# [Réseau]Bloquer l'accès à une adresse en particulier

## LaMs

Bonjour les Gentooistes ça fait un bail que je suis passé ici  :Razz: 

Bon j'ai un petit problème qui doit surement avoir une solution. 

Voilà, J'ai quatre  machines (Linux et Windows)  branchées sur un réseau qui possède un VPN avec OpenVPN. Seulement je voudrais que les machine accédant le réseau par le VPN ne puisse pas se connecter à une machine spécifique est-ce qu'il y a un moyen de le faire ? J'utilise Endian Firewall comme routeur+VPN+Firewall et la machine qui ne doit pas être accéder par les personnes connecté par VPN possède une adresse fixe 192.168.0.11 si une personne y accède des accidents pourrait arriver et nous voulons bien sure les éviter.

Alors des idées ? hosts.deny .... est-ce que ce serait une bonne idée ? Si oui ... comment sa marche ?

----------

## dapsaille

Peut être pourrait tu n'autoriser que les connexions ip des machines locales ? et refuser toutes les autres 

(comment faire je ne sais pas mais prendre le problème dans l'autre sens est peut etre valable non ? :p )

----------

## ptah

Salut,

/etc/hosts.allow et /etc/hosts.deny te permettent de n'autoriser que certaine adresses

Le premier champs correspond au service concerné et le second sont le(s) hôtes concernés.

Exemple :

```

# cat /etc/hosts.deny 

ALL: ALL

# cat /etc/hosts.allow 

ALL: 127.0.0.1

```

Avec cette conf, seul 127.0.0.1 pourra utiliser les services fournis par la machine.

Il y a également la solution iptables beaucoup plus efficace  :Smile: 

Tout dépend du niveau de filtrage que tu souhaite...

----------

## _droop_

Dernière solution : la plupart des services réseaux peuvent se configurer pour n'écouter que sur une seul interface. (par contre, je ne suis pas sûr de comment on fait avec openvpn).

iptables reste une bonne solution. (Un poil compliqué à mettre en place quand on fait du bridging avec openvpn)

----------

## -KuRGaN-

Je pense que la meilleure solution et quand même de faire du filtrage avec iptables sur la machine qui ne doit pas être accéder par n'importe qui.

----------

## razer

 *-KuRGaN- wrote:*   

> Je pense que la meilleure solution et quand même de faire du filtrage avec iptables sur la machine qui ne doit pas être accéder par n'importe qui.

 

+1...

Surtout qu'à priori il y a routage, si la machine à bloquer n'est pas le routeur le mieux serait d'appliquer les règles iptables directement sur ce dernier :

Cà évite de se farcir la fermeture de TOUS les services sur la machine à bloquer

Cà centralise les règles de filtrage, car j'imagine que le routeur est configuré en firewall

----------

## LaMs

Ok donc le mieux serait de jouer avec IPTables sur la machine qui ne doit pas être accédé par VPN. 

En gros mon VPN fourni les adresse 192.168.0.200 à 192.168.0.250 ... alors ne connaissant pas trop iptables, est-ce qu'il y a un moyen de définir une règle qui bloc ces adresse ou je doit toutes les faire une à la suite des autre ?

Hummm quelque chose du genre:

```
 

#!/bin/bash 

COUNTER=200

while [  $COUNTER -lt 250 ]; do

     iptables -I INPUT -s 192.168.0.$COUNTER -j DROP

     echo L'adresse 192.168.0.$COUNTER est maintenant bloqué

     let COUNTER=COUNTER+1 

done

```

Est-ce que ça ferait l'affaire selon vous ?

Lams

----------

## -KuRGaN-

Ben en plus simple tu peux faire:

```

#Flush de toutes les règles

iptables -F 

iptables -X

iptables -Z

# Politique par defaut

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

iptables -A INPUT DROP -i $interface_réseau -m iprange --src-range 192.168.0.1-192.168.0.199 -j ACCEPT

```

Et ensuite, histoire que tout ceci se lance au démarrage tu fais:

```

/etc/init.d/iptables save

rc-update add iptables default

```

Comme tu voulais faire n'est pas faux, mais en général, et c'est mieux, il faut tout bloquer par defaut et n'autoriser ce qu'on veut, et non l'inverse  :Wink: 

----------

## LaMs

Bonjour à tous et merci à ceux qui m'ont aidé, voiçi ce que j'avais choisi comme solution.

 *Quote:*   

> 
> 
> #!/bin/bash
> 
> #Flush de toutes les règles
> ...

 

-Kurgan- merci pour l'aide, je sais que je n'ai pas pris ta solution même si, je te l'accorde, elle est plus sécuritaire. Cependant la mienne était préférable dans notre cas.

Par contre, des personnes plus influentes que moi ont décidé que nous ne devions pas touché à la machine..... donc on oubli l'isolation par le script plus haut. Il faut donc que je rajoute une règle sur mon Router/Firewall/OpenVPN.

Le plus facile, je crois, serait de trouver une manière de bloqué les addresses provenant du VPN ... peut-être y a t-il une option dans la config de openvpn qui pourrait "caché" ou "bloqué" une adresse IP... soit 192.168.0.11

Donc je suis encore preneur d'idée .....

LaMs

----------

## -KuRGaN-

Et bien à partir d'Endian tu bloque tous les accès à ta machine qui sont émis depuis ton interface "internet". Par contre, si Endian fonctionne comme Monowall, tu vas devoir chercher si une option permet de ne pas appliquer les règles de filtrage aux VPN (ce qui est souvent le cas pour une config plus aisée des VPN) et donc la décocher. Mais attention par suite, je ne sais pas ce qui se passe sur ton réseau et les services que tu fournis pas VPN, mais tu vas surement être obliger de créer de nouvelle règle de firewall sur ton Endian.

M'enfin, c'est dommage, car le coup du iptables sur la machine concernée est quand même le plus simle et le plus efficace je pense.

----------

