[Confirme] iptables
bonjour je rencontre un dernier petit probleme dans la lecture de mes logs iptables je lance un script iptablelog qui doit me permettre d'ecrire les logs dans une table mysql et de lancer un daemon toutefois j'ai un message d'erreur a la ligne 22 et le demon ne se lance pas voici le script et la ligne [EMAIL PROTECTED] init.d]# ./iptablelog start Starting iptableslogfile: ./iptablelog: line 22: start-stop-daemon: command not found #!/bin/sh # # System V init script for iptables logfile analyzer # # (c) Thomas Vallaitis <[EMAIL PROTECTED]> # # pid isn't saved by iptables logfile analyzer (afaik) # we have two processes -> more difficult # PATH="/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin" LONGNAME="iptableslogfile" NAME="iptablelog" DAEMON='/usr/local/bin/feed_db.pl' set -e # Main Loop case $1 in start) echo -n "Starting $LONGNAME: "; start-stop-daemon --start --quiet --pidfile /var/run/$NAME.pid --exec $DAEMON -- --background echo $NAME; ;; stop) echo -n "Stopping $LONGNAME: " start-stop-daemon --stop --quiet --pidfile /var/run/$NAME.pid || true rm -f /var/run/$NAME.pid echo $NAME ;; *) N=/etc/init.d/$NAME # echo "Usage: $N {start|stop|restart|reload|force-reload}" >&2 echo "Usage: $N {start|stop}" >&2 exit 1 ;; esac exit 0 # EOF et la ligne qui va pas start-stop-daemon --start --quiet --pidfile /var/run/$NAME.pid --exec $DAEMON -- --background Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Le Dimanche 08 Juin 2003 10:42, AMORE Rosaire a écrit : > Olivier Thauvin a écrit : > > Le Samedi 07 Juin 2003 10:39, Apollonie Raffalli a écrit : > >>>Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le > >>>thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant > >>>très important ! Le protocol tcp est très strict là dessus. > >> > >>L'état RELATED est certes important mais non nécessaire compte tenu des > >>besoins précis de Rosaire. > > > > Autan pour moi, mais tu dis une connerie, les retour ICMP sont RELATED, > > et sont important, c'est bien d'avoir le retour 'host unreachable' quand > > même. > > Certes. Et ces retours, sont RELATED que pour ICMP? Ça signifierait donc > qu'avec ICMP, on ne doive gérer que l'état RELATED? > R. Non, si tu fais un ping, tu reçois du ping, donc c'est de l'ESTABLISHED. En revanche si tu essaye de faire du http vers un serveur qui ne le fait pas, normallement tu envois du tcp vers le port 80 et là réponse reviens du port 80 en tcp, hors là, le serveur te répondra en icmp avec un code de retour, comme le protocol n'est pas le même, (icmp vs tcp), le kernel ne considère pas le packet partie intégrale de la connexion, mais 'relative' à la connection, c'est la pas la connection elle même, mais ça a quelque chose à voire, donc le packet est RELATED. -- Linux pour Mac !? Enfin le moyen de transformer une pomme en véritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Je me reprend moi même : AMORE Rosaire a écrit : Olivier Thauvin a écrit : Je devrais donc reprendre ma chaîne INPUT comme ceci : iptables -A INPUT -i ppp0 --protocol tcp --destination-port 110 -m state --state ESTABLISHED, RELATED -j ACCEPT l'état RELATED étant ici superflu, isn't it? Quant à ma chaine OUTPUT je peux la laisser en l'état Une confirmation? Ou bien alors : iptables -A INPUT -i ppp0 --protocol tcp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i ppp0 --protocol udp -m state --state ESTABLISHED,RELATED -j ACCEPT Et là je règle le problème d'un seul coup d'un seul pour tous mes input sur ppp0, du moment qu'ils ont été déjà ESTABLISHED Non? Paske je crois que Apollonie a compris que je ne voulais pas du tout sortir de mon lan : et en fait, je veux quand même forwarder http, pop, smtp et dns évidement. Donc à l'heure où j'écris, j'ai l'impression que j'ai avancé, et je me retrouve là : = # # Grand nettoyage de printemps et on bloque tout iptables -F iptables -X iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -t nat -F iptables -t nat -X iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t mangle -F # # Un peu de réseau en local tout de même ;-) iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # # si connexion déjà existante => j'accepte ce qui rentre sur ppp0. Cas à part : ssh iptables -A INPUT -i ppp0 --protocol tcp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i ppp0 --protocol udp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i ppp0 --protocol tcp --destination-port ssh -m state --state NEW,ESTABLISHED -j ACCEPT # # Je fais confiance à mon LAN, mais je ne veux forwarder que certains services (on verra plus loin) iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT # # On sort un peu, prudemment, ... iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 25 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 110 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT --protocol tcp --destination-port 22 -j ACCEPT # # Il faut qd même bien faire sortir les gosses à un moment donné, non? iptables -A FORWARD -o ppp0 --protocol udp --destination-port 53 -j ACCEPT iptables -A FORWARD -o ppp0 --protocol tcp --destination-port 80 -j ACCEPT iptables -A FORWARD -o ppp0 --protocol tcp --destination-port 110 -j ACCEPT iptables -A FORWARD -o ppp0 --protocol tcp --destination-port 25 -j ACCEPT # # Pour vivre heureux, vivons cachés ... iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE iptables -nvL Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Olivier Thauvin a écrit : Le Samedi 07 Juin 2003 10:39, Apollonie Raffalli a écrit : Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant très important ! Le protocol tcp est très strict là dessus. L'état RELATED est certes important mais non nécessaire compte tenu des besoins précis de Rosaire. Autan pour moi, mais tu dis une connerie, les retour ICMP sont RELATED, et sont important, c'est bien d'avoir le retour 'host unreachable' quand même. Certes. Et ces retours, sont RELATED que pour ICMP? Ça signifierait donc qu'avec ICMP, on ne doive gérer que l'état RELATED? R. Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Olivier Thauvin a écrit : Le Dimanche 08 Juin 2003 00:01, AMORE Rosaire a écrit : Touch13 a écrit : .. Mais il me reste des coins d'ombre, sur ce qu'on précise en INPUT/OUTPUT avec -dport et -sport. Par exemple, j'ai les lignes suivantes : iptables -A INPUT -i eth0 --protocol tcp --destination-port 137:139 -j ACCEPT iptables -A OUTPUT -o eth0 --protocol tcp --source-port 137:139 -j ACCEPT - Ca, je pige : ce qui arrive sur mon interface interne (eth0) peut accéder aux services locaux -dport 137:139 en INPUT - idem, à l'inverse en OUTPUT avec comme port source 137:139. Je ne vais pas indiquer ici -dport, puisque j'imagine que le client smb attend une réponse sur un autre port, que je ne peux connaitre, non? C'est bien pour ça qu'on ne le précise pas! Donc j'avions bien pigé (?) J'ai aussi ces lignes : iptables -A INPUT -i ppp0 --protocol tcp --source-port 110 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 110 -j ACCEPT - Là je ne pige plus, et ça marche : j'aime pas. P. ex, en OUTPUT j'accepte ce qui se dirige vers le port 110 (mon serveur pop est pop.free.fr) : ok. Mais la règle INPUT? Pour pop, j'ai pas 110 comme -sport, non? Je devrais avoir un port aléatoire généré pour la réponse! reprenons ce deux règles aux calmes: La première l'entrée de toutes les trames venant d'un serveur pop (port source 110). La seconde autorise la sortie de toutes les trames qui vont vers un serveur pop (port destination 100). Dans un cas tu autorise ce qui _entre_ _depuis_... dans l'autre ce qui _sort_ _vers_... Mais ces règle sont a mon avis inutiles et dangereuse, 1) de toutes façon tu autorise des pacquets autrement, 2) vaux mieux autoriser le retour des connexions en se fiant à l'état des connexions. Sinon je peux t'attaquer en me faisant passer pour un serveur pop, je pars du port 110 vers un port quelconque chez toi, et le firewall accepte le pacquets. Je devrais donc reprendre ma chaîne INPUT comme ceci : iptables -A INPUT -i ppp0 --protocol tcp --destination-port 110 -m state --state ESTABLISHED, RELATED -j ACCEPT l'état RELATED étant ici superflu, isn't it? Quant à ma chaine OUTPUT je peux la laisser en l'état Une confirmation? Ou alors, j'ai raté un bout du film? Merci pour tout éclaircissement Rosaire Touch13 Le Vendredi 6 Juin 2003 19:35, AMORE Rosaire a écrit : Sympa Touch13! Mais je ne sais pas si t'as pigé que j'étais en train d'apprendre? Alors, ton script est bien ficelé apparement, mais pas trop pédagogique-débutant. Du reste, je viens de me rendre compte que j'ai envoyé ma demande d'info chez les confirmes. Je crois que je vais faire un tour chez debutant. Merci quand même!;-) Rosaire Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Le Samedi 07 Juin 2003 10:39, Apollonie Raffalli a écrit : > > Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le > > thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant > > très important ! Le protocol tcp est très strict là dessus. > > L'état RELATED est certes important mais non nécessaire compte tenu des > besoins précis de Rosaire. Autan pour moi, mais tu dis une connerie, les retour ICMP sont RELATED, et sont important, c'est bien d'avoir le retour 'host unreachable' quand même. -- Linux pour Mac !? Enfin le moyen de transformer une pomme en véritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Le Dimanche 08 Juin 2003 00:01, AMORE Rosaire a écrit : > Touch13 a écrit : > > D'ou les lignes de commentaires ;-) > > Il n'avait semblé que grace à elles on pouvait s'en sortir. Je le > > saurais pour > > > la prochaine fois. Ceci dit, dis moi celles qui te semble obscures et > > je te > > > donnerais plus d'explication. > > T'en fait pas. En fait ce qui m'a troublé un peu au départ, c'est ton > utilisation des variables. Après l'avoir relu au calme, ça a été mieux. > Alors, j'en suis où? Et bien ça marche : > - J'arrive à faire un ssh sur ma passerelle, depuis le lan comme de > l'extérieur. > - De ma passerelle et de mon lan, je surf, je peux envoyer et récupérer > mon courrier, et ma résolution de noms fonctionne bien > - de mon lan, j'accède à mon serveur samba (situé sur la passerelle). > > Mais il me reste des coins d'ombre, sur ce qu'on précise en INPUT/OUTPUT > avec -dport et -sport. Par exemple, j'ai les lignes suivantes : > iptables -A INPUT -i eth0 --protocol tcp --destination-port 137:139 -j > ACCEPT > iptables -A OUTPUT -o eth0 --protocol tcp --source-port 137:139 -j ACCEPT > - Ca, je pige : ce qui arrive sur mon interface interne (eth0) peut > accéder aux services locaux -dport 137:139 en INPUT > - idem, à l'inverse en OUTPUT avec comme port source 137:139. Je ne vais > pas indiquer ici -dport, puisque j'imagine que le client smb attend une > réponse sur un autre port, que je ne peux connaitre, non? C'est bien pour ça qu'on ne le précise pas! > > J'ai aussi ces lignes : > iptables -A INPUT -i ppp0 --protocol tcp --source-port 110 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 110 -j ACCEPT > - Là je ne pige plus, et ça marche : j'aime pas. P. ex, en OUTPUT > j'accepte ce qui se dirige vers le port 110 (mon serveur pop est > pop.free.fr) : ok. Mais la règle INPUT? Pour pop, j'ai pas 110 comme > -sport, non? Je devrais avoir un port aléatoire généré pour la réponse! reprenons ce deux règles aux calmes: La première l'entrée de toutes les trames venant d'un serveur pop (port source 110). La seconde autorise la sortie de toutes les trames qui vont vers un serveur pop (port destination 100). Dans un cas tu autorise ce qui _entre_ _depuis_... dans l'autre ce qui _sort_ _vers_... Mais ces règle sont a mon avis inutiles et dangereuse, 1) de toutes façon tu autorise des pacquets autrement, 2) vaux mieux autoriser le retour des connexions en se fiant à l'état des connexions. Sinon je peux t'attaquer en me faisant passer pour un serveur pop, je pars du port 110 vers un port quelconque chez toi, et le firewall accepte le pacquets. > > Ou alors, j'ai raté un bout du film? > > Merci pour tout éclaircissement > Rosaire > > > Touch13 > > > > Le Vendredi 6 Juin 2003 19:35, AMORE Rosaire a écrit : > >>Sympa Touch13! > >>Mais je ne sais pas si t'as pigé que j'étais en train d'apprendre? > >>Alors, ton script est bien ficelé apparement, mais pas trop > >>pédagogique-débutant. Du reste, je viens de me rendre compte que j'ai > >>envoyé ma demande d'info chez les confirmes. Je crois que je vais faire > >>un tour chez debutant. > >>Merci quand même!;-) > >>Rosaire -- Linux pour Mac !? Enfin le moyen de transformer une pomme en véritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Touch13 a écrit : > D'ou les lignes de commentaires ;-) > Il n'avait semblé que grace à elles on pouvait s'en sortir. Je le saurais pour > la prochaine fois. Ceci dit, dis moi celles qui te semble obscures et je te > donnerais plus d'explication. T'en fait pas. En fait ce qui m'a troublé un peu au départ, c'est ton utilisation des variables. Après l'avoir relu au calme, ça a été mieux. Alors, j'en suis où? Et bien ça marche : - J'arrive à faire un ssh sur ma passerelle, depuis le lan comme de l'extérieur. - De ma passerelle et de mon lan, je surf, je peux envoyer et récupérer mon courrier, et ma résolution de noms fonctionne bien - de mon lan, j'accède à mon serveur samba (situé sur la passerelle). Mais il me reste des coins d'ombre, sur ce qu'on précise en INPUT/OUTPUT avec -dport et -sport. Par exemple, j'ai les lignes suivantes : iptables -A INPUT -i eth0 --protocol tcp --destination-port 137:139 -j ACCEPT iptables -A OUTPUT -o eth0 --protocol tcp --source-port 137:139 -j ACCEPT - Ca, je pige : ce qui arrive sur mon interface interne (eth0) peut accéder aux services locaux -dport 137:139 en INPUT - idem, à l'inverse en OUTPUT avec comme port source 137:139. Je ne vais pas indiquer ici -dport, puisque j'imagine que le client smb attend une réponse sur un autre port, que je ne peux connaitre, non? J'ai aussi ces lignes : iptables -A INPUT -i ppp0 --protocol tcp --source-port 110 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 110 -j ACCEPT - Là je ne pige plus, et ça marche : j'aime pas. P. ex, en OUTPUT j'accepte ce qui se dirige vers le port 110 (mon serveur pop est pop.free.fr) : ok. Mais la règle INPUT? Pour pop, j'ai pas 110 comme -sport, non? Je devrais avoir un port aléatoire généré pour la réponse! Ou alors, j'ai raté un bout du film? Merci pour