RESEAU : bloquer options firefox

Support Debian
#21

Ok, donc sur br0 uniquement mais il me manque la destination ? FORWARD c’est source et destination , non ?
En fait depuis le début je veux forcer le passage par le proxy uniquement pour certains protocoles et non pour tout :

[code]iptables -t nat -D PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -D PREROUTING -i br0 -p tcp --dport 443 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -A FORWARD -p tcp -i br0 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -i br0 --dport 443 -j ACCEPT[/code]

Actuellement je n’ai que :

Selon moi, ces règles obligent le passage par le proxy pour les ports concernés.
Si c’est ok, je fais les règles pour les autres ports (messagerie et réseaux sociaux).

J’ajoute que l’idée avec les règles suivantes :

#iptables -A FORWARD -i br0 -p tcp --dport 80 -j FWDDROP #iptables -A FORWARD -i br0 -p tcp --dport 443 -j FWDDROP
était de forcer le passage par un proxy NON transparent (Donc forcer de configurer le proxy dans le navigateur, sinon pas d’accès au HTTP et HTTPS). Au demeurant, c’est exactement ce que je souhaite faire. Si ok, je fais de même avec les autres ports (messagerie et reseaux sociaux).

Tu veux parler de çà : iptables -A FWDDROP -j DROP ?

#22

Tu veux dire l’interface de sortie (-o) ? Dans ta configuration ce serait eth0 mais elle est facultative (tout comme l’interface d’entrée), dans ce cas la règle s’applique à tous les paquets entrés par br0 indépendamment de l’interface de sortie.

Ces règles font tous le contraire. Les deux premières suppriment (-D) les redirections des ports 80 et 443 vers le proxy, et les deux dernières autorisent les communications directes destinées à ces deux ports sans passer par le proxy.

[quote=“toto69”]l’idée avec les règles suivantes :

#iptables -A FORWARD -i br0 -p tcp --dport 80 -j FWDDROP #iptables -A FORWARD -i br0 -p tcp --dport 443 -j FWDDROP
était de forcer le passage par un proxy NON transparent (Donc forcer de configurer le proxy dans le navigateur, sinon pas d’accès au HTTP et HTTPS).[/quote]
D’accord, pas d’accès direct avec ces règles contrairement aux précédentes.

[quote=“toto69”]Tu veux parler de çà :

Oui. Il y a d’autres règles dans la chaîne FWDDROP (ex : LOG des paquets pour savoir quelle machine essaie de communiquer en direct) ? Sinon, ce n’est pas très utile.

#23

Ma connaissance de cette chaine n’est pas très poussée et je n’aipas beaucoup d’exemples sur le net :frowning:

#24

Je ne comprends pas ta réponse. Cette chaîne FWDDROP, c’est toi qui l’as créée donc tu dois savoir pourquoi, non ? Ou bien tu as récupéré un script existant et ajouté tes règles ?

#25

J’ai récupéré un bout de script existant et j’ai adapté mes règles.
D’ailleurs je ne comprends pas la moitié des règles de ce script car je ne maitrise pas assez iptables !!
Mais je fonctionne souvent comme çà ! Je n’ai pas le temps de tout lire !!!

#26

Un jeu de règles iptables est un tout cohérent. Si tu ne maîtrises pas le script que tu as récupéré, je ne crois pas que ce soit une bonne idée de l’utiliser. Comment sauras-tu que tes règles sont au bon endroit, et que d’autres règles préexistentes ne les neutralisent pas ou ne font pas le contraire de ce que tu souhaites ?

#27

Je ne dis pas que j’utilise un script récupéré en totalité. Je dis que je pioche des infos dans les scripts que je vois sur le net en fonction de ce que je veux faire chez moi. Ce n’est pas pareil.
Donc il faut avancer maintenant et je continue à chercher des infos sur FORWARD pour savoir comment l’utiliser dans mon cas précis.

iptables -A FORWARD -p tcp -i br0 --dport 80 -j DROP iptables -A FORWARD -p tcp -i br0 --dport 443 -j DROP
Ici, les paquets arrivant par les ports 80 et 443 sont refusés.
Les règles suivantes s’appliquent-elles avant FORWARD ?

iptables -t nat -D PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -D PREROUTING -i br0 -p tcp --dport 443 -j REDIRECT --to-port 3128
Si oui, je comprends que les paquets arrivant par br0 sont redirigés vers proxy.
Ceux qui ne sont pas redirigés sont DROP (règles FORWARD)

#28

Si tu ne maîtrises pas ce que tu pioches, c’est pareil. Ce que je vois est que tu utilises une chaîne FWDDROP sans être capable de dire à quoi elle sert.

La chaîne FORWARD est traversée par les paquets qui traversent la machine, ceux qu’elle reçoit et retransmet car ils ne lui sont pas destinés (fonctionnement d’un routeur). Je ne vois pas ce qu’on peut dire de plus.

La chaîne PREROUTING est traversée avant la chaîne FORWARD. Mais j’attire à nouveau ton attention sur le fait que ces commandes suppriment des règles ([mono]-D[/mono]) au lieu d’en créer ([mono]-A[/mono] ou [mono]-I[/mono]). D’autre part, je croyais établi que ces règles REDIRECT étaient sans objet dans la mesure où le proxy ne peut pas fonctionner en mode transparent pour HTTP à cause de l’authentification obligatoire, et dans tous les cas pour HTTPS.

#29

iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i br0 -p tcp --dport 443 -j REDIRECT --to-port 3128
Je n’avais pas vu :blush:

C’est ce que je croayis aussi mais je ne pense pas avoir révé lorsque j’ai constaté la redirection (REIRECT) et la demande d’authentification avec !!
Je veux bien essayer à nouveau.