Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[TUTO] Filtrer adresse(s) IP sous XP avec IPSEC

zebuntu

Par zebuntu
dans Internet & Réseaux

 Partager

Messages recommandés

zebuntu Power Member

zebuntu

Posté(e)
Posté(e) (modifié)

Bonjour,

 

J'ai eu ce problème à régler (filtrer/bannir/interdire des connexions entrantes) et, ayant cherché sur le net (plusieurs heures à mouliner quand même...), j'ai enfin trouvé le moyen d'y remédier...

Du coup un petit post ici pour vous en faire profiter. :P

 

Notes :

- J'ai comme pare-feu ZoneAlarm Free qui ne permet pas de le faire - contrairement à la version Pro, à ce que j'ai pu lire sur le net.

- Cette solution peut se faire sur XP Pro, je n'ai pas pu vérifier si ça peut se faire sur XP Edition Familiale. Pour Vista, je ne sais pas du tout, ne connaissant pas encore cette nouvelle version de Windows.

- Si votre pare-feu - une version free, ou le pare-feu d'XP SP2 - n'a pas ça dans ses options, ceci devrait pouvoir vous aider.

 

Notes (bis) : <de PANG>

Ces services doivent être démarrés :

- Services IPSEC

- Appel de procédure distante (RPC)

 

Pour l'illustration, je vais choisir le groupe d'adresses 192.168.15.* en exemple.

Adaptez avec votre(vos) adresse(s) à filtrer.

 

Allez dans le Panneau de Configuration, lancez Outils d'Administration, puis Stratégie de Sécurité Locale.

Cliquez, dans le panneau de gauche, la (dernière) ligne Stratégies de sécurité IP sur Ordinateur local, pour voir son contenu dans le panneau de droite.

Ensuite, bouton droit->Créer une stratégie de sécurité IP... :

01.jpg

 

Ça lance cet assistant :

02.jpg

Cliquez sur Suivant...

 

Vous arrivez ici :

03.jpg

 

Mettez un nom, et un descriptif de votre filtre (pas obligatoire, mais c'est plus clair pour relire plus tard) :

04.jpg

Puis cliquez sur Suivant...

 

Par défaut l'option Activer la règle de réponse par défaut est cochée :

05.jpg

Pour notre cas - bannir IP(s) - décochez cette option puis cliquez sur Suivant...

 

Enfin, pour finir cette 1ère partie, laissez coché Modifier les propriétés :

06.jpg

puis cliquez sur Terminer.

 

Maintenant, notre 1ère fenêtre ressemble à ceci :

07.jpg

 

Et nous avons cette nouvelle fenêtre qui vient de s'ouvrir après avoir cliqué sur Terminer dans l'étape précédente :

08.jpg

Laissez décoché l'élément de la liste, puis cliquez sur Ajouter...

 

Un nouvel assistant s'ouvre :

09.jpg

Cliquez sur Suivant...

 

Cette page de l'assistant ne nous intéresse pas :

10.jpg

Cliquez sur Suivant...

 

Sélectionnez le type de réseau à filtrer :

- Toutes les connexions réseau (Intranet+Internet)

- Réseau local (Intranet : vos bécanes raccordées ensemble en réseau interne)

- Accès distant (Internet : connexions de l'extérieur)

Dans le doute, ou si vous ne voulez pas de spécialisation, choisissez Toutes les connexions réseau (vous couvrirez tout avec votre filtre) :

11.jpg

Puis, cliquez sur Suivant...

 

Laissez tel quel :

12.jpg

Puis, cliquez sur Suivant...

 

A cet avertissement :

13.jpg

Cliquez sur Oui

 

Ici :

14.jpg

Cliquez sur Ajouter...

 

Ici :

15.jpg

Cliquez sur Ajouter...

 

(Encore) un assistant... :

16.jpg

Cliquez sur Suivant...

 

Source du trafic à filtrer (dans notre cas : un groupe d'adresses 192.168.15.*)

17.jpg

Choisissez Sous réseau IP spécifique...

 

Puis entrez en 1ère ligne, l'adresse IP (notre cas : 192, 168, 15, 0)

Et en 2ème ligne, le masque : mettez 255 pour les non-*, et 0 pour les * (notre cas : 255, 255, 255, 0) :

18.jpg

Cliquez sur Suivant...