tout éclaircissement Rosaire Touch13 Le Vendredi 6 Juin 2003 19:35, AMORE Rosaire a écrit : Sympa Touch13! Mais je ne sais pas si t'as pigé que j'étais en train d'apprendre? Alors, ton script est bien ficelé apparement, mais pas trop pédagogique-débutant. Du reste, je viens de me rendre compte que j'ai envoyé ma demande d'info chez les confirmes. Je crois que je vais faire un tour chez debutant. Merci quand même!;-) Rosaire Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Le Samedi 7 Juin 2003 20:12, AMORE Rosaire a écrit : > Pas évident à comprendre pour un novice en iptables, mais on va s'y coller. > Une remarque : pourriez vous avoir l'obligeance de traduire "policy" par > "politique" (ou "stratégie")? Je crois que ce serait plus ad hoc, non? > Rosaire Certes, stratégie me semble correct. Je ne pensais pas avoir traduit le terme "policy", c'est mon clavier qui s'est trompé en tapant "police" ;-) CC Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Pas évident à comprendre pour un novice en iptables, mais on va s'y coller. Une remarque : pourriez vous avoir l'obligeance de traduire "policy" par "politique" (ou "stratégie")? Je crois que ce serait plus ad hoc, non? Rosaire cc a écrit : Le Samedi 7 Juin 2003 10:39, Apollonie Raffalli a écrit : Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant très important ! Le protocol tcp est très strict là dessus. L'état RELATED est certes important mais non nécessaire compte tenu des besoins précis de Rosaire. La gestion de cet état est nécessaire si l'on doit utiliser certains protocoles comme le FTP qui nécessite une double connexion. Maintenant, c'est vrai que si l'on rajoute RELATED après ESTABLISHED ce n'est pas faux et cela permettra de gérer tous les protocoles ; c'est d'ailleurs ce que j'ai dans mon propre script puisque j'ai un serveur FTP. Et pour l'établissement de la connection je met trois lignes, c'est parce que ça tiens en trois paquets ! Je maintiens mes dires : l'état RELATED n'a rien à voir avec l'établissement d'une connexion. Sans esprit de polémique, je propose donc une nouvelle "règle" des trois lignes : client -> serveur "coucou" passerelle: NEW serveur -> client "re coucou" passerelle: ESTABLISHED et non RELATED client -> serveur "ok alors on cause!": ESTABLISHED tu as raison. l'état RELATED concerne des connexions *relatives* à des connexions déjà établies, en général les transferts FTP en mode actif. Au niveau de la connexion elle-même, on n'a que deux états : NEW (on crée une nouvelle connexion) et ESTABLISHED (la connexion est établie). Cela dit, pour protéger notre réseau interne et notre passerelle des seules tentatives d'accès de l'extérieur tout en servant de passerelle pour notre réseau interne, il faut et il suffit d'interdire toute connexion établie de l'extérieur (state NEW -j DROP sur l'interface externe). Mais pour que cela fonctionne, il faut mettre une police par défaut à ACCEPT, sinon il fudrait autoriser un à un tous les services réseau, par protocole. Cette règle devant bien entendu s'appliquer aux paquets entrant et passant par la passerelle. Ce qui donne ce script que j'utilise et qui me donne statisfaction (testé avec de multiples outils avec succès) #!/bin/bash # firewall + nat - CC 01-2003 #définition variable pour l'interface externe (vers internet) # mettre ici sa propre interface EXTIF=ppp0 #vidage et remise à zéro chaines iptables -F iptables -X iptables -Z #définitions policies par défaut (accept ou drop) iptables -P INPUT ACCEPT #on pourrait mettre DROP ici iptables -P FORWARD ACCEPT #et ici # mais il faudrait alors autoriser explicitement tout ce qui peut # entrer et passer iptables -P OUTPUT ACCEPT #création de chaine utilisateur log et drop (logue et drope les # paquets refusés) iptables -N LD iptables -F LD iptables -A LD -j LOG --log-level warning --log-prefix "bloqué : " iptables -A LD -j DROP #création de chaine utilisateur log et drop toute connexion nouvelle #provenant de l'interface vers internet #accepte les connexions établies ou relatives à une connexion établie iptables -N FILTRE1 iptables -F FILTRE1 iptables -A FILTRE1 -i $EXTIF -m state --state NEW -j LD #bloque aussi smb (devrait déjà être arrêté par la règle précédente #mais illustre le moyen de bloquer des services particuliers iptables -A FILTRE1 -i $EXTIF -p tcp --dport 137:139 -j LD iptables -A FILTRE1 -i $EXTIF -p udp --dport 137:139 -j LD iptables -A FILTRE1 -i $EXTIF -p tcp --dport 445 -j LD iptables -A FILTRE1 -i $EXTIF -p udp --dport 445 -j LD #autorise les paquets des connexions établies ou relatives à une connexion #établie (comme FTP) iptables -A FILTRE1 -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT #rajouter ici les connexions entrantes autorisées (ssh...) #définition des actions (pour ce qui rentre et ce qui traverse) iptables -t filter -A INPUT -j FILTRE1 iptables -t filter -A FORWARD -j FILTRE1 echo "filtrage activé" #masquerading iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward echo "masquerading activé" Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Le Samedi 7 Juin 2003 10:39, Apollonie Raffalli a écrit : > > Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le > > thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant > > très important ! Le protocol tcp est très strict là dessus. > > L'état RELATED est certes important mais non nécessaire compte tenu des > besoins précis de Rosaire. > > La gestion de cet état est nécessaire si l'on doit utiliser certains > protocoles comme le FTP qui nécessite une double connexion. > > Maintenant, c'est vrai que si l'on rajoute RELATED après ESTABLISHED ce > n'est pas faux et cela permettra de gérer tous les protocoles ; c'est > d'ailleurs ce que j'ai dans mon propre script puisque j'ai un serveur FTP. > > Et pour > > > l'établissement de la connection je met trois lignes, c'est parce que ça > > tiens en trois paquets ! > > Je maintiens mes dires : l'état RELATED n'a rien à voir avec > l'établissement d'une connexion. > > Sans esprit de polémique, je propose donc une nouvelle "règle" des trois > lignes : > client -> serveur "coucou" passerelle: NEW > serveur -> client "re coucou" passerelle: ESTABLISHED et non RELATED > client -> serveur "ok alors on cause!": ESTABLISHED tu as raison. l'état RELATED concerne des connexions *relatives* à des connexions déjà établies, en général les transferts FTP en mode actif. Au niveau de la connexion elle-même, on n'a que deux états : NEW (on crée une nouvelle connexion) et ESTABLISHED (la connexion est établie). Cela dit, pour protéger notre réseau interne et notre passerelle des seules tentatives d'accès de l'extérieur tout en servant de passerelle pour notre réseau interne, il faut et il suffit d'interdire toute connexion établie de l'extérieur (state NEW -j DROP sur l'interface externe). Mais pour que cela fonctionne, il faut mettre une police par défaut à ACCEPT, sinon il fudrait autoriser un à un tous les services réseau, par protocole. Cette règle devant bien entendu s'appliquer aux paquets entrant et passant par la passerelle. Ce qui donne ce script que j'utilise et qui me donne statisfaction (testé avec de multiples outils avec succès) #!/bin/bash # firewall + nat - CC 01-2003 #définition variable pour l'interface externe (vers internet) # mettre ici sa propre interface EXTIF=ppp0 #vidage et remise à zéro chaines iptables -F iptables -X iptables -Z #définitions policies par défaut (accept ou drop) iptables -P INPUT ACCEPT #on pourrait mettre DROP ici iptables -P FORWARD ACCEPT #et ici # mais il faudrait alors autoriser explicitement tout ce qui peut # entrer et passer iptables -P OUTPUT ACCEPT #création de chaine utilisateur log et drop (logue et drope les # paquets refusés) iptables -N LD iptables -F LD iptables -A LD -j LOG --log-level warning --log-prefix "bloqué : " iptables -A LD -j DROP #création de chaine utilisateur log et drop toute connexion nouvelle #provenant de l'interface vers internet #accepte les connexions établies ou relatives à une connexion établie iptables -N FILTRE1 iptables -F FILTRE1 iptables -A FILTRE1 -i $EXTIF -m state --state NEW -j LD #bloque aussi smb (devrait déjà être arrêté par la règle précédente #mais illustre le moyen de bloquer des services particuliers iptables -A FILTRE1 -i $EXTIF -p tcp --dport 137:139 -j LD iptables -A FILTRE1 -i $EXTIF -p udp --dport 137:139 -j LD iptables -A FILTRE1 -i $EXTIF -p tcp --dport 445 -j LD iptables -A FILTRE1 -i $EXTIF -p udp --dport 445 -j LD #autorise les paquets des connexions établies ou relatives à une connexion #établie (comme FTP) iptables -A FILTRE1 -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT #rajouter ici les connexions entrantes autorisées (ssh...) #définition des actions (pour ce qui rentre et ce qui traverse) iptables -t filter -A INPUT -j FILTRE1 iptables -t filter -A FORWARD -j FILTRE1 echo "filtrage activé" #masquerading iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward echo "masquerading activé" Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
D'ou les lignes de commentaires ;-) Il n'avait semblé que grace à elles on pouvait s'en sortir. Je le saurais pour la prochaine fois. Ceci dit, dis moi celles qui te semble obscures et je te donnerais plus d'explication. Touch13 Le Vendredi 6 Juin 2003 19:35, AMORE Rosaire a écrit : > Sympa Touch13! > Mais je ne sais pas si t'as pigé que j'étais en train d'apprendre? > Alors, ton script est bien ficelé apparement, mais pas trop > pédagogique-débutant. Du reste, je viens de me rendre compte que j'ai > envoyé ma demande d'info chez les confirmes. Je crois que je vais faire > un tour chez debutant. > Merci quand même!;-) > Rosaire > > Touch13 a écrit : > > Le Vendredi 6 Juin 2003 16:44, AMORE Rosaire a écrit : > >>Salut > >>J'ai le réseau suivant : > >>une passerelle que je voudrais utiliser comme firewall avec un lan juste > >>derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0. > >>Je voudrais tout DROPper sauf : > >>- accès à Internet depuis ma passerelle ou mon lan > >>- accès depuis n'importe où par ssh. > >>J'ai construit les règles suivantes en m'inspirant du iptables-Howto et > >>du tutorial de lea. > >>Ca marche depuis ma passerelle mais rien depuis mon lan (bien configuré, > >>car, sans les règles iptables, j'arrive bien sur internet). > >>= > >>iptables -F INPUT > >>iptables -F OUTPUT > >>iptables -F FORWARD > >>iptables -nL# verif > >>iptables -P INPUT ACCEPT > >>iptables -P OUTPUT ACCEPT > >>iptables -P FORWARD ACCEPT > >>iptables -nL > >>iptables -P INPUT DROP > >>iptables -P OUTPUT DROP > >>iptables -P FORWARD DROP > >>iptables -nL > >>iptables -A INPUT -i lo -j ACCEPT > >>iptables -A OUTPUT -o lo -j ACCEPT > >>iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT > >>iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT > >>iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT > >>iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT > >>iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state > >>--state ESTABLISHED -j ACCEPT > >>iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state > >>--state NEW,ESTABLISHED -j ACCEPT > >>iptables -nL > >>#iptables -A INPUT --protocol tcp --source-port 22 -m state --state > >>NEW,ESTABLISHED -j ACCEPT > >>iptables -A INPUT --protocol tcp --source-port 22 -j ACCEPT > >>iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE > >>= > >>Une idée? > >>Rosaire > > > > Les règles INPUT et OUTPUT ne gèrent que les paquets entrants et sortants > > de la machine concernée. Pour traiter les paquets en transit par le > > 'firewall' la règle concernée est 'FORWARD'. > > Cependant pour que cela fonctionne il activer le routage. > > > > Voici un exemple de qui fonctionne en production: > > > > # Path to IPTABLES executable > > IPTABLES=/usr/sbin/iptables > > > > # Définition des interfaces > > I_Ext=ppp0 > > I_Int=eth1 > > > > # Définition des réseaux > > Res_Int=192.168.0.0/24 > > Res_Ext=0.0.0.0/24 > > > > # Adresses IP des serveurs > > IP_Routeur=192.168.0.254 > > IP_Frw_Int=192.168.0.254 > > IP_Frw_Ext=`ifconfig $I_Ext | grep inet | cut -d : -f2 | cut -d ' ' -f1` > > > > # Définition des ports > > Port_Dns=53 > > Port_Pop3=110 > > Port_Smtp=25 > > Port_Http=80 > > Port_Ssh=22 > > > > > > # Configuration du noyau > > > > echo > > echo " -" > > echo " -- Application des règles du firewall" > > echo " -" > > > > # --- Ignorer les messages ICMP buggés (RFC 1122) > > # --- > > if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ]; then > > echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses > > echo " - 1 - Ignorer les messages ICMP buggés [OK]" > > else > > echo " - 1 - Ignorer les messages ICMP buggés > > [FAILED]" fi > > > > # --- Activation de la redirection des paquets. > > # - > > if [ -e /proc/sys/net/ipv4/ip_forward ]; then > > echo "1" > /proc/sys/net/ipv4/ip_forward > > echo " - 2 - Activation de l'IP Forwarding [OK]" > > else > > echo " - 2 - Activation de l'IP Forwarding > > [FAILED]" fi > > > > # --- Ne pas accepter les redirections ICMP. > > # -- > > # Désactivation sur toutes les insterfaces. > > # if [ -e /proc/sys/net/ipv4/conf/all/accept_redirects ]; then > > # echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects > > # fi > > # Désactivation seulement sur l'interface externe. > > if [ -e /proc/sys/net/ipv4/conf/$I_Ext/accept_redirects ]; then > > echo "0" > /proc/sys/net/ipv4/conf/$I_Ext/accept_redirects > > echo " - 3 - Désactivation des redirections ICMP [OK]" > > else > > ec
Re: [Confirme] iptables
