| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
versmac
Connaisseur
Inscrit le: 24 Sep 2002
Messages: 217
Localisation: nancy (54)
|
 Posté le: 5-Mai-04 13:10:29 Sujet du message: Obtenir les logs de ipfw |
 |
|
Bien. Je souhaite comme c'est annoncé pouvoir obtenir les logs de ipfw. Par défaut les règles obtenues en utilisant le pare feu osx dans le panneau de pref ne rajoute pas 'log' dans la règle écrite.
Donc, après maintes recherches j'en suis arrivé à ça :
1- Je recopie les règles proprement. (sudo ipfw list)
2- je désactive le firewall via Partage.
3- je lance pico pour créer un fichier nommé par exemple : ipfwperso.sh
4- j'insère les commandes :
| Code: |
sysctl -w net.inet.ip.fw.verbose=1
sudo ipfw flush
sudo ipfw add 00010 divert 8668 ip from any to any via en1
sudo ipfw add 02000 allow ip from any to any via lo*
sudo ipfw add 02010 deny log ip from 127.0.0.0/8 to any in
sudo ipfw add 02020 deny log ip from any to 127.0.0.0/8 in
sudo ipfw add 02030 deny log ip from 224.0.0.0/3 to any in
sudo ipfw add 02040 deny log tcp from any to 224.0.0.0/3 in
sudo ipfw add 02050 allow tcp from any to any out
sudo ipfw add 02060 allow tcp from any to any established
sudo ipfw add 02070 allow tcp from any to any 548 in
sudo ipfw add 02080 allow tcp from any to any 427 in
sudo ipfw add 02090 allow tcp from any to any 5297 in
sudo ipfw add 02100 allow tcp from any to any 5298 in
sudo ipfw add 02110 allow tcp from any to any 110 in
sudo ipfw add 02120 allow tcp from any to any 25 in
sudo ipfw add 02130 allow tcp from any to any 80 in
sudo ipfw add 02140 allow tcp from any to any 8080 in
sudo ipfw add 02150 allow tcp from any to any 3689 in
sudo ipfw add 02160 allow tcp from any to any 631 in
sudo ipfw add 02170 allow tcp from any to any 515 in
sudo ipfw add 12190 deny log tcp from any to any
sudo ipfw add 65535 allow ip from any to any |
- je rends le shell script executable en faisant : chmod 755 ipfwperso.sh
- j'ajoute ipfwperso.sh dans les éléments de démarrage.
Si je ne suis pas satisfait, je n'ai qu'à éditer ipfwperso ou à le retirer des éléments de démarrage.
Question : Dois-je écrire systématiquement "sudo ipfw add " devant chaque regle ? Ou le fait que le script s'execute au démarrage fait qu'il est executé par root ou system ?
Question 2 : Ai-je oublié quelquechose ?
merci aux spécialistes  |
|
| Revenir en haut |
|
 |
CoreDumped
Membre hyperactif
Inscrit le: 20 Fév 2002
Messages: 583
Localisation: Rumilly / Lugdunum
|
| Posté le: 5-Mai-04 14:19:25 Sujet du message: |
|
|
Bonjour,
j'ai un doute,
pourquoi le sudo ?
au moment du boot
n'est-on pas root ?
quand à | Code: |
sysctl -w net.inet.ip.fw.verbose=1
|
merci pour l'info, je ne connaissais pas 
CoreDumped
_________________
Quand tout le reste a échoué, lire le manuel |
|
| Revenir en haut |
|
|
Fyve
Administrateur
Inscrit le: 07 Mar 2001
Messages: 9963
Localisation: Taulier de la Bastille
|
| Posté le: 5-Mai-04 14:22:37 Sujet du message: |
|
|
activation du mode "causerie"... 
_________________
"Quand on m'en fait trop, je correctionne plus, je dynamite, je disperse, je ventile..." (Audiard)
Acheter sur l'AppleStore |
|
| Revenir en haut |
|
|
versmac
Connaisseur
Inscrit le: 24 Sep 2002
Messages: 217
Localisation: nancy (54)
|
| Posté le: 5-Mai-04 14:39:09 Sujet du message: |
|
|
ben, ça me dit pas si la méthode est bonne…
et si le sudo est nécessaire ou non.
Tiens, je rajoute une question : pour peu que les règles soient actives, le seront-elles pour 1 compte ou tous les comptes…
On m'a conseillé de rajouter l'appel du shell script dans /etc/rc plutôt que dans les éléments de démarrage…
Je sais, je suis pénible, mais tant que je n'aurai pas l'info… |
|
| Revenir en haut |
|
|
CoreDumped
Membre hyperactif
Inscrit le: 20 Fév 2002
Messages: 583
Localisation: Rumilly / Lugdunum
|
| Posté le: 5-Mai-04 15:57:55 Sujet du message: |
|
|
Bonjour,
si ton shell est dans les startup items (je ne sais plus le nom exact) de system, c'est root qui l'execute.
si c'est root qui execute, le sudo devant ipfw ne sert à rien.
j'avais mis en place pop-monitor en X.1.5 qui écoutait sur 110 (donc lancé par root).
J'ai mis panther depuis, je n'ai plus cette conf.
les règle firewall sont active pour tous les packets TCP, au niveau des paquets TCP, il n'y a pas de notion d'utilisateur, les régles sont donc valables pour tous les utilisateurs.
CoreDumped
_________________
Quand tout le reste a échoué, lire le manuel |
|
| Revenir en haut |
|
|
versmac
Connaisseur
Inscrit le: 24 Sep 2002
Messages: 217
Localisation: nancy (54)
|
| Posté le: 5-Mai-04 16:13:45 Sujet du message: |
|
|
ah…ben voilà une répose que j'aime !
Merci.
Donc, bilan des opérations :
- ma procédure semble OK.
- je peux éliminer sudo en début de ligne de commande.
- les règles s'appliqueront quel que soit le compte.
Il ne me reste plus qu'à essayer… |
|
| Revenir en haut |
|
|
Claude Le Mestric
Membre hyperactif
Inscrit le: 28 Aoû 2002
Messages: 1846
Localisation: Centre Bretagne (Pontivy)
|
| Posté le: 5-Mai-04 18:56:25 Sujet du message: |
|
|
C'est une méthode comme une autre, remarque. Mais il est possible de passer un fichier en paramètre à ipfw. Après une ligne dans le bon fichier et c'est fini !
Bien sur j'ai l'air un peu con de dire ça alors que j'ai tout viré il y 3 semaines (depuis que mon STH est en STPFW) et je ne me souviens plus où était les instructions (pour m'aider au départ, j'avais utilisé BrickHouse, un shareware qui permet de paramètrer ipfw avec une interface graphique (et qui est autrement plus efficace que le truc intégré à OSX), apparu avec X.1 je crois).
Voilà, finalement en cherchant :
le script
| Code: | #!/bin/sh
/sbin/ipfw -q /etc/firewall.conf
|
et le fichier de commande /etc/firewall.conf contient tes lignes, genre :
| Code: | add 1 deny udp from any to any 2222
add 2 deny tcp from any to any 3464
|
(je te laisse deviner à quoi servent ces lignes )
_________________
CLM
Macforever : j'ai bien connu : AppleII for Ever |
|
| Revenir en haut |
|
|
|
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
Profil
Se connecter pour vérifier ses messages privés
Connexion