 

Destination du trafic :

19.jpg

Choisissez Mon adresse IP (on veut interdire des connexions entrantes)

Puis, cliquez sur Suivant...

 

Type de protocole :

Laissez N'importe lequel, le filtre couvrira tous les protocoles (TCP, UDP, ...)

20.jpg

Cliquez sur Suivant...

 

Laissez décoché l'option Modifier les propriétés :

21.jpg

Puis sur Terminer...

 

On se retrouve ici :

22.jpg

 

Mettez un nom, par ex. 192.168.15.*

23.jpg

Cliquez sur Ok...

 

On se retrouve ici :

24.jpg

Selectionnez le filtre qu'on vient de céer (nous : "192.168.15.*")

Puis sur Suivant...

 

On va maintenant créer l'action "Refuser" (si elle n'existe pas déjà) :

25.jpg

Cliquez sur Ajouter...

 

Boum ! Assistant... :P

Passez la première page en cliquant sur Suivant...

 

Entrez un nom et une description pour l'action :

26.jpg

Puis sur Suivant...

 

Choisissez "Refuser"

27.jpg

puis cliquez sur Suivant...

Enfin, sur Terminer

 

De retour ici (avec notre action "Refuser" créée) :

28.jpg

Choisissez-là, puis cliquez sur Suivant

Enfin, décochez "Modifier les paramètres", puis cliquez sur Terminer

 

On se retrouve ici :

29.jpg

Cliquez sur Fermer

 

Pour terminer ("Enfin", me direz-vous...), on va activer notre filtre :

30.png

Ensuite vous pouvez refermer cette fenêtre.

 

Attendez un peu (le PC mouline pour installer ce filtre)...

Et Voilà ! (dans notre cas : toute connexion entrante commençant par 192.168.15 sera refusée)

 

C'est-y-pas-beau-ça ? :P

 

Bon, vu le temps que je viens de passer à faire ce post (plusieurs heures, mine de rien), j'espère ne pas avoir fait d'oubli ni d'erreur dans ma description.

 

EDIT (07/04/2008) : Après une re-lecture de mon post, j'ai remarqué que la cinquième image avait disparu .oO(sympa !) Du coup, j'ai transferé les trente images d'imageshack vers pix.nofrag .oO(Oh, quel boulot encore !)

EDIT (13/02/2009) : Comme pix.nofrag ferme définitivement bientôt, j'ai transferé -- encore ! -- les trente images de pix.nofrag vers un autre serveur (dans la dedibox de mon pote qui héberge mon petit site -- donc là, les images ne disparaitront pas -- j'en ai même une sauvegarde en local, au cas où).

Modifié par zebuntu

KewlCat Devil Member !

KewlCat

Posté(e)
Posté(e)

Wow ! Merci d'avoir passé tout ce temps pour ces explications ! :-)

Trente captures d'écran ! Tu parles d'un clickodrome...

Tu as du sacrément galérer...

 

[troll]

(c'est là qu'on te mine le moral en te donnant l'unique règle à ajouter à netfilter pour faire la même chose sous Linux ?)

[/troll]

zebuntu Power Member

zebuntu

Posté(e)
  • Auteur
Posté(e)

Salut, p'tit chat !

 

Wow ! Merci d'avoir passé tout ce temps pour ces explications ! :P

Trente captures d'écran ! Tu parles d'un clickodrome...

Tu as du sacrément galérer...

Vu comment j'ai galéré pour résoudre mon problème :

- J'ai d'abord essayé de trouver ça tout seul dans les service d'administration (j'étais pas trop loin de la soluce en plus),

- puis j'ai cherché de l'aide sur le net, et n'ai trouvé qu'une aide partielle qui a confirmé que j'étais sur la bonne voie et qui a complété ce qui me manquait en informations,

- enfin j'ai réussi à créer mon filtre (tant désiré, et qui marche bien)

Alors, comme j'ai vu dans mes recherches pas mal de questions sur ce sujet, mais tous sans vraiment de réponse idéale, je me suis dit que de faire un post quelque part serait pas superflu.

Mais, au fur et à mesure que je tapais mon post, j'voyais les heures passer ("Hou-là-là, j'me suis encore embarqué dans un truc assez gros encore")

Et, v'là le résultat : une trentaine de capture (+ quelques flèches rajoutées ici et là)

Effectivement, ça a été un p'tit peu galère à rentrer, mais bon, je sais qu'il va être utile à pas mal de monde, ça en valait la peine.