Olivier Thauvin a écrit : Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit : .. Re Re Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le thread que quelqu'un avait oublié d'autoriser l'etat RELATED, 1/ Où ça? 2/ Malgré le document (le site) recommandé par Apollonie, je dois reconnaître que cette notion de RELATED est encore un peu floue. Et ton explication (dont au sujet de laquelle je reconnais avoir eu tort de la traiter de "croquignolesque" ;-) ) est pas très claire non plus. Suis p'tet con, mais je n'ai pas bien compris la symbolique que tu as employé. Une simple légende aurait suffit. Il s'agit de cette partie là (mes commentaires commencent par **: --- J'etablie une connection quelle qu'elle soit en tcp: Avant le connection est NEW ou INVALID, en fait innexistante. ** ok client -> serveur "coucou" passerelle: NEW serveur -> client "re coucou" passerelle: RELATED client -> serveur "ok alors on cause!": RELATED passe à ESTABLSHED (jusque là c'est les flags tcp qui jouent) client -> serveur "je voudrais te causer d'un truc" passerelle: ESTABLISHED serveur -> client "dis moi tout mon amour" passerelle: ESTABLISHED ** ouai, ben, c'est tout ça qui est pas très clair :-( ... client -> serveur "bye" passerelle: ESTABLISHED -> connection innexistante donc NEW, ou INVALID. --- Merci Rosaire pourtant très important ! Le protocol tcp est très strict là dessus. Et pour l'établissement de la connection je met trois lignes, c'est parce que ça tiens en trois paquets ! Ah oui un détail supplémentaire: ipfilter ne se fit pas aux drapeaux des paquets pour déterminé l'état d'une connexion, mais bien a ce qu'il a vu passer ! Ce qui permet de poser des filtre pour vérifier la cohérence des trames, par exemple que une trame qui prétend faire partie d'une connexion en cours correspond bien à une connection que le noyau a déjà vue passer. Mais bon, ça fais toujours du bien de savoir commet ça se passe ! :) Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables ++
Le Samedi 7 Juin 2003 09:40, AMORE Rosaire a écrit : > Olivier Thauvin a écrit : > > Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit : > >>Apollonie Raffalli a écrit : > > [ ... ] > > Quelques compléments d'information, please? > Voilà, ça concerne ce genre de lignes, que j'ai dans ma liste de règles : > -- > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT > -- > > Bon, d'après ce que je sais (et encore, pas sûr) DNS utilise les deux > protocoles udp ET tcp. Comme NFS crois-je. Mais j'ai placé, lors de mes > tatonnements successifs des lignes comme : > -- > iptables -A INPUT -i ppp0 --protocol tcp --source-port 25 -j ACCEPT > iptables -A INPUT -i ppp0 --protocol udp --source-port 25 -j ACCEPT > -- > > Pourquoi ai-je fait ça? J'ai simplement lu le /etc/services qui présente > deux entrées pour le port 25 (une en udp, l'autre en tcp). Or je crois > savoir (?) que SMTP lui, n'utilise pas udp. Ce qui transforme ma > deuxième ligne en "inutile". Exact. Dans tes besoins, seul le protocole DNS (port 53) a besoin de UDP. Tu peux supprimer toutes les lignes inutiles. > > Et évidement, j'en ai d'autres (22, 110, ...) résultantes de mes > tatonnements. Ma question : > Y a-t-il UN endroit où on peut savoir quoi faire, quoi gérer avec > iptables, pour un service donné sans redondances inutiles (et hors > tatonnement biensûr)? Toujours sur le site de Christian Caleca : http://christian.caleca.free.fr/ ; tous les protocoles sont très bien expliqués. Sinon en dehors des howto et de LEA, je ne connais pas d'autres sites vraiment intéressant pour iptables. Peut-être avec notre ami google :-) Mais du moment que ça marche et que tu es bien protégé, tu as le temps par la suite d'optimiser ton script... -- Cordialement, Apollonie Raffalli [EMAIL PROTECTED] Lycée Laetitia Bonaparte Ajaccio http://btsig-llb.homelinux.com Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
> Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le > thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant très > important ! Le protocol tcp est très strict là dessus. L'état RELATED est certes important mais non nécessaire compte tenu des besoins précis de Rosaire. La gestion de cet état est nécessaire si l'on doit utiliser certains protocoles comme le FTP qui nécessite une double connexion. Maintenant, c'est vrai que si l'on rajoute RELATED après ESTABLISHED ce n'est pas faux et cela permettra de gérer tous les protocoles ; c'est d'ailleurs ce que j'ai dans mon propre script puisque j'ai un serveur FTP. Et pour > l'établissement de la connection je met trois lignes, c'est parce que ça > tiens en trois paquets ! Je maintiens mes dires : l'état RELATED n'a rien à voir avec l'établissement d'une connexion. Sans esprit de polémique, je propose donc une nouvelle "règle" des trois lignes : client -> serveur "coucou" passerelle: NEW serveur -> client "re coucou" passerelle: ESTABLISHED et non RELATED client -> serveur "ok alors on cause!": ESTABLISHED -- Cordialement, Apollonie Raffalli [EMAIL PROTECTED] Lycée Laetitia Bonaparte Ajaccio http://btsig-llb.homelinux.com Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables ++
Olivier Thauvin a écrit : Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit : Apollonie Raffalli a écrit : [ ... ] Quelques compléments d'information, please? Voilà, ça concerne ce genre de lignes, que j'ai dans ma liste de règles : -- iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT -- Bon, d'après ce que je sais (et encore, pas sûr) DNS utilise les deux protocoles udp ET tcp. Comme NFS crois-je. Mais j'ai placé, lors de mes tatonnements successifs des lignes comme : -- iptables -A INPUT -i ppp0 --protocol tcp --source-port 25 -j ACCEPT iptables -A INPUT -i ppp0 --protocol udp --source-port 25 -j ACCEPT -- Pourquoi ai-je fait ça? J'ai simplement lu le /etc/services qui présente deux entrées pour le port 25 (une en udp, l'autre en tcp). Or je crois savoir (?) que SMTP lui, n'utilise pas udp. Ce qui transforme ma deuxième ligne en "inutile". Et évidement, j'en ai d'autres (22, 110, ...) résultantes de mes tatonnements. Ma question : Y a-t-il UN endroit où on peut savoir quoi faire, quoi gérer avec iptables, pour un service donné sans redondances inutiles (et hors tatonnement biensûr)? Merci Rosaire Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com"; Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Olivier Thauvin a écrit : Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit : Apollonie Raffalli a écrit : [ ... ] Si tu veux, je te la fais plus technique, Je n'en doute pas une seconde. D'accord pour plus de technique, mais progressif. d'ailleurs j'ai vue dans le thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant très important ! Le protocol tcp est très strict là dessus. Et pour l'établissement de la connection je met trois lignes, c'est parce que ça tiens en trois paquets ! Ah oui un détail supplémentaire: ipfilter ne se fit pas aux drapeaux des ipfilter et netfilter : c'est la même chose? paquets pour déterminé l'état d'une connexion, mais bien a ce qu'il a vu passer ! Ce qui permet de poser des filtre pour vérifier la cohérence des trames, par exemple que une trame qui prétend faire partie d'une connexion en cours correspond bien à une connection que le noyau a déjà vue passer. C'est des trucs qu'on bidouille avec Mangle? Mais bon, ça fais toujours du bien de savoir commet ça se passe ! :) En effet. Mais bon, là en l'occurence, c'est pas trivial. Merci bcp Rosaire Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit : > Apollonie Raffalli a écrit : > >>>Il faut rajouter un "truc" de ce genre là : > > [ ... ] > > >>>Si le serveur ssh est sur la passerelle la chaîne INPUT suffit : > >>>iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT > > > > Je pense qu'il faut autoriser la réponse de la passerelle elle-même > > (chaîne OUTPUT) : > > iptables -A OUTPUT --protocol tcp --source-port 22 -j ACCEPT > > C'était bien ça. > > > Ou pour gérer d'un seul coup les retours de connexion de la passerelle : > > iptables -A OUTPUT-m state --state ESTABLISHED -j ACCEPT > > > > En espérant que tout marchera cette fois ci... > > Ceci dit, je t'ai remercié tout à l'heure pour le lien que tu indiquais > dans ta première réponse. Je reviens là-dessus : ce lien est une petite > merveille!!! Olivier s'échina brillament sur des allégories plus ou > moins croquignolesques, mais quand on sait simplement le plus gros du > mécanisme de connexion en tcp, avec le site indiqué tout devient d'une > limpidité rare (http://christian.caleca.free.fr/netfilter.html). > Vraiment à visiter. > Merci encore > Rosaire Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant très important ! Le protocol tcp est très strict là dessus. Et pour l'établissement de la connection je met trois lignes, c'est parce que ça tiens en trois paquets ! Ah oui un détail supplémentaire: ipfilter ne se fit pas aux drapeaux des paquets pour déterminé l'état d'une connexion, mais bien a ce qu'il a vu passer ! Ce qui permet de poser des filtre pour vérifier la cohérence des trames, par exemple que une trame qui prétend faire partie d'une connexion en cours correspond bien à une connection que le noyau a déjà vue passer. Mais bon, ça fais toujours du bien de savoir commet ça se passe ! :) -- Linux pour Mac !? Enfin le moyen de transformer une pomme en véritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Justement, c'est bien expliqué sur le site (http://christian.caleca.free.fr/netfilter.html) indiqué par Apollonie. En gros faut chercher du côté des cibles LOG et ULOG. Sinon, même si t'as trouvé le moyen de jouer avec les logs au niveau d'iptables, après il y a intérêt à savoir comment gérer les logs à partir de syslogd (et /etc/syslog.conf) et là c'est un peu coton aussi (pas pour un confirme bien sûr ;-) ). à+ Rosaire De Leeuw Guy a écrit : P'tite question quand meme : Comment savoir si le serveur rejette une connection par exemple j'aimerais logger les tentatives de connections qui réussisent et celles qui echouent (rejetées par le serveur par exemple). Guy . Le ven 06/06/2003 à 16:34, Olivier Thauvin a écrit : Le Vendredi 06 Juin 2003 19:58, AMORE Rosaire a écrit : iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT (comme ça ce n'est pas la peine de gérer les retours de connexion) Bon, là ça va, sauf que je ne pige pas très bien pourquoi on ne rajoute pas l'état "NEW". Je vais t'expliquer vite fais la différence entre NEW, RELATED, et ESTABLSHED: J'etablie une connection quelle qu'elle soit en tcp: Avant le connection est NEW ou INVALID, en fait innexistante. client -> serveur "coucou" passerelle: NEW serveur -> client "re coucou" passerelle: RELATED client -> serveur "ok alors on cause!": RELATED passe à ESTABLSHED (jusque là c'est les flags tcp qui jouent) client -> serveur "je voudrais te causer d'un truc" passerelle: ESTABLISHED serveur -> client "dis moi tout mon amour" passerelle: ESTABLISHED ... client -> serveur "bye" passerelle: ESTABLISHED -> connection innexistante donc NEW, ou INVALID. Je caricature, mais c'est comme ça que ça marche. A partir de là souvent on NEW,INVALID ensemble pour jeter les connections non désirées de l'internet. On met RELATED,ESTABLSHED ensemble pour autoriser le retour des connections de l'internet commencé dans l'intranet. par exemple: iptables -A FORWARD -m state --state RELATED,ESTABLISHED -i ppp0 -j ACCEPT iptables -A FORWARD -m state --state NEW,RELATED,ESTABLISHED -o ppp0 -j ACCEPT la seconde assure la sortie vers le net, la première accepte les retours. Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Apollonie Raffalli a écrit : Il faut rajouter un "truc" de ce genre là : [ ... ] Si le serveur ssh est sur la passerelle la chaîne INPUT suffit : iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT Je pense qu'il faut autoriser la réponse de la passerelle elle-même (chaîne OUTPUT) : iptables -A OUTPUT --protocol tcp --source-port 22 -j ACCEPT C'était bien ça. Ou pour gérer d'un seul coup les retours de connexion de la passerelle : iptables -A OUTPUT-m state --state ESTABLISHED -j ACCEPT En espérant que tout marchera cette fois ci... Ceci dit, je t'ai remercié tout à l'heure pour le lien que tu indiquais dans ta première réponse. Je reviens là-dessus : ce lien est une petite merveille!!! Olivier s'échina brillament sur des allégories plus ou moins croquignolesques, mais quand on sait simplement le plus gros du mécanisme de connexion en tcp, avec le site indiqué tout devient d'une limpidité rare (http://christian.caleca.free.fr/netfilter.html). Vraiment à visiter. Merci encore Rosaire Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
> > Il faut rajouter un "truc" de ce genre là : > > > > iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT > > (comme ça ce n'est pas la peine de gérer les retours de connexion) > > Bon, là ça va, sauf que je ne pige pas très bien pourquoi on ne rajoute > pas l'état "NEW". L'état NEW ne sert que lorsque l'on veut gérer une demande de connexion à un serveur. Dès que la demande est acceptée, la réponse revient à l'état ESTABLISHED. Rajouter l'état NEW à la règle précédente reviendrait à permettre aux clients de ton réseau de se connecter à n'importe quelle application, ce que tu veux justement éviter. > > > iptables -A FORWARD -o ppp0--protocol tcp --destination-port 53 -j ACCEPT > > iptables -A FORWARD -o ppp0--protocol udp --destination-port 53 -j ACCEPT > > iptables -A FORWARD -o ppp0 protocol tcp --destination-port 80 -j ACCEPT > > Là aussi : OK. Du coup, j'ai rajouté les FORWARD en udp et tcp pour pop > et smtp : du coup ça fonctionne mieux. > > > Si le serveur ssh est sur la passerelle la chaîne INPUT suffit : > > iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT Je pense qu'il faut autoriser la réponse de la passerelle elle-même (chaîne OUTPUT) : iptables -A OUTPUT --protocol tcp --source-port 22 -j ACCEPT Ou pour gérer d'un seul coup les retours de connexion de la passerelle : iptables -A OUTPUT-m state --state ESTABLISHED -j ACCEPT En espérant que tout marchera cette fois ci... -- Cordialement, Apollonie Raffalli [EMAIL PROTECTED] Lycée Laetitia Bonaparte Ajaccio http://btsig-llb.homelinux.com Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
P'tite question quand meme : Comment savoir si le serveur rejette une connection par exemple j'aimerais logger les tentatives de connections qui réussisent et celles qui echouent (rejetées par le serveur par exemple). Guy . Le ven 06/06/2003 à 16:34, Olivier Thauvin a écrit : > Le Vendredi 06 Juin 2003 19:58, AMORE Rosaire a écrit : > > > iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT > > > (comme ça ce n'est pas la peine de gérer les retours de connexion) > > > > Bon, là ça va, sauf que je ne pige pas très bien pourquoi on ne rajoute > > pas l'état "NEW". > > Je vais t'expliquer vite fais la différence entre NEW, RELATED, et ESTABLSHED: > > J'etablie une connection quelle qu'elle soit en tcp: > Avant le connection est NEW ou INVALID, en fait innexistante. > > client -> serveur "coucou" passerelle: NEW > serveur -> client "re coucou" passerelle: RELATED > client -> serveur "ok alors on cause!": RELATED passe à ESTABLSHED > > (jusque là c'est les flags tcp qui jouent) > > client -> serveur "je voudrais te causer d'un truc" passerelle: ESTABLISHED > serveur -> client "dis moi tout mon amour" passerelle: ESTABLISHED > ... > > client -> serveur "bye" passerelle: ESTABLISHED -> connection innexistante > donc NEW, ou INVALID. > > Je caricature, mais c'est comme ça que ça marche. > A partir de là souvent on NEW,INVALID ensemble pour jeter les connections non > désirées de l'internet. On met RELATED,ESTABLSHED ensemble pour autoriser le > retour des connections de l'internet commencé dans l'intranet. > > par exemple: > iptables -A FORWARD -m state --state RELATED,ESTABLISHED -i ppp0 -j ACCEPT > iptables -A FORWARD -m state --state NEW,RELATED,ESTABLISHED -o ppp0 -j ACCEPT > > la seconde assure la sortie vers le net, la première accepte les retours. -- G. De Leeuw IT Manager Eurofer ASBL 211, rue du noyer 1000 Brussels email: mailto:[EMAIL PROTECTED] www : http://www.eurofer.org Phone : +32 2 738 79 40 Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
