Le mardi 17 juin 2003, 00:11:44 ou environ Laurent Vuibert <[EMAIL PROTECTED]> a écrit: > On Mon, 16 Jun 2003 22:34:10 +0200 > Alain Barthélemy <[EMAIL PROTECTED]> wrote: > > > Bonjour, > > > > Au bon vieux temps où j'ai installé Roaring Pinguin sur SuSE-7.1, il > > me reste encore le fichier avec les règles ipchains qui sont toujours > > opérationnelles. > > > > Je voudrais cependant faire des connexions ssh port 22 de l'extérieur > > (du boulot) vers une station de mon LAN personnel. Le firewall bloque > > tous les ports < 1024. Lorsque mon fils eu la bonne idée de commenter > > toutes les lignes l'année passée, je pus faire des connexions > > ssh. J'ai couru pour commenter toutes les lignes, je n'eus plus de > > transfert ssh possible of course. > > > > Je rajoutai donc la ligne (voir ci-dessous): > > > > #laisser entrer requête ssh > > ipchains -A input -l -i $EXTIF -s $ANY -p tcp ssh -j ACCEPT > > > > Pour n'autoriser que le port 22 (ssh). > > > > Problème: cela ne fonctionne pas. > > > > Quelqu'un a-t-il idée du problème? Je ne suis pas spécialiste > > d'Ipchains. > > > > En y réflechissant, je mets, je mets cette ligne qui autorise la > > connexion après le "Deny TCP connexion attempt". Intervertir les 2 > > lignes serait-il suffisant. Il faut que je ne laisse entrer que le > > port 22 ou faut-il que je mette !22 ou équivalent sur la ligne qui > > bloque toutes les connexions TCP du port 0 à 1023? > > > > Merci pour toute suggestion. > > > > #!/bin/sh > > # > > # firewall-masq This script sets up firewall rules for a machine > > # acting as a masquerading gateway > > # > > # Copyright (C) 2000 Roaring Penguin Software Inc. This software may > > # be distributed under the terms of the GNU General Public License, version > > # 2 or any later version. > > > > # Interface to Internet > > EXTIF=ppp+ > > INTIF=eth1 > > > > ANY=0.0.0.0/0 > > OURNET=192.168.1.32/27 > > > > ipchains -P input ACCEPT > > ipchains -P output ACCEPT > > ipchains -P forward ACCEPT > > > > ipchains -F forward > > ipchains -F input > > ipchains -F output > >
# Laisser entrer requete ssh # Ligne modifiée qui devrait marcher # Règle placé avant toute autre ipchains -A input -l -i $EXTIF -s $ANY -p tcp ssh -y -j ACCEPT ipchains -A input -l -i $EXTIF -s $ANY -p udp ssh -y -j ACCEPT > > # Deny TCP and UDP packets to privileged ports > > ipchains -A input -l -i $EXTIF -d $ANY 0:1023 -p udp -j DENY > > ipchains -A input -l -i $EXTIF -d $ANY 0:1023 -p tcp -j DENY > > > > # Deny TCP connection attempts > > ipchains -A input -l -i $EXTIF -p tcp -y -j DENY > > > > # Deny ICMP echo-requests > > ipchains -A input -l -i $EXTIF -s $ANY echo-request -p icmp -j DENY > > > > # Do masquerading > > ipchains -A forward -p tcp -s 192.168.1.32/27 -d 192.168.1.32/27 ssh -j ACCEPT > > ipchains -A forward -j MASQ > > echo 1 > /proc/sys/net/ipv4/ip_forward > > > > C'est normal que le packet de synchronisation est rejeté avant d'être accepté. > En fait faut voir le packet décent toutes les régles de haut en bas, si il est > rejeté il est rejeté tout de suite et les autres régles (en dessous sont ignorées) > > en fait ton packet est stoppé à la 2eme requête > "ipchains -A input -l -i $EXTIF -d $ANY 0:1023 -p tcp -j DENY" > > voila. > C'est plus ou moins ce que je m'étais dit dans le train ce matin. Je change. Je change la succession des règles comme ci-dessous. Pour ne pas devoir faire 10 aller-retour du boulot à chez moi pour voir si cela marche, quelqu'un peut dire si c'est OK. Cela devrait selon moi. Merci, -- Alain Barthélemy [EMAIL PROTECTED] http://bartydeux.be _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: efnet.unixtech.be:6667 - #unixtech
