Le Mercredi 13 Novembre 2002 07:30, Troumad a écrit : > B. Telgeuse a écrit: > >Merci pour ces précisions. > > > >Je souhaiterais néammoins éclaircir certains points: > > > >La définition des zones sur ma machine (eth0 connecté au modem ADSL, eth1 > >connecté au réseau local) donne le résultat suivant: > > > >Determining Hosts in Zones... > > Net Zone: ppp0:0.0.0.0/0 > > Masquerade Zone: eth0:0.0.0.0/0 > > Local Zone: eth1:0.0.0.0/0 > > > >Ce que j'en comprend avec mon toup'tit cerveau: > >Lors d'un transfert de mon PC Win$ à mon PC Linux, tout passe via eth1 => > > on reste dans la zone "Local Zone" où je souhaite tout autoriser en terme > > de connections. > >Lors d'une connection d'un des PC vers Internet, les paquets IP passent > > par eth1 (venant du PC Win$) ou sont générés localement (PC Linux) puis > > sont dirigés vers le Firewall (fw qui fait partie de la zone locale) où > > ils subissent un masquage d'adresse (substitution de l'adresse de > > l'interface eth0 à leur adresse SOURCE afin qu'ils paraissent tous venir > > de la machine connectée à Internet) et sont expédiés sur eth0 (Masquerade > > Zone) puis routés vers ppp0 (modem ADSL sur eth0). Correct ? > > > >Si celà est vrai, la zone locale comprend la machine locale, les machines > >connectées à eth1 et le Firewall lui-même. Elle est caractérisée par des > >adresses IP des paquets en 192.168.0.x chez moi. La "Masquerade Zone" > >contient l'interface entre eth0 et ppp0 dont les paquets IP portent > > l'adresse 10.0.0.10 (adresse attribuée à eth0) et la "Net Zone" est tout > > l'extérieur caractérisée par toutes les autres adresses IP. Toujours OK? > > > >A partir de là, les directives: > >>ACCEPT masq fw udp 1:65535 - > >>ACCEPT masq fw tcp 1:65535 - > > > >me semblent furieusement identiques à une règle "masq fw ACCEPT" dans le > > Oui > > >fichier policy. D'autre part elles m'intriguent avec leur commentaire "du > >réseau interne vers notre PC (comme les partages SAMBA)" en effet, je ne > > vois > > Je n'ai pas essayer de réfléchir comme toi : j'ai bloqué et regardé ce > qui ce passe. > > >pas pourquoi les paquets IP à destination des machines locales, qui > >transitent via eth1, iraient faire un tour dans la "Masquerade Zone" > > située > > A moins que ce soit cette zone qui gére l'arrivée de eth1 pour savoir > quoi en faire. > > >entre eth0 et ppp0. Je pense qu'elles ne présentent pas de risques > > l'adresse eth0 en 10.0.0.x étant une adresse de réseau classe C privé, > > mais je ne les comprend pas. > > > >De la même façon, la directive: > >>ACCEPT loc fw udp 1:65535 - > >>ACCEPT loc fw tcp 1:65535 - > > > >me semble équivalente à "loc fw ACCEPT" dans le fichier policy (je > > l'avais déjà ajouté ainsi que "loc loc ACCEPT" à tout hasard > > > >Les lignes > > > >>ACCEPT fw masq udp 1:65535 - > >>ACCEPT fw masq tcp 1:65535 - > > > >me semble équivalente à "fw masq ACCEPT" dans le fichier policy, et les > >commentaires me paraissent de nouveau curieux ( "> # Permet l'accès de > > notre PC vers le réseau interne, comme l'accès aux resources des PC du > > réseau interne") pour la même raison: Pourquoi du trafic local irait-il > > se balader dans la "Masquerade Zone" étant donné que seuls les paquets à > > destination de l'extérieur sont en principe "masqueradés" ? > > Même commentaire qu'avant. Met DROP et regarde les effets. > > >Je n'ai probablement rien compris, aussi je suis avide de vos > >éclaircissements.
>>> Ai fait la manip ce soir. Avec tes rules pas de changement: Samba fonctionne puisque smclient en mode ligne de commande marche impec (j'ai changé mon test en faisant un accès Samba sur la machine locale, le PC Win$ est down). Après avoir remplacé ACCEPT par DROP dans les règles que je ne comprend pas, pas de changement: smbclient //ma_machine/repertoir_partage me demande mon password et me connecte immediatement. Par contre dans toutes les configurations Konqueror met un temps infini à accéder aux repertoires partagés. Parfois je stoppe la moulinette, remonte d'un niveau et redescend dans le répertoire et le contenu s'affiche! Par contre pas moyen d'ouvrir un fichier jusqu'ici. Quelqu'un a une idée pourquoi l'accès via Samba se comporte comme celà ? A+
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