C'est cool de lire des howto comme cela a cette heure :-)) C'est vraiment bien expliqué ! A+ Guy Le ven 06/06/2003 à 16:34, Olivier Thauvin a écrit : > Le Vendredi 06 Juin 2003 19:58, AMORE Rosaire a écrit : > > > iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT > > > (comme ça ce n'est pas la peine de gérer les retours de connexion) > > > > Bon, là ça va, sauf que je ne pige pas très bien pourquoi on ne rajoute > > pas l'état "NEW". > > Je vais t'expliquer vite fais la différence entre NEW, RELATED, et ESTABLSHED: > > J'etablie une connection quelle qu'elle soit en tcp: > Avant le connection est NEW ou INVALID, en fait innexistante. > > client -> serveur "coucou" passerelle: NEW > serveur -> client "re coucou" passerelle: RELATED > client -> serveur "ok alors on cause!": RELATED passe à ESTABLSHED > > (jusque là c'est les flags tcp qui jouent) > > client -> serveur "je voudrais te causer d'un truc" passerelle: ESTABLISHED > serveur -> client "dis moi tout mon amour" passerelle: ESTABLISHED > ... > > client -> serveur "bye" passerelle: ESTABLISHED -> connection innexistante > donc NEW, ou INVALID. > > Je caricature, mais c'est comme ça que ça marche. > A partir de là souvent on NEW,INVALID ensemble pour jeter les connections non > désirées de l'internet. On met RELATED,ESTABLSHED ensemble pour autoriser le > retour des connections de l'internet commencé dans l'intranet. > > par exemple: > iptables -A FORWARD -m state --state RELATED,ESTABLISHED -i ppp0 -j ACCEPT > iptables -A FORWARD -m state --state NEW,RELATED,ESTABLISHED -o ppp0 -j ACCEPT > > la seconde assure la sortie vers le net, la première accepte les retours. -- G. De Leeuw IT Manager Eurofer ASBL 211, rue du noyer 1000 Brussels email: mailto:[EMAIL PROTECTED] www : http://www.eurofer.org Phone : +32 2 738 79 40 Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Le Vendredi 06 Juin 2003 19:58, AMORE Rosaire a écrit : > > iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT > > (comme ça ce n'est pas la peine de gérer les retours de connexion) > > Bon, là ça va, sauf que je ne pige pas très bien pourquoi on ne rajoute > pas l'état "NEW". Je vais t'expliquer vite fais la différence entre NEW, RELATED, et ESTABLSHED: J'etablie une connection quelle qu'elle soit en tcp: Avant le connection est NEW ou INVALID, en fait innexistante. client -> serveur "coucou" passerelle: NEW serveur -> client "re coucou" passerelle: RELATED client -> serveur "ok alors on cause!": RELATED passe à ESTABLSHED (jusque là c'est les flags tcp qui jouent) client -> serveur "je voudrais te causer d'un truc" passerelle: ESTABLISHED serveur -> client "dis moi tout mon amour" passerelle: ESTABLISHED ... client -> serveur "bye" passerelle: ESTABLISHED -> connection innexistante donc NEW, ou INVALID. Je caricature, mais c'est comme ça que ça marche. A partir de là souvent on NEW,INVALID ensemble pour jeter les connections non désirées de l'internet. On met RELATED,ESTABLSHED ensemble pour autoriser le retour des connections de l'internet commencé dans l'intranet. par exemple: iptables -A FORWARD -m state --state RELATED,ESTABLISHED -i ppp0 -j ACCEPT iptables -A FORWARD -m state --state NEW,RELATED,ESTABLISHED -o ppp0 -j ACCEPT la seconde assure la sortie vers le net, la première accepte les retours. -- Linux pour Mac !? Enfin le moyen de transformer une pomme en véritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Apollonie Raffalli a écrit : Le Vendredi 6 Juin 2003 16:44, AMORE Rosaire a écrit : Salut J'ai le réseau suivant : une passerelle que je voudrais utiliser comme firewall avec un lan juste derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0. Je voudrais tout DROPper sauf : - accès à Internet depuis ma passerelle ou mon lan - accès depuis n'importe où par ssh. J'ai construit les règles suivantes en m'inspirant du iptables-Howto et du tutorial de lea. Ca marche depuis ma passerelle mais rien depuis mon lan (bien configuré, car, sans les règles iptables, j'arrive bien sur internet). C'est normal, il faut utiliser la chaîne FORWARD pour tout ce qui doit traverser la passerelle. C'est très bien expliqué sur le site de Christian Caleca : http://christian.caleca.free.fr/netfilter.html Merci pour le lien (vraiment super!) Il faut rajouter un "truc" de ce genre là : iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT (comme ça ce n'est pas la peine de gérer les retours de connexion) Bon, là ça va, sauf que je ne pige pas très bien pourquoi on ne rajoute pas l'état "NEW". iptables -A FORWARD -o ppp0--protocol tcp --destination-port 53 -j ACCEPT iptables -A FORWARD -o ppp0--protocol udp --destination-port 53 -j ACCEPT iptables -A FORWARD -o ppp0 protocol tcp --destination-port 80 -j ACCEPT Là aussi : OK. Du coup, j'ai rajouté les FORWARD en udp et tcp pour pop et smtp : du coup ça fonctionne mieux. Si le serveur ssh est sur la passerelle la chaîne INPUT suffit : iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT Ben ... là, y'a pas moyen. J'arrive pas à passer. Je fais le test à partir de mon lan. Je finis tjs en "time out" après ~1mn. Sur la passerelle elle-même, ça roule : sshd fonctionne. Et echo 1 > /proc/sys/net/ipv4/ip_forward Ca c'était fait Rosaire Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Sympa Touch13! Mais je ne sais pas si t'as pigé que j'étais en train d'apprendre? Alors, ton script est bien ficelé apparement, mais pas trop pédagogique-débutant. Du reste, je viens de me rendre compte que j'ai envoyé ma demande d'info chez les confirmes. Je crois que je vais faire un tour chez debutant. Merci quand même!;-) Rosaire Touch13 a écrit : Le Vendredi 6 Juin 2003 16:44, AMORE Rosaire a écrit : Salut J'ai le réseau suivant : une passerelle que je voudrais utiliser comme firewall avec un lan juste derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0. Je voudrais tout DROPper sauf : - accès à Internet depuis ma passerelle ou mon lan - accès depuis n'importe où par ssh. J'ai construit les règles suivantes en m'inspirant du iptables-Howto et du tutorial de lea. Ca marche depuis ma passerelle mais rien depuis mon lan (bien configuré, car, sans les règles iptables, j'arrive bien sur internet). = iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -nL# verif iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -nL iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -nL iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -nL #iptables -A INPUT --protocol tcp --source-port 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT --protocol tcp --source-port 22 -j ACCEPT iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE = Une idée? Rosaire Les règles INPUT et OUTPUT ne gèrent que les paquets entrants et sortants de la machine concernée. Pour traiter les paquets en transit par le 'firewall' la règle concernée est 'FORWARD'. Cependant pour que cela fonctionne il activer le routage. Voici un exemple de qui fonctionne en production: # Path to IPTABLES executable IPTABLES=/usr/sbin/iptables # Définition des interfaces I_Ext=ppp0 I_Int=eth1 # Définition des réseaux Res_Int=192.168.0.0/24 Res_Ext=0.0.0.0/24 # Adresses IP des serveurs IP_Routeur=192.168.0.254 IP_Frw_Int=192.168.0.254 IP_Frw_Ext=`ifconfig $I_Ext | grep inet | cut -d : -f2 | cut -d ' ' -f1` # Définition des ports Port_Dns=53 Port_Pop3=110 Port_Smtp=25 Port_Http=80 Port_Ssh=22 # Configuration du noyau echo echo " -" echo " -- Application des règles du firewall" echo " -" # --- Ignorer les messages ICMP buggés (RFC 1122) # --- if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ]; then echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo " - 1 - Ignorer les messages ICMP buggés [OK]" else echo " - 1 - Ignorer les messages ICMP buggés [FAILED]" fi # --- Activation de la redirection des paquets. # - if [ -e /proc/sys/net/ipv4/ip_forward ]; then echo "1" > /proc/sys/net/ipv4/ip_forward echo " - 2 - Activation de l'IP Forwarding [OK]" else echo " - 2 - Activation de l'IP Forwarding [FAILED]" fi # --- Ne pas accepter les redirections ICMP. # -- # Désactivation sur toutes les insterfaces. # if [ -e /proc/sys/net/ipv4/conf/all/accept_redirects ]; then # echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects # fi # Désactivation seulement sur l'interface externe. if [ -e /proc/sys/net/ipv4/conf/$I_Ext/accept_redirects ]; then echo "0" > /proc/sys/net/ipv4/conf/$I_Ext/accept_redirects echo " - 3 - Désactivation des redirections ICMP [OK]" else echo " - 3 - Désactivation des redirections ICMP [FAILED]" fi # --- Log des packets avec des adresses impossibles dans le systèmes de log. # -- if [ -e /proc/sys/net/ipv4/conf/$I_Ext/log_martians ]; then echo "1" > /proc/sys/net/ipv4/conf/$I_Ext/log_martians echo " - 4 - Log des adresses impossibles [OK]" else echo " - 4 - Log des adresses impossibles [FAILED]" fi # --- Ignore les requêtes broadcast d'écho ICMP. # -- if [ -e /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts ]; then echo "1" > /proc/sys/net
Re: [Confirme] iptables
Le Vendredi 6 Juin 2003 16:44, AMORE Rosaire a écrit : > Salut > J'ai le réseau suivant : > une passerelle que je voudrais utiliser comme firewall avec un lan juste > derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0. > Je voudrais tout DROPper sauf : > - accès à Internet depuis ma passerelle ou mon lan > - accès depuis n'importe où par ssh. > J'ai construit les règles suivantes en m'inspirant du iptables-Howto et > du tutorial de lea. > Ca marche depuis ma passerelle mais rien depuis mon lan (bien configuré, > car, sans les règles iptables, j'arrive bien sur internet). > = > iptables -F INPUT > iptables -F OUTPUT > iptables -F FORWARD > iptables -nL # verif > iptables -P INPUT ACCEPT > iptables -P OUTPUT ACCEPT > iptables -P FORWARD ACCEPT > iptables -nL > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > iptables -nL > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT > iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT > iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state > --state ESTABLISHED -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state > --state NEW,ESTABLISHED -j ACCEPT > iptables -nL > #iptables -A INPUT --protocol tcp --source-port 22 -m state --state > NEW,ESTABLISHED -j ACCEPT > iptables -A INPUT --protocol tcp --source-port 22 -j ACCEPT > iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE > = > Une idée? > Rosaire Les règles INPUT et OUTPUT ne gèrent que les paquets entrants et sortants de la machine concernée. Pour traiter les paquets en transit par le 'firewall' la règle concernée est 'FORWARD'. Cependant pour que cela fonctionne il activer le routage. Voici un exemple de qui fonctionne en production: # Path to IPTABLES executable IPTABLES=/usr/sbin/iptables # Définition des interfaces I_Ext=ppp0 I_Int=eth1 # Définition des réseaux Res_Int=192.168.0.0/24 Res_Ext=0.0.0.0/24 # Adresses IP des serveurs IP_Routeur=192.168.0.254 IP_Frw_Int=192.168.0.254 IP_Frw_Ext=`ifconfig $I_Ext | grep inet | cut -d : -f2 | cut -d ' ' -f1` # Définition des ports Port_Dns=53 Port_Pop3=110 Port_Smtp=25 Port_Http=80 Port_Ssh=22 # Configuration du noyau echo echo " -" echo " -- Application des règles du firewall" echo " -" # --- Ignorer les messages ICMP buggés (RFC 1122) # --- if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ]; then echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo " - 1 - Ignorer les messages ICMP buggés [OK]" else echo " - 1 - Ignorer les messages ICMP buggés [FAILED]" fi # --- Activation de la redirection des paquets. # - if [ -e /proc/sys/net/ipv4/ip_forward ]; then echo "1" > /proc/sys/net/ipv4/ip_forward echo " - 2 - Activation de l'IP Forwarding [OK]" else echo " - 2 - Activation de l'IP Forwarding [FAILED]" fi # --- Ne pas accepter les redirections ICMP. # -- # Désactivation sur toutes les insterfaces. # if [ -e /proc/sys/net/ipv4/conf/all/accept_redirects ]; then # echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects # fi # Désactivation seulement sur l'interface externe. if [ -e /proc/sys/net/ipv4/conf/$I_Ext/accept_redirects ]; then echo "0" > /proc/sys/net/ipv4/conf/$I_Ext/accept_redirects echo " - 3 - Désactivation des redirections ICMP [OK]" else echo " - 3 - Désactivation des redirections ICMP [FAILED]" fi # --- Log des packets avec des adresses impossibles dans le systèmes de log. # -- if [ -e /proc/sys/net/ipv4/conf/$I_Ext/log_martians ]; then echo "1" > /proc/sys/net/ipv4/conf/$I_Ext/log_martians echo " - 4 - Log des adresses impossibles [OK]" else echo " - 4 - Log des adresses impossibles [FAILED]" fi # --- Ignore les requêtes broadcast d'écho ICMP. # -- if [ -e /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts ]; then echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo " - 5 - Ignore les requêtes broadcast d'écho ICMP [OK]" else echo " - 5 - Ignore les requêtes broadcast d'écho ICMP [FAILED]" fi # --- Vérification de la provenance des paquets, et détruit ceux
Re: [Confirme] iptables
