l'info

la chaine iptables -A FORWARD -i eth1 -p tcp --dport 80 -j DROP
il doit la mettre ou alors ?

[gizmo78]

bas j'aurais dit en dessous de la déclaration d'apache mais ca risque de posé problème, après j'ai jamais testé

/me est content de pas avoir dit de connerie

[Kronick]

ben non mais ça ne changera rien en fait, puisqu'un serveur web tourne sur un port X de son coté, mais le client lui se connecte avec des ports Y-Z aléatoires, sur une tranche (on se connecte sur un serveur qui est accessible via un port X, ça ne veut pas dire qu'en output sur le client c'est le port X qui est également utilisé )
pour blquer le net à tes clients, tu vas plutôt je dirais tout bloquer sauf en input les services mail et msn
pour les flux, je vois pas trop comment faire puisque dans tous les cas c'est du streaming over http, et c'est tout du server side include,
je sèche pour ça désolé

[gizmo78]

heu tu pourrais décoder t'as dernière phrase? xD

[Kronick]

tu verras que si tu vas sur google, ou sur un site web , en output tu n'est pas sur le port 80 mais sur le port 1025 par exemple ou 3390,
le serveur lui accepte les connections entrantes sur le port 80

[poulpito]

tin qu'on est con .... c'est vrai
merci Kronick pour se rappel à l'ordre

[Kronick]

c'est en fait le principe du NAT WAN/LAN, sur le wan on prends touts les ports, routés vers le port 80 par exemple pour un webserver

edit @gizmo : ben les webradio ce sont des webapplications, donc tournent sur un serveur web, peut-être l'expression stram over http est bizarre, et c'est du SSI , donc tous les scripts tournent sur le serveur, c'est pas comme si tu téléchargeait une application qui se connectait sut un port indépendant d'un webserver en gros (ce qui aurait pu à a la limite faire avancer l'histoire en fait)
après , je connais pas trop les flux sur ce genre de choses, donc je préfère m'abstenir sur comment marchent les applis

[gizmo78]

et bas je me coucherais moins bête ce soir

merci

[fighting_falcon]

@Kronick et alors ...

ton paquet c'est ça :
adresse ip source | port source | adresse ip destination | port destination
192.168.0.1 | 32532 | 209.85.129.147 | 80

de ta machine, oui le paquet part d'un port aléatoire, mais c'est le port SOURCE, en revanche, il est bien à destination d'un serveur web (google dans mon exemple) sur le port DESTINATION 80 !!!!!!!!!!

et dans ma règle iptable, je souhaite bien bloquer les paquets à DESTINATION (-dport : destination port) du port 80 ...



edit : la preuve en est que si tu veux mettre en place un proxy transparent, tu rediriges tout paquet à destination d'un port 80 vers le port 3128 (par défaut) de ta passerelle ...


Quant aux web radios, c'est la merde, certaines font effectivement du "stream over http" donc bah à autoriser si tu bloques le net ...
d'autres fonctionnent carrèment sur un autre port, tu ne fais que télécharger une playlist via une URL (port 80 donc) et ensuite, tu ouvres un flux sur un port différent ...

[Kronick]

ah oui effectivement, au temps pour moi

pour les flux j'y ai pensé, par exemple utiliser VLC avec l'ajout du flux direct si il arrive à le trouver. si on considère la webapplication uniquement comme une interface.
à tester dans ce sens là

[poulpito]

pfiouuuuu ....
je vais me tirer une baballe
je me souvient maintenant pourquoi je déteste tout ca
vive le hardware

[fighting_falcon]

pour les flux j'y ai pensé, par exemple utiliser VLC avec l'ajout du flux direct si il arrive à le trouver.

bah si tu prends le mouv' par exemple, ça donne ça :
http://mp3.live.tv-radio.com/lemouv/all ... tdebit.mp3

mais ça reste toujours du HTTP, certes de l'audio encapsulé dedans, n'empêche que ton navigateur, VLC, ce que tu veux, va faire une requête HTTP, destination un port 80

vive le hardware

sauf que si tu as un truc qui passe pas, tu l'as dans l'c**
alors qu'avec une passerelle logicielle, s'il te manque qqchose, tu peux toujours patcher / installer ... (qui parle du suppport du RTSP avec du NAT )

[poulpito]

non mais je parle de tout ce qui n'est pas du réseau
je préfère largement bricoler un serveur que de passer des heures sur des règles de routage
ca me donne de l'urticaire toutes ces slop*****

[fighting_falcon]

pour en revenir au problème de base :

J'aimerais juste bloquer les browsers et pas les streamings comme les webradio et bien entendu conserver les mails et peut etre un msn

perso je dirai proxy transparent, sur lequel tu n'autorise QUE les accès aux web radios que tu écoutes (liste blanche)
mails, aucun soucis
MSN, ça ne passe, par défaut, pas par du HTTP


Ceci dit, cette solution est viable si tu n'écoutes pas une nouvelle web radio tous les jours ...
Egalement, comme je le disais, je n'annonce aussi d'avance qu'en te retrouvant derrière un proxy, certains flux ne passeront plus ...

[fighting_falcon]

non mais je parle de tout ce qui n'est pas du réseau
je préfère largement bricoler un serveur que de passer des heures sur des règles de routage
ca me donne de l'urticaire toutes ces slop*****

ok, avais pas compris