> -----Message d'origine----- > De : Jacques Caruso [mailto:[EMAIL PROTECTED] De la part de > Jacques Caruso Envoyé : mercredi 19 mai 2004 01:17 > À : linux06@linuxfr.org > Objet : Re: RE : [TECH] xinetd > > Bon, alors voyons côté pare-feu... je ne garantis pas la suite, vu que > la config' est longue comme un jour sans pain, mais voilà ce que je > pense : > > * tout d'abord, on a bien des autorisations pour les ports DNS, dans > la > chaîne 'fw2wan', ce qui paraît tout à fait logique : > > 0 0 ACCEPT tcp -- * * 0.0.0.0/0 > 0.0.0.0/0 state NEW tcp dpt:53 > 0 0 ACCEPT udp -- * * 0.0.0.0/0 > 0.0.0.0/0 state NEW udp dpt:53 > > * en revanche (et je pense que c'est ici que le bât blesse), cette > chaîne n'est *pas* réferencée dans OUTPUT. Celle-ci contient des > règles ACCEPT, mais apparemment insuffisantes :
Ben,.. Exact, puisqu'on arrive pas a "sortir" et se connecter au DNS de wanadoo... Et c'est la probleme me semble-t-il... > - une pour l'interface de bouclage locale -- sans intérêt. > - une pour de l'ICMP. Ça pourrait permettre de faire au moins un > ping > pour tester si ça passe, mais... (voir plus bas) > - une référence à la chaîne fw2lan, qui ne concerne que les > transmissions sortant à travers eth0 > - une référence à la chaîne common, laquelle contient elle-même une > référence à la chaine icmpdef (qui est vide ? ! ?) et deux ACCEPT > pour les paquets RST et ACK (je suppose qu'il y a une > bonne raison à > tout ça), le reste étant des interdictions > - et puis c'est tout pour les autorisations de sortie > > * Quant à la chaîne INPUT, euh... > > - la règle pour l'interface de bouclage > - une chaîne pour ce qui entre par eth0 > - la chaîne common > - et... et c'est tout > > Et là, y a un couac quelque part. Parce que, soit j'ai loupé un > épisode, soit cette machine risque de recevoir (et même d'émettre) > bien peu de paquets avec une conf' pareille. > Même les pings ne passeraient pas au retour. Exact... > Bon, alors que faire ? Ben, premièrement, tenter de rajouter les deux > chaînes qui semblent logiques (fw2wan et wan2fw), de la manière > suivante : > > iptables -I INPUT -i ppp0 -j wan2fw > iptables -I OUTPUT -j fw2wan -o ppp0 > (note le -I au lieu du -A, afin d'insérer notre chaîne au-dessus des > règles REJECT finales) OUUUIIIIIIII !!! A priori maintenant la connection est ok !!! J'accede bien au dns de wanadoo !!! M E R C I !!!!! Mais ... > Si la résolution des noms (par exemple un 'host www.google.com > 193.252.19.3' ne se fait toujours pas, il faut NO PROBLEM !!!!!! J'ACCEDE AU DNS DE WANADOOOOOOO !!!!!!!! > investiguer plus loin ; ton pare-feu a des règles LOG, donc tu devrais > voir apparaître les paquets rejetés dans /var/log/syslog, ça peut > aider à comprendre ce qui se passe. Si en revanche ça marche, il > restera à faire en sorte qu'elles y restent, Si tu veux bien m'indiquer comment ?... J'essaye de faire un iptables-save.. Et /ou un shorewall save... Rien n'y fait... Je les perd a chaque reinit... > et à savoir pourquoi elles n'y étaient pas à la base... Ben, ca, c'est mandrake qui ne les mets pas lors de l'install !! :( Je peux juste te demander encore un truc ? : A) commment sauver les regles... B) afin que les pings puissent "passer",.. J'ai rajouté avec shorewall une regle qui dit ACCEPT soure : fw dest : wan icmp 8 .. Et la ca fonctionne... Si je veux faire un lynx a partir de cette machine,.. Je dois egalement rajouter la meme chose mais pour http... je vois le principe... Par contre je n'arrive pas a acceder depuis une autre machine de mon reseau local ni avec un ping ni avec http... J'ai pourtant saisi le masquerading reseau eth1:192.168.2.0 masque 255.255.255.0 ... J'ai beau rajouter (shorewal) un ACCEPT lan --> wan http ... Mais ca veut rien savoir.... En d'autres termes,... Quelles sont les regles que je dois rajouter pour "fowarder" ou "translater" mon reseau local (proxy mandataire...)... (Sur l'autre PC avec xp j'ai bien saisi passerelle 192.168.2.1 ... Et dns celui de wanadoo...) Merci beaucoup de ta reponse Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 **** Pas de message au format HTML, SVP ****
