Cecile Pressecq wrote:
> Pourtant, voici ce que j'ai tape comme commandes :
> ipfwadm -F -p deny
> ipfwadm -F -a m -P tcp -S zzz.yyy.xxx.0/24 1:65535 -D 0.0.0.0/0 80
> D'ailleurs, ce /24, je vois pas a quoi ca correspond, dans la mesure ou
> le masque reseau est ici 255.255.255.0.
bonjour,
une petite info concernant la notation a.b.c.d/e
Les caracteristiques d une machine avec un stack IP est par ex la suivante
:
adresse : 192.168.0.2 masque de sous reseau: 255.255.255.0
Cela peut se noter pour plus de rapidite 192.168.0.2/24
Le 24 correspond aux nombres de bits ŕ 1 dans le masque. dans mon exemple,
le masque est 255.255.255.0 en decimal pointe ou
11111111111111111111111100000000 en binaire (soit 24 bits a 1 et 8 bits a
0)
autres exemples de masques :
255.255.255.128 => /25
255.255.255.255 => /32
255.255.240.0 => /20
Avant de hurler a la faineantise, il faut savoir que la notation du subnet
en decimal pointe sera probablement avec IPv6 remplacée par cette notation
en raison de la longueur des adresses (16 octets)
Pour ton probleme de masquerade/firewall
Je connais mal la syntaxe de IPFWADM car celui ci est maintenant remplacé
par IPCHAINS mais j'imagine que ta politique de filtres de firewall est
peut etre mal implementee puisque le protocole ICMP (ping) fonctionne et
pas TCP (http).
Apparement tu veux faire acceder un subnet masque que j'appelerais C comme
Clients a des serveurs internet I sur le service HTTP.
Tu as 2 possibiltes de politique :
- soit tu filtres strictement TOUS les paquets IP : tu dois autoriser
tous les paquets venant de C (p > 1024) vers I sur p 80 sur le protocole
TCP et tous les paquets de I p 80 vers C sur p > 1024 protocole TCP
- soit tu filtres pour TCP uniquement les ouvertures de connexion
(paquets SYN) en considerant que, qui dit pas de connexion TCP implique pas
de session ni de donnee. Dans ce cas tu dois interdire tous les paquets SYN
(option 'y' sous IPCHAINS et peut etre sous IPFWADM) et accepter tous les
autres en TCP qui sont les paquets rentrant de la connexion TCP.
Verifie bien que tu ne refuses pas les paquets retour. Il est possible que
le probleme vienne de la puisque tu arrives bien a pinguerµ.
Un autre conseil pour debugger
n'hesite pas a logguer pour voir si tu ne refuses pas des paquets
----------------------------------------------------------
Frederic PLE
email: [EMAIL PROTECTED] Yahoo! Messenger: gvfred
----------------------------------------------------------