Le Vendredi 6 Juin 2003 16:44, AMORE Rosaire a écrit : > Salut > J'ai le réseau suivant : > une passerelle que je voudrais utiliser comme firewall avec un lan juste > derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0. > Je voudrais tout DROPper sauf : > - accès à Internet depuis ma passerelle ou mon lan > - accès depuis n'importe où par ssh. > J'ai construit les règles suivantes en m'inspirant du iptables-Howto et > du tutorial de lea. > Ca marche depuis ma passerelle mais rien depuis mon lan (bien configuré, > car, sans les règles iptables, j'arrive bien sur internet). C'est normal, il faut utiliser la chaîne FORWARD pour tout ce qui doit traverser la passerelle. C'est très bien expliqué sur le site de Christian Caleca : http://christian.caleca.free.fr/netfilter.html Il faut rajouter un "truc" de ce genre là : iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT (comme ça ce n'est pas la peine de gérer les retours de connexion) iptables -A FORWARD -o ppp0--protocol tcp --destination-port 53 -j ACCEPT iptables -A FORWARD -o ppp0--protocol udp --destination-port 53 -j ACCEPT iptables -A FORWARD -o ppp0 protocol tcp --destination-port 80 -j ACCEPT Si le serveur ssh est sur la passerelle la chaîne INPUT suffit : iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT Et echo 1 > /proc/sys/net/ipv4/ip_forward au cas où le noyau n'autoriserait pas le routage par défaut ; mais le problème ne doit pas provenir de là puisque si le firewall n'est pas activé le réseau local accède à Internet ! > = > iptables -F INPUT > iptables -F OUTPUT > iptables -F FORWARD > iptables -nL # verif > iptables -P INPUT ACCEPT > iptables -P OUTPUT ACCEPT > iptables -P FORWARD ACCEPT > iptables -nL > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > iptables -nL > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT > iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT > iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state > --state ESTABLISHED -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state > --state NEW,ESTABLISHED -j ACCEPT > iptables -nL > #iptables -A INPUT --protocol tcp --source-port 22 -m state --state > NEW,ESTABLISHED -j ACCEPT > iptables -A INPUT --protocol tcp --source-port 22 -j ACCEPT > iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE > = > Une idée? > Rosaire -- Cordialement, Apollonie Raffalli [EMAIL PROTECTED] Lycée Laetitia Bonaparte Ajaccio http://btsig-llb.homelinux.com Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Le Vendredi 06 Juin 2003 16:44, AMORE Rosaire a écrit : > Salut > J'ai le réseau suivant : > une passerelle que je voudrais utiliser comme firewall avec un lan juste > derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0. > Je voudrais tout DROPper sauf : > - accès à Internet depuis ma passerelle ou mon lan > - accès depuis n'importe où par ssh. > J'ai construit les règles suivantes en m'inspirant du iptables-Howto et > du tutorial de lea. > Ca marche depuis ma passerelle mais rien depuis mon lan (bien configuré, > car, sans les règles iptables, j'arrive bien sur internet). > = > iptables -F INPUT > iptables -F OUTPUT > iptables -F FORWARD > iptables -nL # verif > iptables -P INPUT ACCEPT > iptables -P OUTPUT ACCEPT > iptables -P FORWARD ACCEPT > iptables -nL > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > iptables -nL > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT > iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT > iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state > --state ESTABLISHED -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state > --state NEW,ESTABLISHED -j ACCEPT > iptables -nL > #iptables -A INPUT --protocol tcp --source-port 22 -m state --state > NEW,ESTABLISHED -j ACCEPT > iptables -A INPUT --protocol tcp --source-port 22 -j ACCEPT > iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE > = > Une idée? Tu met DROP comme règle par défaut à FORWARD, mais tes règle ne concerne que l'INPUT ou L'OUTPUT, il faut que tu rajoute les autorisations pour FORWARD, ie les paquets qui ne font que transiter par le passerelle. > Rosaire -- Linux pour Mac !? Enfin le moyen de transformer une pomme en véritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] iptables
Salut J'ai le réseau suivant : une passerelle que je voudrais utiliser comme firewall avec un lan juste derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0. Je voudrais tout DROPper sauf : - accès à Internet depuis ma passerelle ou mon lan - accès depuis n'importe où par ssh. J'ai construit les règles suivantes en m'inspirant du iptables-Howto et du tutorial de lea. Ca marche depuis ma passerelle mais rien depuis mon lan (bien configuré, car, sans les règles iptables, j'arrive bien sur internet). = iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -nL # verif iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -nL iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -nL iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -nL #iptables -A INPUT --protocol tcp --source-port 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT --protocol tcp --source-port 22 -j ACCEPT iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE = Une idée? Rosaire Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Olivier Mansour ([EMAIL PROTECTED]) wrote: > Bonjour > > je cherche à n'autoriser que le ftp sur mon serveur > > je fais dans mon scrip iptable : > > IPTABLES=/sbin/iptables > > /sbin/modprobe ip_conntrack_ftp > /sbin/modprobe iptable_filter > $IPTABLES -P INPUT DROP > $IPTABLES -P OUTPUT ACCEPT > $IPTABLES -P FORWARD ACCEPT > # la boucle locale > $IPTABLES -A INPUT -i lo -j ACCEPT > $IPTABLES -A OUTPUT -o lo -j ACCEPT > $IPTABLES -A INPUT -i eth0 --protocol tcp --destination-port 21 -j ACCEPT > $IPTABLES -A INPUT -i ethO --protocol tcp --destination-port ftp-data -j > ACCEPT > > mais rien ne passe en FTP :-( > > ou est mon erreur ? > tu dois d'abord, il faut charger le module : ip_conntrack_ftp (mais ca tu le fais). Et, si tu fais du nat : ip_nat_ftp. Ensuite: iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT Cela pour que la connection puisse s'établir. Ensuite (et c'est la qu'on a besoin de ip_conntrack_ftp) : iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT Pour que serveur puisse établir la connection pour les données (en mode actif). Et enfin : iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT -- Regards/Cordialement Iomeda SA ([EMAIL PROTECTED]) Christophe Lucas -- Developpeur/Administrateur GNU/Linux Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] iptables
Bonjour je cherche à n'autoriser que le ftp sur mon serveur je fais dans mon scrip iptable : IPTABLES=/sbin/iptables /sbin/modprobe ip_conntrack_ftp /sbin/modprobe iptable_filter $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD ACCEPT # la boucle locale $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT $IPTABLES -A INPUT -i eth0 --protocol tcp --destination-port 21 -j ACCEPT $IPTABLES -A INPUT -i ethO --protocol tcp --destination-port ftp-data -j ACCEPT mais rien ne passe en FTP :-( ou est mon erreur ? -- Olivier Mansour service Informatique AIRPARIF www.airparif.asso.fr Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] iptables -m string
Bonjour à tous, J'aimerais faire du filtrage sur des chaines de caractères, grâce au patch string d'iptables. Mon problème est que je n'arrive pas à fltrer les paquets qui ne contiennent pas ma chaine de caractère ou à autoriser ceux qui la contiennent. iptables -A input -p tcp --dport 80 -m string --string "toto" -j DROP fonctionne iptables -A input -p tcp --dport 80 -m string --string ! "toto" -j DROP ne fonctionne pas iptables -A input -p tcp --dport 80 -m string --string "toto" -j ACCEPTne fonctionne pas Est ce que quelqu'un à des infos à ce sujet ? Merci beaucoup. Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: RE : [Confirme] iptables
Le Samedi 18 Janvier 2003 17:03, De Leeuw Guy a écrit : > Salut, merci pour ta réponse, > > En fait le but de ma question etait non pas de faire une résolution dns > mais > > de router les paquets entrants en fonction du nom de domaine car je n'ai > qu'une seule adresse publique. > par exemple si le nom de domaine est : > www1.eurofer.be alors router vers l'adresse ip 192.168.X.1 > www2.eurofer.be alors router vers l'adresse ip 192.168.X.2 > > Est-ce possible ? Non, parce les noms de domaines au niveau HTTP ne sont pas traité par la couche ip, cela ne peut se faire qu'avec une application de haut niveau: proxy, ou serveur web en redirection. (l'élaboration d'un module iptable serais possible, bien sûr, mais très gourmant en cpu par rapport au filtrage ip, et hors contexte normal iptable). > > Guy > > > -Original Message- > > From: [EMAIL PROTECTED] > > [mailto:[EMAIL PROTECTED]] On Behalf Of > > Olivier Thauvin > > Sent: Friday, January 17, 2003 6:52 PM > > To: [EMAIL PROTECTED]; De Leeuw Guy > > Subject: Re: [Confirme] iptables > > > > > > oui et non, iptables autorise la syntaxe avec un hostname, > > mais travaille > > uniquement au niveau IP. > > > > T'imagine s'il fallait pour chaque packet faire une requète > > DNS ? Je pense au > > réseau à 100 mbits et plus surtout, avec 4 ou 5 cartes réseau... > > > > Le Jeudi 19 Décembre 2002 10:56, De Leeuw Guy a écrit : > > > Bonjour a tous, > > > > > > est il possible avec iptables de router un port en fonction du > > > hostname : > > > > > > iptables -t nat -A PREROUTING -p tcp -d --d > > > host1.reseau.net --dport 80\ > > > -J DNAT --to-destination > > > > > > iptables -t nat -A PREROUTING -p tcp -d --d > > > host2.reseau.net --dport 80\ > > > -J DNAT --to-destination > > > > > > > > > Merci d'avance, > > > Guy > > > > -- > > Linux pour Mac !? Enfin le moyen de transformer > > une pomme en véritable ordinateur. - JL. > > Olivier Thauvin - http://nanardon.homelinux.org/ -- Linux pour Mac !? Enfin le moyen de transformer une pomme en véritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
RE : [Confirme] iptables
Salut, merci pour ta réponse, En fait le but de ma question etait non pas de faire une résolution dns mais de router les paquets entrants en fonction du nom de domaine car je n'ai qu'une seule adresse publique. par exemple si le nom de domaine est : www1.eurofer.be alors router vers l'adresse ip 192.168.X.1 www2.eurofer.be alors router vers l'adresse ip 192.168.X.2 Est-ce possible ? Guy > -Original Message- > From: [EMAIL PROTECTED] > [mailto:[EMAIL PROTECTED]] On Behalf Of > Olivier Thauvin > Sent: Friday, January 17, 2003 6:52 PM > To: [EMAIL PROTECTED]; De Leeuw Guy > Subject: Re: [Confirme] iptables > > > oui et non, iptables autorise la syntaxe avec un hostname, > mais travaille > uniquement au niveau IP. > > T'imagine s'il fallait pour chaque packet faire une requète > DNS ? Je pense au > réseau à 100 mbits et plus surtout, avec 4 ou 5 cartes réseau... > > Le Jeudi 19 Décembre 2002 10:56, De Leeuw Guy a écrit : > > Bonjour a tous, > > > > est il possible avec iptables de router un port en fonction du > > hostname : > > > > iptables -t nat -A PREROUTING -p tcp -d --d > > host1.reseau.net --dport 80\ > > -J DNAT --to-destination > > > > iptables -t nat -A PREROUTING -p tcp -d --d > > host2.reseau.net --dport 80\ > > -J DNAT --to-destination > > > > > > Merci d'avance, > > Guy > > -- > Linux pour Mac !? Enfin le moyen de transformer > une pomme en véritable ordinateur. - JL. > Olivier Thauvin - http://nanardon.homelinux.org/ > > <>Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
oui et non, iptables autorise la syntaxe avec un hostname, mais travaille uniquement au niveau IP. T'imagine s'il fallait pour chaque packet faire une requète DNS ? Je pense au réseau à 100 mbits et plus surtout, avec 4 ou 5 cartes réseau... Le Jeudi 19 Décembre 2002 10:56, De Leeuw Guy a écrit : > Bonjour a tous, > > est il possible avec iptables de router un port en fonction du hostname : > > iptables -t nat -A PREROUTING -p tcp -d --d > host1.reseau.net --dport 80\ > -J DNAT --to-destination > > iptables -t nat -A PREROUTING -p tcp -d --d > host2.reseau.net --dport 80\ > -J DNAT --to-destination > > > Merci d'avance, > Guy -- Linux pour Mac !? Enfin le moyen de transformer une pomme en véritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] iptables
Bonjour a tous, est il possible avec iptables de router un port en fonction du hostname : iptables -t nat -A PREROUTING -p tcp -d --d host1.reseau.net --dport 80\ -J DNAT --to-destination iptables -t nat -A PREROUTING -p tcp -d --d host2.reseau.net --dport 80\ -J DNAT --to-destination Merci d'avance, Guy Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] Re: [Confirme] iptables : filtrage accès netbios
Réponse indirecte : Essaie l'outil firestarter qui te permet mettre en oeuvre les IPTABLES de maniere graphique http://firestarter.sourceforge.net/ Bon courage - Original Message - From: "cc" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Thursday, November 07, 2002 9:18 PM Subject: [Confirme] iptables : filtrage accès netbios > Salut à tous, > j'utilise samba pour partager des ressources disque pour un poste win. > Partage rw, sans mot de passe (c'est très mal, je sais). > Pour limiter les dégats en attendant de gérer mieux ces partages, je > voudrais interdire l'accès depuis l'extérieur de mon réseau local > (donc depuis internet) l'accès à certains ports (notamment ceux > utilisés par netbios, 139 par exemple). Idem pour nfs. > J'ai lu la doc d'iptables mais je suis trop nul pour écrire des > règles qui marchent. > Quelqu'un a-t-il ça sous la main (même pour d'autres ports) : bloquer > certains ports depuis l'extérieur (ou tout interdire et n'autoriser > que les accès intérieurs), tout cela en y incluant le partage de > connexion (masquerade). > Ou alors un lien sur une doc pour débutants dans ce domaine ? > Merci par avance > CC > > > Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? > Rendez-vous sur "http://www.mandrakestore.com"; > Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] iptables : filtrage accès netbios
Salut à tous, j'utilise samba pour partager des ressources disque pour un poste win. Partage rw, sans mot de passe (c'est très mal, je sais). Pour limiter les dégats en attendant de gérer mieux ces partages, je voudrais interdire l'accès depuis l'extérieur de mon réseau local (donc depuis internet) l'accès à certains ports (notamment ceux utilisés par netbios, 139 par exemple). Idem pour nfs. J'ai lu la doc d'iptables mais je suis trop nul pour écrire des règles qui marchent. Quelqu'un a-t-il ça sous la main (même pour d'autres ports) : bloquer certains ports depuis l'extérieur (ou tout interdire et n'autoriser que les accès intérieurs), tout cela en y incluant le partage de connexion (masquerade). Ou alors un lien sur une doc pour débutants dans ce domaine ? Merci par avance CC Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Iptables .....
