View Single Post
  #17  
Old 01-02-2005, 10:34
arzooooo arzooooo is offline
Membre junior
 
Join Date: 01-02-2005
Age: 59
Posts: 2
routeur SpeedStream 5700


Bonjour à toutes & à tous

Voici quelques informations en vrac.

Je dispose d'un routeur 5711 que j'ai paramétré récemment (la semaine dernière) pour limiter les utilisations non recommandables... Je pense que les commandes de paramétrage sont les mêmes.

Le principe pour le blocage et l'autorisation des accès consiste à gérer deux listes : les paquets réseau sortant du LAN pour aller vers le WAN (liste INPUT) et vice-versa (liste OUTPUT).

Toujours en Telnet, tu dois ajouter des filtres qui seront numérotés au fur et à mesure que tu les apprendras au routeur. Les filtres autoriseront ou interdiront le passage de paquets réseau. Ces filtres sont traités dans l'ordre numérique, du numéro 0 jusqu'au dernier, jusqu'à ce qu'une règle autorise ou interdise le passage.

Donc, le principe est d'avoir les règles d'interdiction en premier (ports tcp interdits pour skype ou autres...) ensuite autoriser les adresses IP locales qui peuvent sortir et enfin le blocage du reste des paquets.

Malheureusement, ce routeur ne travaille pas sur les adresses MAC des interfaces réseau, on ne travaille que sur les adresses IP. Il faut donc que tout le réseau soit en adresses IP statiques, tout au moins pour celles ayant le droit de sortir sur le net.

Exemple de blocage pour ne plus autoriser que le surf, le ftp, le telnet, la messagerie (pop et smtp), les newsgroups et la résolution DNS :

filtrage de ports pour machines windows (apparemment, des machines linux ne peuvent plus aller sur le net... problème de DNS ?) :
on bloque en sortie les ports 1 à 6, 9 à 19, 22, 24, 26 à 52....

eth ip filter insert input drop -sp 1:6
eth ip filter insert input drop -sp 9:19
eth ip filter insert input drop -sp 22
eth ip filter insert input drop -sp 24
eth ip filter insert input drop -sp 26:52
eth ip filter insert input drop -sp 54:79
eth ip filter insert input drop -sp 81:109
eth ip filter insert input drop -sp 111:118
eth ip filter insert input drop -sp 120:160
eth ip filter insert input drop -sp 163:442
eth ip filter insert input drop -sp 444:988
eth ip filter insert input drop -sp 3000:65535

ensuite on bloque en entrée (output) les ports 991 à 65535

eth ip filter insert output drop -sp 991:65535

puis on "coince" skype et msn en interdisant d'aller vers (output) leurs sites web (je n'ai pas eu le temps de tester pour msn, mais ça marche pour skype)

eth ip filter insert output drop -sa 207.46.110.1:207.46.110.254
eth ip filter insert output drop -sa 67.15.82.1:67.15.82.254


puis tu autorises les adresse IP à aller sur le net (par exemple) :

eth ip filter insert input accept -sa 10.0.0.100:10.0.0.113

pour interdire une plage :

eth ip filter append input drop -sa 10.0.0.1:10.0.0.254
en effet, placée DERRIERE (grâce à append - ajouter à la place de INSERT - insérer) la commande précédente, tu donnes ici l'autorisation aux adresses 10.0.0.100 jusqu'à 113 incluses d'aller vers le net mais tu l'interdis à celles qui sont en 10.0.0.x. Si tu mets ces commandes dans l'autre ordre, aucune adresse IP du type 10.0.0.x ne pourra aller sur le net puisque la règle d'interdiction (DROP) sera mise devant l'autre...

ATTENTION : si tu bloques en sortie l'IP à partir de laquelle tu règles le routeur... tu coupes alors aussi la liaison pour le réglage !!!

En coupant l'alimentation électrique du routeur et en le redémarrant, il reprend alors sa précédente configuration stable.

Vérifie bien le bon fonctionnement de tes réglages pendant un certain temps. Si tu es sûr que tout est bon et que, en particulier, tu peux encore accéder au routeur pour le paramétrer, tu peux alors sauvegarder la configuration pour qu'elle soit reprise en cas de coupure de courant grâce à la commande SAVE.

Donc, dans les commandes de filtrage, voici les choses à retenir :

APPEND : ajouter à la fin de la liste de filtrage

INSERT : insérer au début de la liste de filtrage

ACCEPT : autoriser le passage du paquet
DROP : interdire le passage sans même avertir la machine émettrice
REJECT : interdire le passage en avertissant l'émetteur

INPUT : paquet réseau qui va du LAN vers le WAN
OUTPUT : paquet qui va du WAN vers le LAN

Prépare bien tes commandes dans un éditeur de textes pour pouvoir apporter des modifications.

Utilise un autre logiciel que le telnet de windows. Par exemple, PuTTY.

commande utile : lister toutes les règles de filtrage en cours
eth ip filter lis

Supprimer les règles :

la première règle concernant la sortie
eth ip filter flush 0 0 input
concernant l' entrée, supprimer la deuxième, la troisième et la quatrième règle :
eth ip filter flush 1 3 output

Reply With Quote