[ANNONCE] Evolution Masq Manager pour SME6

[Muzo]

Bonjour à tous/toutes,

Je suis en train de faire évoluer ma contrib sme6.0-masq-manager-0.X-X.noarch.rpm
Je rappelle que celle-ci est totalement incompatible avec la 5.6, car les templates du masq ont changé entre temps.
Je dirais plutôt que je vais la terminer

Alors ce qu'il va y avoir de neuf:
- Ajout du port opening, car j'ai entendu que la contribs actuelle n'est valable que pour la 5.6.
- Ajout du port deny, idem port opening.
Ce qu'il y'a de vieux:
- Corrections d'un bug sur la suppression d'une adresse de l'antispoofing.

Pour la version sme 5.6 de cette contrib :
- Corrections de bug sur la suppression d'une adresse de l'antispoofing.

Cela se fera pour le moi prochain.

Actuellement j'ai seulement fait le mécanisme Panel/fichiers db. Là je vais décoder le fichier généré de configuration de iptables généré par SME 6.0.

A+

[Gaston]

tout mon soutien moral et Merci d'avance
G.
PS Si tu as besoin de béta testeur ...

[Muzo]

Merci Gaston.

Je ferais surement appel à des contributeurs pour des tests surtout au niveau iptables.

[Taltos]

Bonjour à tous/toutes,

Je suis en train de faire évoluer ma contrib sme6.0-masq-manager-0.X-X.noarch.rpm
Je rappelle que celle-ci est totalement incompatible avec la 5.6, car les templates du masq ont changé entre temps.
Je dirais plutôt que je vais la terminer

Alors ce qu'il va y avoir de neuf:
- Ajout du port opening, car j'ai entendu que la contribs actuelle n'est valable que pour la 5.6.
- Ajout du port deny, idem port opening.
Ce qu'il y'a de vieux:
- Corrections d'un bug sur la suppression d'une adresse de l'antispoofing.

Pour la version sme 5.6 de cette contrib :
- Corrections de bug sur la suppression d'une adresse de l'antispoofing.

Cela se fera pour le moi prochain.

Actuellement j'ai seulement fait le mécanisme Panel/fichiers db. Là je vais décoder le fichier généré de configuration de iptables généré par SME 6.0.

A+

est ce que ta contribs permettra aussi de fermer tous les port dans le sens lan vers internet? et cela pour tout ou partie des machines du lan ?

exemple:

machine de 192.168.100.1 a 100.200 ports ouvert en lan vers net : web, dns et c'est tout
machine 192.168.100.201 a 210 idem plus ftp, udp, ssh,+2 ou 3 trucs
machine 192.168.100.250 tout.......

ca ca serais bien aussi ....

c'est bizarre un FW permissif dans un sens alors qu'il bloque tout dans l'autre...

Qu'en pensez vous ?

[Muzo]

Je vais voir si c'est facilement faisable. Je me le note sur un coin de table.
(Cf discussion sur le forum Linux/BSD)

[sibsib]

Salut,

Non, ce n'est pas (trop) facilement faisable. Mais j'y suis arrivé

Si tu jettes un oeil sur la contrib Fetchmail, tu verras que je bloque l'accès vers l'extérieur pour les port 25, 110 143 et 119.

Un tour dans
/etc/e-smith/templates/etc/rc.d/init.d/masq/00Definitions2
et
/etc/e-smith/templates/etc/rc.d/init.d/masq/35transproxy-fetchmail

peut éventuellemnt t'intérresser.

A+,
Pascal

[Muzo]

Salut,
Si tu jettes un oeil sur la contrib Fetchmail, tu verras que je bloque l'accès vers l'extérieur pour les port 25, 110 143 et 119.

Gné? tu bloques pour fetchmail les ports pop et smtp
Drôle d'idée.

Je penses avoir ma petite idée sur ce sujet.

[sibsib]

Bon, je précise

En fait, l'admin peut décider de bloquer les ports en question, pour obliger les gens à passer par le serveur SME.