Le Lundi 1 Avril 2002 23:21, greg a écrit : > Joyeuses Paques à tous :) > > Parlons peu, parlons bien, je suis devant un petit problème . > Voici le topo: > 1) un certain nombre d'IP fixes à ma disposition > 2) un réseau local connecté à un nunux qui fait entre autre office de > passerelle. > 3) le entre autre est: HTTP, FTP etc . > Le problème est le suivant: > J'utilise une IP par service, donc je souhaites utiliser une IP pour tout > ce qui concerne le nat (on appellera ça IP2). > Ainsi toute machine du local utilisera IP2 pour le surf etc ... > Jusque là ça va .($IPTABLES -t nat -A POSTROUTING -o $EXTIF -j SNAT > --to $EXTIP2) > Mais apparemment, le NAT dénature aussi le reste, a savoir que le service > http de IP1 répond avec l'IP2 et de même pour le reste > Plutôt gênant non ? > Bref, comment faire pour que le nat utilise une IP particulière et que les > reste utilise l'IP qui lui est assignée ? > > > Heu ...je sais sais pas si je suis assez claire là > Merci quand même :) Je ne pense pas que ce soit iptables qui soit en cause, ta règle dit bien à iptables ne n'utiliser qu'un IP en sortie et que pour le routage (POSTROUTING). En fait il faut forcer les services à n'utiliser à ne répondre qu'à une seule IP, et là ça dépend des services: Pour httpd, dans httpd.conf (ou un des autres fichiers de config) la directive `LISTEN' pourra t'aider, regarde aussi `UseCanonicalName' pour qu'il reconstruive les directives vers la bonnes adresse. Pour le FTP, ça dépends, proftpd est plus simple à configuré que wu-ftpd. Voilà, voilà. Bon courage. -- Linux pour Mac !? Enfin le moyen de transformer une pomme en véritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] Iptables .....
Joyeuses Paques à tous :) Parlons peu, parlons bien, je suis devant un petit problème . Voici le topo: 1) un certain nombre d'IP fixes à ma disposition 2) un réseau local connecté à un nunux qui fait entre autre office de passerelle. 3) le entre autre est: HTTP, FTP etc . Le problème est le suivant: J'utilise une IP par service, donc je souhaites utiliser une IP pour tout ce qui concerne le nat (on appellera ça IP2). Ainsi toute machine du local utilisera IP2 pour le surf etc ... Jusque là ça va .($IPTABLES -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP2) Mais apparemment, le NAT dénature aussi le reste, a savoir que le service http de IP1 répond avec l'IP2 et de même pour le reste Plutôt gênant non ? Bref, comment faire pour que le nat utilise une IP particulière et que les reste utilise l'IP qui lui est assignée ? Heu ...je sais sais pas si je suis assez claire là Merci quand même :) Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables et 2.4.12
Chez moi iptable fonctionne si tu fais un rmmod ipfilter avant ! ou est-ce rmmod ip... en tout cas, il semble que mandrake a laisse pour compatibilite l'ancien module des noyaux 2.2 actif par defaut (je les ais enlever des l'install... donc je me rappelle plus... voir dans /etc/modules.conf si il n'y as pas une ligne a enlever... mais c'est sur qu'il faut l'enlever.. si ce n'est pas dans un des outils de demarrage des services) desoler de ne pas etre plus precis... j'avais installer mandrake la journee de sa sortie sur mon router(p133) et j'avais eu ces difficulte ... comme je n'avais pas installer les sources sur ce pc (imaginez compiler un noyau sur un p133) je n'ai pas eu a recompiler le kernel, mais qu'a le configurer ! -Denis le mar 23-10-2001 à 17:35, Bruno Pinaud a écrit : > salut à tous, > Depuis hier que j'ai ADSL (enfin :), j'essayes de faire fonctionner iptables. > J'ai une mdk 8.1 avec un kernel 2.4.12 et iptables v1.2.3 pris sur cooker. > voici le message d'erreur : > [root@burno /home/bruno]# iptables -L > /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol > nf_unregister_sockopt > /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol > nf_register_sockopt > /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o: insmod > /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o failed > /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables > failed > iptables v1.2.3: can't initialize iptables table `filter': iptables who? (do > you need to insmod?) > Perhaps iptables or your kernel needs to be upgraded. > > J'ai regardé rapidement les sources du kernel, et il y a une fonction > nf_register_sockopt déclaré dans netfilter.c, mais ce fichier est bien > compilé. Qu'est ce que j'ai oublié ? > > -- > Bruno Pinaud > Ecole Polytechnique de l'Université de Nantes > Dept. SILR > > > > Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? > Rendez-vous sur "http://www.mandrakestore.com"; Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com"; Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables et 2.4.12
ben oui il faut. En attachement la config de mon kernel Le Mardi 23 Octobre 2001 23:55, [EMAIL PROTECTED] a écrit : > Normalement faut pas se recompiler un kernel avec l'option filtre de packet > ? (juste une idée) > > On Tue, 23 Oct 2001, Bruno Pinaud wrote: > > salut à tous, > > Depuis hier que j'ai ADSL (enfin :), j'essayes de faire fonctionner > > iptables. J'ai une mdk 8.1 avec un kernel 2.4.12 et iptables v1.2.3 pris > > sur cooker. voici le message d'erreur : > > [root@burno /home/bruno]# iptables -L > > /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o: unresolved > > symbol nf_unregister_sockopt > > /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o: unresolved > > symbol nf_register_sockopt > > /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o: insmod > > /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o failed > > /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o: insmod > > ip_tables failed > > iptables v1.2.3: can't initialize iptables table `filter': iptables who? > > (do you need to insmod?) > > Perhaps iptables or your kernel needs to be upgraded. > > > > J'ai regardé rapidement les sources du kernel, et il y a une fonction > > nf_register_sockopt déclaré dans netfilter.c, mais ce fichier est bien > > compilé. Qu'est ce que j'ai oublié ? > > (Ireste ? :-) oui ! -- Bruno Pinaud Ecole Polytechnique de l'Université de Nantes Dept. SILR # # Automatically generated make config: don't edit # CONFIG_X86=y CONFIG_ISA=y # CONFIG_SBUS is not set CONFIG_UID16=y # # Code maturity level options # CONFIG_EXPERIMENTAL=y # # Loadable module support # CONFIG_MODULES=y CONFIG_MODVERSIONS=y CONFIG_KMOD=y # # Processor type and features # # CONFIG_M386 is not set # CONFIG_M486 is not set # CONFIG_M586 is not set # CONFIG_M586TSC is not set # CONFIG_M586MMX is not set # CONFIG_M686 is not set CONFIG_MPENTIUMIII=y # CONFIG_MPENTIUM4 is not set # CONFIG_MK6 is not set # CONFIG_MK7 is not set # CONFIG_MCRUSOE is not set # CONFIG_MWINCHIPC6 is not set # CONFIG_MWINCHIP2 is not set # CONFIG_MWINCHIP3D is not set # CONFIG_MCYRIXIII is not set CONFIG_X86_WP_WORKS_OK=y CONFIG_X86_INVLPG=y CONFIG_X86_CMPXCHG=y CONFIG_X86_XADD=y CONFIG_X86_BSWAP=y CONFIG_X86_POPAD_OK=y # CONFIG_RWSEM_GENERIC_SPINLOCK is not set CONFIG_RWSEM_XCHGADD_ALGORITHM=y CONFIG_X86_L1_CACHE_SHIFT=5 CONFIG_X86_TSC=y CONFIG_X86_GOOD_APIC=y CONFIG_X86_PGE=y CONFIG_X86_USE_PPRO_CHECKSUM=y # CONFIG_TOSHIBA is not set CONFIG_MICROCODE=y CONFIG_X86_MSR=y CONFIG_X86_CPUID=y CONFIG_NOHIGHMEM=y # CONFIG_HIGHMEM4G is not set # CONFIG_HIGHMEM64G is not set # CONFIG_MATH_EMULATION is not set CONFIG_MTRR=y # CONFIG_SMP is not set CONFIG_X86_UP_APIC=y CONFIG_X86_UP_IOAPIC=y CONFIG_X86_LOCAL_APIC=y CONFIG_X86_IO_APIC=y # # General setup # CONFIG_NET=y CONFIG_PCI=y # CONFIG_PCI_GOBIOS is not set # CONFIG_PCI_GODIRECT is not set CONFIG_PCI_GOANY=y CONFIG_PCI_BIOS=y CONFIG_PCI_DIRECT=y CONFIG_PCI_NAMES=y # CONFIG_EISA is not set # CONFIG_MCA is not set CONFIG_HOTPLUG=y # # PCMCIA/CardBus support # # CONFIG_PCMCIA is not set CONFIG_SYSVIPC=y CONFIG_BSD_PROCESS_ACCT=y CONFIG_SYSCTL=y CONFIG_KCORE_ELF=y # CONFIG_KCORE_AOUT is not set CONFIG_BINFMT_AOUT=m CONFIG_BINFMT_ELF=y # CONFIG_BINFMT_MISC is not set CONFIG_PM=y CONFIG_ACPI=y # CONFIG_ACPI_DEBUG is not set CONFIG_ACPI_BUSMGR=y CONFIG_ACPI_SYS=y CONFIG_ACPI_CPU=y CONFIG_ACPI_BUTTON=y # CONFIG_ACPI_AC is not set # CONFIG_ACPI_EC is not set # CONFIG_APM is not set # # Memory Technology Devices (MTD) # # CONFIG_MTD is not set # # Parallel port support # CONFIG_PARPORT=m CONFIG_PARPORT_PC=m CONFIG_PARPORT_PC_FIFO=y CONFIG_PARPORT_PC_SUPERIO=y # CONFIG_PARPORT_AMIGA is not set # CONFIG_PARPORT_MFC3 is not set # CONFIG_PARPORT_ATARI is not set # CONFIG_PARPORT_SUNBPP is not set # CONFIG_PARPORT_OTHER is not set # CONFIG_PARPORT_1284 is not set # # Plug and Play configuration # CONFIG_PNP=y # CONFIG_ISAPNP is not set CONFIG_PNPBIOS=y # # Block devices # CONFIG_BLK_DEV_FD=y # CONFIG_BLK_DEV_XD is not set # CONFIG_PARIDE is not set # CONFIG_BLK_CPQ_DA is not set # CONFIG_BLK_CPQ_CISS_DA is not set # CONFIG_BLK_DEV_DAC960 is not set CONFIG_BLK_DEV_LOOP=m # CONFIG_BLK_DEV_NBD is not set # CONFIG_BLK_DEV_RAM is not set # # Multi-device support (RAID and LVM) # # CONFIG_MD is not set # # Networking options # CONFIG_PACKET=y CONFIG_PACKET_MMAP=y CONFIG_NETLINK=y # CONFIG_RTNETLINK is not set CONFIG_NETLINK_DEV=y CONFIG_NETFILTER=y # CONFIG_NETFILTER_DEBUG is not set # CONFIG_FILTER is not set CONFIG_UNIX=y CONFIG_INET=y # CONFIG_IP_MULTICAST is not set # CONFIG_IP_ADVANCED_ROUTER is not set # CONFIG_IP_PNP is not set # CONFIG_NET_IPIP is not set # CONFIG_NET_IPGRE is not set # CONFIG_INET_ECN is not set CONFIG_SYN_COOKIES=y # # IP: Netfilter Configuration # CONFIG_IP_NF_CONNTRACK=m CONFIG_IP_NF_FTP=m # CONFIG_IP_NF_QUEUE is not set CONFIG_IP_NF_IPTABLES=m CONFIG_IP_NF_MATCH_LIMIT=m CONFIG_IP_NF_MATCH_MAC=m CONFIG_IP_NF_MATCH_MARK=m CONFIG_IP_NF_MATCH_MULTIPORT=m CONFIG_IP_N
Re: [Confirme] iptables et 2.4.12
Normalement faut pas se recompiler un kernel avec l'option filtre de packet ? (juste une idée) On Tue, 23 Oct 2001, Bruno Pinaud wrote: > salut à tous, > Depuis hier que j'ai ADSL (enfin :), j'essayes de faire fonctionner iptables. > J'ai une mdk 8.1 avec un kernel 2.4.12 et iptables v1.2.3 pris sur cooker. > voici le message d'erreur : > [root@burno /home/bruno]# iptables -L > /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol > nf_unregister_sockopt > /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol > nf_register_sockopt > /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o: insmod > /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o failed > /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables > failed > iptables v1.2.3: can't initialize iptables table `filter': iptables who? (do > you need to insmod?) > Perhaps iptables or your kernel needs to be upgraded. > > J'ai regardé rapidement les sources du kernel, et il y a une fonction > nf_register_sockopt déclaré dans netfilter.c, mais ce fichier est bien > compilé. Qu'est ce que j'ai oublié ? > > (Ireste ? :-) -- Thomas Nagy DYSLEXICS OF THE WORLD, UNTIE! Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] iptables et 2.4.12
salut à tous, Depuis hier que j'ai ADSL (enfin :), j'essayes de faire fonctionner iptables. J'ai une mdk 8.1 avec un kernel 2.4.12 et iptables v1.2.3 pris sur cooker. voici le message d'erreur : [root@burno /home/bruno]# iptables -L /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_unregister_sockopt /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_register_sockopt /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o: insmod /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o failed /lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed iptables v1.2.3: can't initialize iptables table `filter': iptables who? (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. J'ai regardé rapidement les sources du kernel, et il y a une fonction nf_register_sockopt déclaré dans netfilter.c, mais ce fichier est bien compilé. Qu'est ce que j'ai oublié ? -- Bruno Pinaud Ecole Polytechnique de l'Université de Nantes Dept. SILR Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] Iptables 1. 2.2 - Netfilter - Noyau 2.4.6 - Mandk 8
Salut , Petit soucis avec Iptables : refaisasnt le réseau de la société , du moins le firewall , j'ai recompilé le noyau 2.4.3 en .6 avec mise en place dees modules Netfilter et etc . J'ai installé la version 1.2.2 d'Iptables. Le pb c'est lors du démarrage et du chargement des modules , il me met une erreur surement bete : pb de kernel ou de version du soft J'ai installé la seule version "stable" d'iptables .et j'ai recompilé la 2.4.3 , la .5 et la .6 et c tjs pareil !!! Quelqu'un a eu le pb ou encore une idée ?? Merci à tous Emmanuel
Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
On 26 Apr 2001 15:21:04 +0200, Christian Gennerat wrote: > happy a écrit : > > > Mais là où le problème me chiffone, c'est que pendant des semaines on > > m'avait prêté un portable, ma grosse bécane était firewallé avec du nat > > par-dessus (ct du 2.2 a l'époque). Je jouais sans problème a Quake2 sur > > le portable (Q3 et CS étant trop lourd ;-) ),sans compter l'IRC et le > > FTP qui marchaient impéc' (encore que je pense avoir eu du mal là > > dessus) et il me semble pas avoir eu besoin de toute cette attirail... > > OK la couche rézo a pas mal changé depuis, mais a ce point ??? > > > > La couche réseau, d'une part > ipchains -> iptables d'autre part > il y a un mode 'compatibilité' avec 'modprobe ipchains' > mais pour le FTP, c'est pas terrible. > > > En effet, justement, je tente l'experience de l'iptables, mais je ferais des essais avec une machine derrière pour voir si ca passe (*snif* j'ai rendu le petit portable tout mimi)...
Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
happy a écrit : > Mais là où le problème me chiffone, c'est que pendant des semaines on > m'avait prêté un portable, ma grosse bécane était firewallé avec du nat > par-dessus (ct du 2.2 a l'époque). Je jouais sans problème a Quake2 sur > le portable (Q3 et CS étant trop lourd ;-) ),sans compter l'IRC et le > FTP qui marchaient impéc' (encore que je pense avoir eu du mal là > dessus) et il me semble pas avoir eu besoin de toute cette attirail... > OK la couche rézo a pas mal changé depuis, mais a ce point ??? > La couche réseau, d'une part ipchains -> iptables d'autre part il y a un mode 'compatibilité' avec 'modprobe ipchains' mais pour le FTP, c'est pas terrible.
Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
On 26 Apr 2001 09:30:21 +0200, Christian Gennerat wrote: > jean-charles a écrit : > > salut a tous, . > Et merci à ceux qui répondent pour clamer leur ignorance > Calmos, c vrai, j'ai dit n'importe quoi, en plus j'ai mal compris la question, et j'étais pas dans mon état normale... OK la dessus Mais là où le problème me chiffone, c'est que pendant des semaines on m'avait prêté un portable, ma grosse bécane était firewallé avec du nat par-dessus (ct du 2.2 a l'époque). Je jouais sans problème a Quake2 sur le portable (Q3 et CS étant trop lourd ;-) ),sans compter l'IRC et le FTP qui marchaient impéc' (encore que je pense avoir eu du mal là dessus) et il me semble pas avoir eu besoin de toute cette attirail... OK la couche rézo a pas mal changé depuis, mais a ce point ??? (là c pacifique... chuis pas une brute du rezo, mais je pige sans trop de mal, quand je rentre pas dans un état pas possible ;-) ) __ c kewl l'irc ;-) je traine un peu partout #fragging-nights et #vertige sur kewl.org (souvent seul) #ocl-cs sur IRCnet #fantasia sur Voila/Wanadoo et tjrs sur DALnet mais sur des chans privés
Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
voila cela fonctionne maintenant il me manquais juste deux modules ip_conntrack_ftp et ip_conntrack_irc a quand un ip_nat_quake3 ?? :)) je suis de nouveau happy puis longue vie a mandrake - Original Message - From: "jean-charles" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Tuesday, April 24, 2001 5:12 PM Subject: [Confirme] iptables + ip_nat_ftp et ip_nat_irc > salut a tous, > je partage une connexion internet avec iptables que m a si gentillement > installé mandrake 8.0 ainsi qu un dhcp et un dns local je nai aucun probleme > quand je connect ma station windows sur le rezo elle recois bien une ip et > un host et se connect sur internet sans probleme > la ou cela ne marche plus c est quand j install les modules > ip_nat_ftp et ip_nat_irc on dirais que cela ne change rien > je n arrive pas a faire de dcc irc a travers le lan ni de ftp si ce n est en > mode passif... > pourtant cela marchais sans probleme avec ipchains et ip_masq_ftp ou > ip_masq_irc > quelqu un aurais t il une solution a me proposer?? > penser vous qu il est possible de regler ce probs avec des forward style > ipmasqadm?? > si oui un exemple please:)) > > voici les modules installés... > > Module Size Used by > af_packet 11280 2 (autoclean) > ppp_synctty 4816 0 (unused) > ppp_async 6160 1 > ppp_generic15968 3 [ppp_synctty ppp_async] > ip_nat_irc 3760 0 (unused) > ip_nat_ftp 3312 0 (unused) > autofs 9232 0 (autoclean) (unused) > ne2k-pci4512 1 (autoclean) > 83906112 0 (autoclean) [ne2k-pci] > via-rhine 9824 1 (autoclean) > iptable_filter 1696 0 (autoclean) (unused) > ipt_MASQUERADE 1104 1 (autoclean) > iptable_nat11616 2 [ip_nat_irc ip_nat_ftp ipt_MASQUERADE] > ip_conntrack 12096 1 [ip_nat_irc ip_nat_ftp ipt_MASQUERADE > iptable_nat] > ip_tables 10528 5 [iptable_filter ipt_MASQUERADE > iptable_nat] > supermount 32496 4 (autoclean) > > aussi le resultat de la commande iptables -L > > Chain INPUT (policy ACCEPT) > target prot opt source destination > ACCEPT udp -- anywhere anywhere udp spt:bootpc > dpt:bootps > ACCEPT tcp -- anywhere anywhere tcp spt:bootpc > dpt:bootps > ACCEPT udp -- anywhere anywhere udp spt:bootps > dpt:bootpc > ACCEPT tcp -- anywhere anywhere tcp spt:bootps > dpt:bootpc > ACCEPT udp -- anywhere anywhere udp dpt:domain > ACCEPT tcp -- anywhere anywhere tcp dpt:domain > > Chain FORWARD (policy ACCEPT) > target prot opt source destination > ACCEPT all -- 192.168.0.0/24 anywhere > > Chain OUTPUT (policy ACCEPT) > target prot opt source destination > > > >
Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
desolé de m'etre emporté mais je bute sur ce probleme depuis une semaine. il est très important pour moi de pouvoir faire du ftp à travers le lan. je ne suis pas non plus un pro du firewall,mais je l'ai desactivé, je pense donc que je ne bloque aucun ports. il est clair que sur le serveur qui est connecté à internet le problème n'existe pas.. je pense que c'est juste le serveur qui ne sais pas à qui renvoyer les paquets lorsqu 'il les recois. Mais je n'ai aucune idée de comment resoudre ce problème sauf en "forwardant" certains ports,ce qui me semble impossible pour le dcc vu qu'il choisis un port aléatoirement... g grrr ça marchais si bien avec mandrake 7.2 scuser moa pour laurtografe c irc qui déforme:ppp a force de vouloir tj ecrire + vite on en oublie les formes:))) - Original Message - From: "Rosaire AMORE" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Thursday, April 26, 2001 6:26 AM Subject: Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc > Holà! > C'est peut être une critique, mais c'est pas méchant. Ceci dit, c'est vrai que > j'ai eu beaucoup de mal à comprendre ta prose. De plus, je dois avouer > humblement que je ne connais pas grand chose à iptable, et du coup, je me dis > que j'aurais du fermer ma gueule. Donc moi y'en a aller faire canard. > Excuses > Rosaire AMORE > > jean-charles a écrit : > > > c est quoi un court de francais ou une mailing liste sencée aider les > > utilisateurs de mandrake et non les critiquer?? > > peut etre que personne n est capable de me repondre?? > > > > - Original Message - > > From: "Rosaire AMORE" <[EMAIL PROTECTED]> > > To: <[EMAIL PROTECTED]> > > Sent: Wednesday, April 25, 2001 10:04 PM > > Subject: Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc > > > > > J'ai rien compris. Comme quoi, si on parle dans une langue (ici, en > > l'occurence > > > le français), même si c'est un langage technique, c'est bien de connaitre > > un > > > minimum de règles de rédaction (sans être grammairien). Désolé. Je vais > > pousser > > > mon petit Mathias (mon fils, 13 ans) à faire les progrès suffisants en > > gramaire > > > pour être à plus de 5 de moyenne. > > > Rosaire AMORE (éminent vieux con) > > > > > > jean-charles a écrit : > > > > > > > salut a tous, > > > > je partage une connexion internet avec iptables que m a si gentillement > > > > installé mandrake 8.0 ainsi qu un dhcp et un dns local je nai aucun > > probleme > > > > quand je connect ma station windows sur le rezo elle recois bien une ip > > et > > > > un host et se connect sur internet sans probleme > > > > la ou cela ne marche plus c est quand j install les modules > > > > ip_nat_ftp et ip_nat_irc on dirais que cela ne change rien > > > > je n arrive pas a faire de dcc irc a travers le lan ni de ftp si ce n > > est en > > > > mode passif... > > > > pourtant cela marchais sans probleme avec ipchains et ip_masq_ftp ou > > > > ip_masq_irc > > > > quelqu un aurais t il une solution a me proposer?? > > > > penser vous qu il est possible de regler ce probs avec des forward style > > > > ipmasqadm?? > > > > si oui un exemple please:)) > > > > > > > > voici les modules installés... > > > > > > > > Module Size Used by > > > > af_packet 11280 2 (autoclean) > > > > ppp_synctty 4816 0 (unused) > > > > ppp_async 6160 1 > > > > ppp_generic15968 3 [ppp_synctty ppp_async] > > > > ip_nat_irc 3760 0 (unused) > > > > ip_nat_ftp 3312 0 (unused) > > > > autofs 9232 0 (autoclean) (unused) > > > > ne2k-pci4512 1 (autoclean) > > > > 83906112 0 (autoclean) [ne2k-pci] > > > > via-rhine 9824 1 (autoclean) > > > > iptable_filter 1696 0 (autoclean) (unused) > > > > ipt_MASQUERADE 1104 1 (autoclean) > > > > iptable_nat11616 2 [ip_nat_irc ip_nat_ftp ipt_MASQUERADE] > > > > ip_conntrack 12096 1 [ip_nat_irc ip_nat_ftp ipt_MASQUERADE > > > > iptable_nat] > > > > ip_tables 10528 5 [iptable_filter ipt_MASQUERADE > > > > iptable_nat] > > > > supermount 32496 4 (
Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
jean-charles a écrit : > salut a tous, > je partage une connexion internet avec iptables que m a si gentillement > installé mandrake 8.0 ainsi qu un dhcp et un dns local je nai aucun probleme > quand je connect ma station windows sur le rezo elle recois bien une ip et > un host et se connect sur internet sans probleme > la ou cela ne marche plus c est quand j install les modules > ip_nat_ftp et ip_nat_irc on dirais que cela ne change rien > je n arrive pas a faire de dcc irc a travers le lan ni de ftp si ce n est en > mode passif... > > voici les modules installés... > > Module Size Used by > af_packet 11280 2 (autoclean) > ppp_synctty 4816 0 (unused) > ppp_async 6160 1 > ppp_generic15968 3 [ppp_synctty ppp_async] > ip_nat_irc 3760 0 (unused) > ip_nat_ftp 3312 0 (unused) > autofs 9232 0 (autoclean) (unused) > ne2k-pci4512 1 (autoclean) > 83906112 0 (autoclean) [ne2k-pci] > via-rhine 9824 1 (autoclean) > iptable_filter 1696 0 (autoclean) (unused) > ipt_MASQUERADE 1104 1 (autoclean) > iptable_nat11616 2 [ip_nat_irc ip_nat_ftp ipt_MASQUERADE] > ip_conntrack 12096 1 [ip_nat_irc ip_nat_ftp ipt_MASQUERADE > iptable_nat] > ip_tables 10528 5 [iptable_filter ipt_MASQUERADE > iptable_nat] > supermount 32496 4 (autoclean) > Pour ftp, il faut en plus ip_conntrack_ftp qui a pour fonction de noter les infos utiles pour faire de la nat (Network Address Translation) Pour irc, il faut en plus ip_conntrack_irc Et merci à ceux qui répondent pour clamer leur ignorance
Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
