Monitor Forum | Start New Thread Start New Thread
RE: Autoriser l'accès au réseau situé entre ALCASAR et le routeur d'accès à Internet [ Reply ]
By: Nicolas REYNAUD on 2024-03-01 08:45
[forum:626595]
Bonjour,

Bien sûr, pas de problème !


Concernant le message de @megs megs ; je confirme que moi aussi, je trouve plus logique que la gestion de l'ACC soit côté WAN d'Alcasar.

Mais cette fonction est disponible en dé-commentant quelques lignes dans le fichier alcasar-iptables-local donc c'est facile !

Merci pour tout

RE: Autoriser l'accès au réseau situé entre ALCASAR et le routeur d'accès à Internet [ Reply ]
By: Richard REY (Rexy) on 2024-02-29 23:57
[forum:626593]
Bonsoir,

Désolé pour la modération. C'est l'Adullact qui l'a mis en place suite à pas mal de spam. Je n'ai accès à aucun réglage.

RE: Autoriser l'accès au réseau situé entre ALCASAR et le routeur d'accès à Internet [ Reply ]
By: Nicolas REYNAUD on 2024-02-29 05:51
[forum:626587]
Bonjour

Ok très bien !

Merci beaucoup


PS : est-il possible de désactiver la modération des commentaires pour les "habitués" du forum ? Histoire de fluidifier les échanges ?

RE: Autoriser l'accès au réseau situé entre ALCASAR et le routeur d'accès à Internet [ Reply ]
By: megs megs. on 2024-02-29 00:25
[forum:626586]
salutations, J'utilise apparemment la même config pour éviter que l'acc soit disponible du réseau wifi ouvert géré. Avant l'application des prisons pour tout les services, surtout la bascule du service web, cetait assez facile pour moi et pas tres long de tripatouiller les fichiers de config pour faire écouter l'ACC que de l'interface souhaité.. ( aujourd'hui je ne maîtrise pas du tout le service web actuel et sa config). Sinon une parade encore plus bidouille et qui fonctionne bien ça reste une redirection de routage pour faire écouter les requêtes acc vers l'interface souhaité et de les bloquer depuis le net wifi. il me semble qu'un script présent sur le web automatise ceci. Mais effectivement si à l'install on pouvait avoir le choix de l'interface d'écoute du service web pour l'ACC, ça serais pas mal.

RE: Autoriser l'accès au réseau situé entre ALCASAR et le routeur d'accès à Internet [ Reply ]
By: Richard REY (Rexy) on 2024-02-29 00:15
[forum:626581]
Bonsoir,

Merci pour ce retour qui nécessite une investigation complémentaire en effet. On va tenter d'augmenter le nombre de ports (liste + actif) pour vérifier. Pour l'instant, je n'ai trouvé personne qui évoquerait une limite technique (ni dans netfilter, ni dans iptables)

Concernant le filtrage, je pense qu'on va l'appliquer dans un premier temps à la fois pour l'accès à Internet et pour l'accès à l'InterLAN. Après, on étudiera comment intégrer une option dans l'ACC.

RE: Autoriser l'accès au réseau situé entre ALCASAR et le routeur d'accès à Internet [ Reply ]
By: Nicolas REYNAUD on 2024-02-28 08:09
[forum:626575]
Bonjour,

Merci pour l'info et le correctif. Il fonctionne pour la demande !
Je ne sais pas si l'un ou l'autre usage est plus logique.. Cela dépend des cas je pense. Pour mon cas je voulais effectivement le filtrage mais tout le monde n'aura pas le même usage... Est-il envisageable de laisser le choix ? (via l'ACC ou via une règle a commenter/décommenter dans le fichier ?).


Par contre, en le testant, je me suis rendu compte d'une coquille dans les règles (fichier d'origine et celui en PJ ici) (je ne saurait pas dire où) mais j'avais ces erreurs :

iptables v1.8.7 (legacy): too many ports specified
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.8.7 (legacy): too many ports specified
Try `iptables -h' or 'iptables --help' for more information.

Qui semble venir de la liste des protocoles personnalisés.
Ma liste était effectivement longue.
Mais ces deux règles ne s'appliquant pas, le filtrage de protocole ne fonctionnait pas !! (vers LAN derrière Alcasar mais aussi vers internet)
J'ai réduit le nombre de protocole Autorisé, un des deux messages a disparu (au relancement de alcasar-iptables.sh bien-sûr) et le second a disparu quand j'ai retiré quelques ports de la liste (même désactivé).
Je suis descendu a 16 ports Activé et 22 ports dans la liste pour que les alertes disparaissent.
Mais c'est risqué car si on dépasse le nombre le filtrage ne fonctionne plus du tout et sans alerte visible !


Merci pour le boulot !

RE: Autoriser l'accès au réseau situé entre ALCASAR et le routeur d'accès à Internet [ Reply ]
By: Richard REY (Rexy) on 2024-02-28 00:44
[forum:626571]

alcasar-iptables.sh (7) downloads
Bonsoir,

Votre constat est correct. Nous nous sommes aussi posé la question du bien fondé d'appliquer (ou pas ) le filtrage de protocoles quand on accède à ce LAN (au même titre que quand on accède à Internet).

Si vous pensez que cela est plus logique, nous pouvons en effet modifier le comportement du parefeu. Dites-nous.

si vous en avez la possibilité, vous pouvez tester ce nouveau comportement en remplaçant votre fichier /usr/local/bin/alcasar-iptables.sh par celui en PJ.
- après copie du nouveau fichier, remettez les droits
- chown root:root /usr/local/bin/alcasar-iptables.sh
- chmod 740 /usr/local/bin/alcasar-iptables.sh
- relancez alors le script

Autoriser l'accès au réseau situé entre ALCASAR et le routeur d'accès à Internet [ Reply ]
By: Nicolas REYNAUD on 2024-02-26 07:44
[forum:626568]
Bonjour,

Je remarque que l'option "Autoriser l'accès au réseau situé entre ALCASAR et le routeur d'accès à Internet" n'est pas limitée par le filtrage de port.

Exemple : dans les protocoles personnalisés, je n'autorise pas le port RDP ; mais si j'active "Autoriser l'accès au réseau situé entre ALCASAR et le routeur d'accès à Internet" il est possible d'accéder a un serveur RDP dans ce sous-réseau (mais pas sur internet).

C'est voulu ?

merci !

PS : si vous avez des infos sur la sortie de Alcasar sous MGA9 ? Merci !

FEDER Powered By FusionForge Collaborative Development Environment Charte d'utilisation / Nous contacter / Mentions légales Haut de page