Donc, plus précisément, je bloque ce port depuis le LAN, vers tout le monde sauf le serveur SME. Ceci à la discrétion de l'Admin.

A+,
Pascal

[Muzo]

Ah bah ca va faire doublon avec ma contrib

[Taltos]

Ah bah ca va faire doublon avec ma contrib

ben non car toi tu t'occupe des autres ports de tous les autres port, et grace a une supperbe interface genre portforwarding tu permet de bloquer tout ou partie les ports en sortie sauf pour une plage d'ip.....

pas de doublon ! et ca se serais VRAIMENT le pied !

Courage on t'aime !

[Muzo]

Courage on t'aime !

*Muzo a les chevilles qui gonflent là *

Pour ceux que la discussion script iptable intéresserait, ca se passe là

[Taltos]

Courage on t'aime !

*Muzo a les chevilles qui gonflent là *

Pour ceux que la discussion script iptable intéresserait, ca se passe là

Faut pas c'est pas de la flagornerie !

en ces temps troublés que traverse la communauté SME (voir les pb et les questions de contribs) il est bon parfois de reconnaitre certaines vérité essentiels:

moi j'utilise sme au boulot, je suis admin sys et res de profession plutot tres orienté windows, jem'occuppe de plusieurs projets transversaux dans ma boite et j'ai clairement pas le temps de me "mettre" a linux comme je l'ai fait avec les produits microsoft..
donc linux je l'utilise comme un oportuniste (le terme ne me choque pas) je choisi une distrib qui correspond a 60 ou 80% de mes besoin, qi possede une communauté active et zou, ensuite je me tiens au courant, j'essaie de participer et je fait aussi (d'une certaine maniere) du lobbying pour que certaines fonctions non implementé donc je pense quelle seront utilise a la communauté soit implementer par des benevole qui l'envie de le faire.
(je m'abstient sur ce qui n'interesse que moi)

Donc de temps en temps il est bon derappeler que si SME fonctionne aussi bien ce n'est ABSOLUMENT pas parceque la distrib est installée chez des milliers (millions?) d'utilisateur, mais bien parceque des gars comme toi et quelques autres (50 ? moins ?) sont hyper actif..

Alors oui toi et les autres et ben , nous et les autres ont vous aiment...

C'est tout.

A+

[Muzo]

Salut,

Je viens de faire la version Bêta qui inclus le port opening et le port deny.
Il corrige aussi un bug sur la suppression d'une valeur de l'antispoofing.

Qui veut bien bêta tester?
Il y'a une version 6.0 et une 5.6 (la 5.6 je ne m'inquiète pas je l'ai testé)

Fonctionnement :
Port Opening:
- Vous indiquez le port et le protocole à ouvrir.

Port Deny (but : empêcher une personne de votre lan de sortir par un port donné):
- Vous indiquez le port de départ au minimum si vous ne voulez interdire qu'un seul protocol.
- Vous indiquez le port de dpéart et le port d'arrivée si vous voulez interdire une plage de ports.
- Vous indiquer l'adresse ip (192.168.0.25) ou l'adresse ip et le masque (192.168.10.0/24) pour interdire une sortie à une adresse ou une plage d'adresse donnée. Si vous ne mettez rien, l'interdiction s'appliquera à tout votre LAN.

Précaution :
- Enlevez avant les autres contribution d'ouverture de port, et surtout supprimer les ports ouvert -> sinon conflit, et je n'utilise pas la même db pour l'ouverture.

Tests :
- Qu'un port est bien ouvert
- Qu'un ou plusieurs ports soit bien interdit pour votre lan ou ip.

Questions :
- Dois je ouvrir le deny à tous les ports? (actuellement le deny peut se fait entre les ports 1025 et 65535)
- D'autres options?

Que ceux qui veulent tester me le dise par MP je leur enverrais l'url par MP.

[shunshi]

alle pour la france
o.habert@wanadoo.fr

[Muzo]

J'ai dit MP pas mail
Enlèves ton mail de ton message si tu ne veux pas te faire spammer pour du viagra.