oui -----Message d'origine----- De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]]De la part de Vincent BADIER Envoyé : jeudi 15 novembre 2001 02:49 À : Confirme Objet : Re: [Confirme] Serveur Apache de ma machine inaccessible de l'exterieur :(
>> Petite question avant de commencer...... Ton Serveur apache >> est sur la même >> machine que ton firewall? c'est important pour la config de >> ce dernier. Et >> apparemmetn tu cherche a faire de la translation >> d'adresse.... Confirme nous >> que tu n'utilise qu'une ip et ou se situe ton serveur ds le >> réseau... (privé >> ou public). >> >> Sino c'est ormal que tu ne puisse joindre ton Apache s'il es >> masqué derrière >> un firewall.. (en ip privé donc).. >> Bon on va commencer par le début mais je ne serai sans doute >> pas exhaustif >> cette fois ci.. Bcp de pb sur tes chaines a mon avis!!!! >> Primo. Pourkoi mettre une police ACCEPT sur la chaine input? >> tu veux leur >> donner les clefsde ta maison aussi? un firewall doit être >> restrictif!!!!! tu >> autirise le bootp j'en conclu que tu fait du remot boote >> dessus.... Bon en >> clair, tu met ta police en DROP et tu autorise ce que tu >> veux, et uniquement >> ce que tu veux laisser passer!!! (les code icmp utiles, les >> ports TCP que tu >> veux laisser rentrer, et udp, notemment DNS). Ensuite pareil >> pour Output, >> même si c'est moins gênant, quitte a mettre un par feu autant >> qu'il soit >> correct! >> Deuxièement le masquage d'address... tu masque tes adresse >> sortantes mais. >> pas celle entrante (toujours dans le cas du serveur voulant >> être join et >> étant en ip privé!). Donc dans ce cas la ca ne peut pas >> marcher!! il te faut >> aussi une redirection de port dans ce cas la (-j DNAT >> ton.ip.privé.srv). >> >> Mais au risque de me répéter mettre les polices en ACCEPT est inutile, >> autant ne rien faire. Peutêtre a des fin de test... et >> encore je préfère >> mettre une dernière ligne dans chaque chaine qui log les >> pacquet qui n'ont >> pas satisfait les autres regles... comme ca tu vois ou le >> packet passe, et >> pk il n'a pas satisfait les regles précédentes. >> >> Bon en attendant pour pouvoir t'aider d'avantage donne nous >> qq info plus >> précises stp.. >> >> Amicalement >> Vincent > >Merci de prendre le temps de me repondre. >Les regles d'IPtables ont ete faites par la Mandrake, j'ai rien touche je >sais que la c'est tres permissif mais a des fin de tests ca ne me pose pas >plus de soucis... > >Comme tu le voie ma maison est ouverte et pourtant j'arrive pas a voir >derriere la porte ... >M'enfin le serveur est en effet sur la machine du firewall et le nat sert >juste pour que les 2 portables sous Windows connectes a cette machine puisse >acceder au net. (donc 3 machines en tout) > >Mais j'ai peut-etre trouve la solution. Je suis au USA et mon provider >(verizon.com) semble bloquer le port 80 j'ai change de port et maintenant >ca marche... > >Maintenant j'ai plus qu'a m'engueuler avec mon fournisseur car il ne m'a pas >prevenu... (mais bon au lieu de payer $50 par mois il me donne $50 par mois >alors je le trouve plutot cool .... ou plutot stupide...) > > >Thomas. Ok je comprend mieux alors ton pb. Car sinon effectivement étant donné que on serveur es situé sur le même poste que ton firewall, pas besoins de redirection de port. Il es vrai qu'il es de grande mode au US que les ISP bloque certain service (port) en direction de leur client. Je ne comprend pas bien cette mode car la questionde la sécurité ne me convainc pas vraiment (sauf peut -être a empêcher la proliférationde vers sur des machines personnelle dont les propriétaire n'ont pas la sécurité et l'intégrité de leur machine en priorité, ni les compétences d'ailleurs). C'est aussi peut être pour empecher tout a chacunde faire de l'hébergement = raison commerciale. Bref personneleme,t je ne suis pas pressé de voir cette mode débouler chez nous!!! Néanmoins si france Télécom me filais 50$ de ristourne par mois pour ma liason... je dirai pas non!! lol tu es ou déja? j'arrive de suite héberger la bas!! lol Bref passons tout cela, mais je t conseil vivement de mettre les mains dans tes chaines et tes regles car la, maintenant que ca marche a peu pres, tu devrai faire attention. Je sais je peut paraitre allarmiste mais quand on vois certain paquets (enfin datagrame devrais-je dire, pour etre puriste) frapper le firewall..... on se dit k'il y a bien de la malveillance sur terre.... Cordialement Vincent _________________________________________________________ Do You Yahoo!? Get your free @yahoo.com address at http://mail.yahoo.com
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