 

[troll]

(c'est là qu'on te mine le moral en te donnant l'unique règle à ajouter à netfilter pour faire la même chose sous Linux ?)

[/troll]

Mmmmh... mwouais, ça s'rait rigolo de voir la soluce, histoire de rire à comparer Windows/Linux :P

En plus ça pourrait m'être utile pour mon Ubuntu, quoique un coup de recherche dans le forum d'Ubuntu... j'suis sûr qu'ça y est ça. :P

Sacles Godlike Member

Sacles

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Si je peux me permettre une petite intrusion dans ce tuto.

 

Pour information, pour ceux qui utiliseraient Look 'n' Stop.

 

Pour bloquer une plage d'adresses, il suffit d'importer une règle et de noter la plage d'adresses:

 

blocageipjw7.th.png

 

-----------------

 

Voir aussi: Bloquer Lop.com et ses variantes, Règle à créer dans Look'n'Stop

 

-----------------

 

Jeux de règles pour Look 'n' Stop:

 

http://looknstop.soft4ever.com/Rules/Fr/

http://www.looknstop.com/Fr/rules/rules.htm

 

Salut.

Modifié par Sacles
Pang Godlike Member

Pang

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Merci pour ce tuto détaillé.

J'ignorais totalement que l'on pouvait utiliser Ipsec sur un workgroup !!!!

 

Et Voilà ! (dans notre cas : toute connexion entrante commençant par 192.168.15 sera refusée)

As tu réellement essayé de connecter une machine portant cette adresse sur le réseau et fais des essais réel ?

N'y a t'il pas de ralentissement dans le trafic local ?

Modifié par Pang
GOTCHA Extrem Member

GOTCHA

Posté(e)
Posté(e)

super le tuto ! j'aime utiliser les capacités de windows pour éviter d'installer plusieurs logiciels pour diverses choses :P

 

je vais tester ca et vous dire si ca filtre bien

zebuntu Power Member

zebuntu

Posté(e)
  • Auteur
Posté(e)

Salut Pang,

 

As tu réellement essayé de connecter une machine portant cette adresse sur le réseau et fais des essais réel ?

N'y a t'il pas de ralentissement dans le trafic local ?

 

Pour mon tuto, j'ai pris une adresse (locale) en exemple, mais de mon côté j'ai vraiment installé un tel filtre pour un groupe d'adresses qui me cassait les pieds : un p'tit malin, ou un serveur (j'sais pas trop là), qui utilise toutes les adresses du type AA.BB.*.*:* (ça fait un paquet de combinaisons : 256x256x65536 en gros) qui me saturait ma bande passante (pour rien en faire en plus). Et je confirme, cette méthode fonctionne : j'ai vu disparaitre petit à petit toutes ces adresses AA.BB.... se déconnecter et n'ont plus réapparu.

Par contre, j'ai pas eu le temps de vérifier si mon trafic local en souffre. Faudrait que je vois si mon 2me PC (sous XP & Ubuntu) est affecté par ce filtre, mais, à priori j'vois de raison.

 

Je serai quand même preneur d'avis d'autres personnes qui auraient testé cette méthode.

 

++

Sacles Godlike Member

Sacles

Posté(e)
Posté(e)

Re,

 

j'aime utiliser les capacités de windows pour éviter d'installer plusieurs logiciels pour diverses choses

Cela ne dispense évidemment pas d'avoir un pare-feu bien configuré.

 

Salut.

Pang Godlike Member

Pang

Posté(e)
Posté(e) (modifié)

Je viens de reproduire ce filtrage sur un workroup avec deux sous réseaux.

Ça fonctionne très bien. :P

 

Rajoutes sur le tuto que les services doivent être démarrés :

- Services IPSEC (ça semble bien logique mais mieux vaut le préciser)

- Appel de procédure distante (RPC)

 

Je n'ai pas constaté de ralentissement particulier sur le réseau.

 

Tuto a épingler sur zebulon !!!

 

edit :

Cela ne dispense évidemment pas d'avoir un pare-feu bien configuré.

J'ai essayé nmap sur IPSEC.

Aucun port détecté (et pourtant ils le sont), et le fingerprints : i686-pc-windows-windows....

un peu maigre...

Modifié par Pang

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...