PhenIXUS

La renaissance d'IXUS

Accéder au contenu

[RESOLU] connection du wifi -> net

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...
Règles du forum
Publier une réponse

[RESOLU] connection du wifi -> net

Message par totoche » 10 Avr 2012 06:58

bonjour à tous

j'ai un petit problème de connexion du wifi -> net
1 le dhcp délivre bien l'adresse à la carte
2 le point d'acces est bien detecté
3 ma maclist est bien renseignée
4 je pingue bien eth2 et le point d'accés
5 les routes ont l'air bonnes

merci d'avance

route -n
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.30.0 0.0.0.0 255.255.255.0 U 0 0 0 eth3
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0


mais j'ai pas de connexion au net

fichier policy
loc net ACCEPT
loc fw REJECT $LOG
loc all REJECT $LOG

fw net ACCEPT
fw loc REJECT $LOG
fw all REJECT $LOG

wifi net ACCEPT
wifi fw REJECT $LOG
wifi all REJECT $LOG

net loc DROP $LOG
net fw DROP $LOG
net all DROP $LOG


interfaces
net eth0 detect tcpflags,nosmurfs,routefilter
loc eth1 detect tcpflags,dhcp,nosmurfs,routefilter,routeback
wifi eth2 detect dhcp,maclist


zones
fw firewall
net ipv4
loc ipv4
wifi ipv4


rules
COMMENT acces au net
#ACCEPT fw loc
ACCEPT fw net
ACCEPT wifi net

COMMENT acces à SSH
ACCEPT:ULOG loc fw tcp 2222
ACCEPT fw loc tcp 2222 - - 3/min:2

#COMMENT Acces squid port 3128
#ACCEPT fw net tcp 80
#REDIRECT loc 3128 tcp 80

#COMMENT Acces au WakeOnLan
#ACCEPT net fw udp 7

COMMENT Acces au serveur de temps
ACCEPT loc fw udp 123
ACCEPT wifi net udp 123

COMMENT acces à SAMBA
#SMB/ACCEPT $FW loc
#SMB/ACCEPT loc $FW

COMMENT acces au ping
ACCEPT loc fw icmp echo-request
ACCEPT loc net icmp echo-request
ACCEPT fw net icmp echo-request
ACCEPT loc wifi icmp echo-request

COMMENT Accept DNS
ACCEPT loc $FW tcp 53
ACCEPT loc $FW udp 53
ACCEPT net $FW tcp 53
ACCEPT net $FW udp 53

COMMENT Autorise les MAJ DDNS
ACCEPT loc $FW tcp 953

COMMENT Autorise le failover dhcp
ACCEPT loc $FW tcp 647

COMMENT Pour le serveur DHCP en LOCAL
ACCEPT $FW loc udp 67
ACCEPT $FW loc udp 68
ACCEPT loc $FW udp 67
ACCEPT loc $FW udp 68

COMMENT On interdit le port 113 rester ouvert
DROP net $FW tcp 113
DROP net $FW udp 113

Dernière édition par totoche le 11 Avr 2012 17:04, édité 1 fois.
totoche
 
Message(s) : 31
Inscription : 03 Fév 2012 13:12
Haut

Re: connection du wifi -> net

Message par jdh » 10 Avr 2012 09:20

Concernant le fichier 'policy',
- il semble manquer la ligne finale obligatoire,
- je déconseille de mettre grand chose dans policy : il vaut mieux être explicite dans rules !

Concernant le fichier rules,
- je recommande une syntaxe par interface -> interface plutôt que tout mélangé,
- je recommande d'autoriser le ping de tout vers tous (icmp/8).

J'ai donné un exemple personnel de remplissage de rules (qui a fait ses preuves).

Compte tenu de la fin du fil précédant, je redoute le réglage "c.n" ...

Avec une règle mise en premier de ping (icmp/8), si le ping ne fonctionne pas, c'est que c'est à désesperer.

Les bons outils :
- un policy 'basique',
- un rules bien structuré,
- une règle ping systématique : accept wifi net icmp 8,
- une vérification SYSTEMATIQUE des 4 infos de base (adresse ip, masque, dns, gateway),
- un test de ping de proche en proche,
- quand ça traverse le firewall, un tcpdump -i (interface) (ou mieux 2 simultanément).

Cela semble manquer de régularité dans les tests ...
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers
Haut

Re: connection du wifi -> net

Message par totoche » 10 Avr 2012 10:31

salutas

lla derniere ligne obligatoire est bien presente

jdh a écrit :Concernant le fichier rules,
- je recommande une syntaxe par interface -> interface plutôt que tout mélangé,
- je recommande d'autoriser le ping de tout vers tous (icmp/8).


je vais tester ta solus ne soyons pas bourrin :D toute solution est bonne à prendre

ENCORE UNE FOIS j'ai merdé :oops: erreur dans le dhcp au niveau de la passerelle

j'ai mon wifi
totoche
 
Message(s) : 31
Inscription : 03 Fév 2012 13:12
Haut

Re: connection du wifi -> net

Message par jdh » 10 Avr 2012 10:53

Je craignais une sonnerie ...

Il n'y a aucune astuce dans le conseil de rédaction, c'est juste par rationnalité !

# fw -> net : ping, dns, http, https, ftp
accept fw net icmp 8
accept fw net udp domain
accept fw net tcp domain,www,https,ftp

# fw -> loc : ping
accept fw loc icmp 8

# loc -> fw : ping, dns, ssh, http, webmin
accept loc fw icmp 8
...

# wifi -> fw

Avec net, fw, loc, wifi, dmz, cela fait 20 sections (=5*4), et je les écris toutes quitte à ne pas mettre de lignes.
C'est le côté systématique et régulier qui fait la force et l'efficacité : la discipline fait la force de l'armée !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers
Haut
Publier une réponse

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
Propulsé par phpBB® Forum Software © phpBB Group
Traduction et support en françaisHébergement phpBB
cron