Holà! C'est peut être une critique, mais c'est pas méchant. Ceci dit, c'est vrai que j'ai eu beaucoup de mal à comprendre ta prose. De plus, je dois avouer humblement que je ne connais pas grand chose à iptable, et du coup, je me dis que j'aurais du fermer ma gueule. Donc moi y'en a aller faire canard. Excuses Rosaire AMORE jean-charles a écrit : > c est quoi un court de francais ou une mailing liste sencée aider les > utilisateurs de mandrake et non les critiquer?? > peut etre que personne n est capable de me repondre?? > > - Original Message - > From: "Rosaire AMORE" <[EMAIL PROTECTED]> > To: <[EMAIL PROTECTED]> > Sent: Wednesday, April 25, 2001 10:04 PM > Subject: Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc > > > J'ai rien compris. Comme quoi, si on parle dans une langue (ici, en > l'occurence > > le français), même si c'est un langage technique, c'est bien de connaitre > un > > minimum de règles de rédaction (sans être grammairien). Désolé. Je vais > pousser > > mon petit Mathias (mon fils, 13 ans) à faire les progrès suffisants en > gramaire > > pour être à plus de 5 de moyenne. > > Rosaire AMORE (éminent vieux con) > > > > jean-charles a écrit : > > > > > salut a tous, > > > je partage une connexion internet avec iptables que m a si gentillement > > > installé mandrake 8.0 ainsi qu un dhcp et un dns local je nai aucun > probleme > > > quand je connect ma station windows sur le rezo elle recois bien une ip > et > > > un host et se connect sur internet sans probleme > > > la ou cela ne marche plus c est quand j install les modules > > > ip_nat_ftp et ip_nat_irc on dirais que cela ne change rien > > > je n arrive pas a faire de dcc irc a travers le lan ni de ftp si ce n > est en > > > mode passif... > > > pourtant cela marchais sans probleme avec ipchains et ip_masq_ftp ou > > > ip_masq_irc > > > quelqu un aurais t il une solution a me proposer?? > > > penser vous qu il est possible de regler ce probs avec des forward style > > > ipmasqadm?? > > > si oui un exemple please:)) > > > > > > voici les modules installés... > > > > > > Module Size Used by > > > af_packet 11280 2 (autoclean) > > > ppp_synctty 4816 0 (unused) > > > ppp_async 6160 1 > > > ppp_generic15968 3 [ppp_synctty ppp_async] > > > ip_nat_irc 3760 0 (unused) > > > ip_nat_ftp 3312 0 (unused) > > > autofs 9232 0 (autoclean) (unused) > > > ne2k-pci4512 1 (autoclean) > > > 83906112 0 (autoclean) [ne2k-pci] > > > via-rhine 9824 1 (autoclean) > > > iptable_filter 1696 0 (autoclean) (unused) > > > ipt_MASQUERADE 1104 1 (autoclean) > > > iptable_nat11616 2 [ip_nat_irc ip_nat_ftp ipt_MASQUERADE] > > > ip_conntrack 12096 1 [ip_nat_irc ip_nat_ftp ipt_MASQUERADE > > > iptable_nat] > > > ip_tables 10528 5 [iptable_filter ipt_MASQUERADE > > > iptable_nat] > > > supermount 32496 4 (autoclean) > > > > > > aussi le resultat de la commande iptables -L > > > > > > Chain INPUT (policy ACCEPT) > > > target prot opt source destination > > > ACCEPT udp -- anywhere anywhere udp > spt:bootpc > > > dpt:bootps > > > ACCEPT tcp -- anywhere anywhere tcp > spt:bootpc > > > dpt:bootps > > > ACCEPT udp -- anywhere anywhere udp > spt:bootps > > > dpt:bootpc > > > ACCEPT tcp -- anywhere anywhere tcp > spt:bootps > > > dpt:bootpc > > > ACCEPT udp -- anywhere anywhere udp > dpt:domain > > > ACCEPT tcp -- anywhere anywhere tcp > dpt:domain > > > > > > Chain FORWARD (policy ACCEPT) > > > target prot opt source destination > > > ACCEPT all -- 192.168.0.0/24 anywhere > > > > > > Chain OUTPUT (policy ACCEPT) > > > target prot opt source destination > > > > > >
Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
On 25 Apr 2001 00:12:59 +0200, jean-charles wrote: > c est quoi un court de francais ou une mailing liste sencée aider les > utilisateurs de mandrake et non les critiquer?? > peut etre que personne n est capable de me repondre?? > > - Original Message - > From: "Rosaire AMORE" <[EMAIL PROTECTED]> > To: <[EMAIL PROTECTED]> > Sent: Wednesday, April 25, 2001 10:04 PM > Subject: Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc > > > > J'ai rien compris. Comme quoi, si on parle dans une langue (ici, en > l'occurence > > le français), même si c'est un langage technique, c'est bien de connaitre > un > > minimum de règles de rédaction (sans être grammairien). Désolé. Je vais > pousser > > mon petit Mathias (mon fils, 13 ans) à faire les progrès suffisants en > gramaire > > pour être à plus de 5 de moyenne. > > Rosaire AMORE (éminent vieux con) > > > > jean-charles a écrit : > > > > > salut a tous, > > > je partage une connexion internet avec iptables que m a si gentillement > > > installé mandrake 8.0 ainsi qu un dhcp et un dns local je nai aucun > probleme > > > quand je connect ma station windows sur le rezo elle recois bien une ip > et > > > un host et se connect sur internet sans probleme > > > la ou cela ne marche plus c est quand j install les modules > > > ip_nat_ftp et ip_nat_irc on dirais que cela ne change rien > > > je n arrive pas a faire de dcc irc a travers le lan ni de ftp si ce n > est en > > > mode passif... > > > pourtant cela marchais sans probleme avec ipchains et ip_masq_ftp ou > > > ip_masq_irc > > > quelqu un aurais t il une solution a me proposer?? > > > penser vous qu il est possible de regler ce probs avec des forward style > > > ipmasqadm?? > > > si oui un exemple please:)) > > > > > > voici les modules installés... > > > > > > Module Size Used by > > > af_packet 11280 2 (autoclean) > > > ppp_synctty 4816 0 (unused) > > > ppp_async 6160 1 > > > ppp_generic15968 3 [ppp_synctty ppp_async] > > > ip_nat_irc 3760 0 (unused) > > > ip_nat_ftp 3312 0 (unused) > > > autofs 9232 0 (autoclean) (unused) > > > ne2k-pci4512 1 (autoclean) > > > 83906112 0 (autoclean) [ne2k-pci] > > > via-rhine 9824 1 (autoclean) > > > iptable_filter 1696 0 (autoclean) (unused) > > > ipt_MASQUERADE 1104 1 (autoclean) > > > iptable_nat11616 2 [ip_nat_irc ip_nat_ftp ipt_MASQUERADE] > > > ip_conntrack 12096 1 [ip_nat_irc ip_nat_ftp ipt_MASQUERADE > > > iptable_nat] > > > ip_tables 10528 5 [iptable_filter ipt_MASQUERADE > > > iptable_nat] > > > supermount 32496 4 (autoclean) > > > > > > aussi le resultat de la commande iptables -L > > > > > > Chain INPUT (policy ACCEPT) > > > target prot opt source destination > > > ACCEPT udp -- anywhere anywhere udp > spt:bootpc > > > dpt:bootps > > > ACCEPT tcp -- anywhere anywhere tcp > spt:bootpc > > > dpt:bootps > > > ACCEPT udp -- anywhere anywhere udp > spt:bootps > > > dpt:bootpc > > > ACCEPT tcp -- anywhere anywhere tcp > spt:bootps > > > dpt:bootpc > > > ACCEPT udp -- anywhere anywhere udp > dpt:domain > > > ACCEPT tcp -- anywhere anywhere tcp > dpt:domain > > > > > > Chain FORWARD (policy ACCEPT) > > > target prot opt source destination > > > ACCEPT all -- 192.168.0.0/24 anywhere > > > > > > Chain OUTPUT (policy ACCEPT) > > > target prot opt source destination > > > > > > > > > Avec ipchains (qui marchent encore sur les 2.4) j'ai buté contre ce problème, je pourrait plus dire exactement, mais dcc (et le FTP en mode passif) a besoin de certains ports ouverts en retour sur la machine, j'utilisait la même bécane malheureusement (ce qui ME facilitait la tâche, mais qui vous aide pas en l'occurence). En plus de vos modules (ip_nat_irc) et en ouvrant tous vos ports, regardez lesquels fonctionnent ( avec un netstat ) lors d'un tra
Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
c est quoi un court de francais ou une mailing liste sencée aider les utilisateurs de mandrake et non les critiquer?? peut etre que personne n est capable de me repondre?? - Original Message - From: "Rosaire AMORE" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Wednesday, April 25, 2001 10:04 PM Subject: Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc > J'ai rien compris. Comme quoi, si on parle dans une langue (ici, en l'occurence > le français), même si c'est un langage technique, c'est bien de connaitre un > minimum de règles de rédaction (sans être grammairien). Désolé. Je vais pousser > mon petit Mathias (mon fils, 13 ans) à faire les progrès suffisants en gramaire > pour être à plus de 5 de moyenne. > Rosaire AMORE (éminent vieux con) > > jean-charles a écrit : > > > salut a tous, > > je partage une connexion internet avec iptables que m a si gentillement > > installé mandrake 8.0 ainsi qu un dhcp et un dns local je nai aucun probleme > > quand je connect ma station windows sur le rezo elle recois bien une ip et > > un host et se connect sur internet sans probleme > > la ou cela ne marche plus c est quand j install les modules > > ip_nat_ftp et ip_nat_irc on dirais que cela ne change rien > > je n arrive pas a faire de dcc irc a travers le lan ni de ftp si ce n est en > > mode passif... > > pourtant cela marchais sans probleme avec ipchains et ip_masq_ftp ou > > ip_masq_irc > > quelqu un aurais t il une solution a me proposer?? > > penser vous qu il est possible de regler ce probs avec des forward style > > ipmasqadm?? > > si oui un exemple please:)) > > > > voici les modules installés... > > > > Module Size Used by > > af_packet 11280 2 (autoclean) > > ppp_synctty 4816 0 (unused) > > ppp_async 6160 1 > > ppp_generic15968 3 [ppp_synctty ppp_async] > > ip_nat_irc 3760 0 (unused) > > ip_nat_ftp 3312 0 (unused) > > autofs 9232 0 (autoclean) (unused) > > ne2k-pci4512 1 (autoclean) > > 83906112 0 (autoclean) [ne2k-pci] > > via-rhine 9824 1 (autoclean) > > iptable_filter 1696 0 (autoclean) (unused) > > ipt_MASQUERADE 1104 1 (autoclean) > > iptable_nat11616 2 [ip_nat_irc ip_nat_ftp ipt_MASQUERADE] > > ip_conntrack 12096 1 [ip_nat_irc ip_nat_ftp ipt_MASQUERADE > > iptable_nat] > > ip_tables 10528 5 [iptable_filter ipt_MASQUERADE > > iptable_nat] > > supermount 32496 4 (autoclean) > > > > aussi le resultat de la commande iptables -L > > > > Chain INPUT (policy ACCEPT) > > target prot opt source destination > > ACCEPT udp -- anywhere anywhere udp spt:bootpc > > dpt:bootps > > ACCEPT tcp -- anywhere anywhere tcp spt:bootpc > > dpt:bootps > > ACCEPT udp -- anywhere anywhere udp spt:bootps > > dpt:bootpc > > ACCEPT tcp -- anywhere anywhere tcp spt:bootps > > dpt:bootpc > > ACCEPT udp -- anywhere anywhere udp dpt:domain > > ACCEPT tcp -- anywhere anywhere tcp dpt:domain > > > > Chain FORWARD (policy ACCEPT) > > target prot opt source destination > > ACCEPT all -- 192.168.0.0/24 anywhere > > > > Chain OUTPUT (policy ACCEPT) > > target prot opt source destination > > >
Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
J'ai rien compris. Comme quoi, si on parle dans une langue (ici, en l'occurence le français), même si c'est un langage technique, c'est bien de connaitre un minimum de règles de rédaction (sans être grammairien). Désolé. Je vais pousser mon petit Mathias (mon fils, 13 ans) à faire les progrès suffisants en gramaire pour être à plus de 5 de moyenne. Rosaire AMORE (éminent vieux con) jean-charles a écrit : > salut a tous, > je partage une connexion internet avec iptables que m a si gentillement > installé mandrake 8.0 ainsi qu un dhcp et un dns local je nai aucun probleme > quand je connect ma station windows sur le rezo elle recois bien une ip et > un host et se connect sur internet sans probleme > la ou cela ne marche plus c est quand j install les modules > ip_nat_ftp et ip_nat_irc on dirais que cela ne change rien > je n arrive pas a faire de dcc irc a travers le lan ni de ftp si ce n est en > mode passif... > pourtant cela marchais sans probleme avec ipchains et ip_masq_ftp ou > ip_masq_irc > quelqu un aurais t il une solution a me proposer?? > penser vous qu il est possible de regler ce probs avec des forward style > ipmasqadm?? > si oui un exemple please:)) > > voici les modules installés... > > Module Size Used by > af_packet 11280 2 (autoclean) > ppp_synctty 4816 0 (unused) > ppp_async 6160 1 > ppp_generic15968 3 [ppp_synctty ppp_async] > ip_nat_irc 3760 0 (unused) > ip_nat_ftp 3312 0 (unused) > autofs 9232 0 (autoclean) (unused) > ne2k-pci4512 1 (autoclean) > 83906112 0 (autoclean) [ne2k-pci] > via-rhine 9824 1 (autoclean) > iptable_filter 1696 0 (autoclean) (unused) > ipt_MASQUERADE 1104 1 (autoclean) > iptable_nat11616 2 [ip_nat_irc ip_nat_ftp ipt_MASQUERADE] > ip_conntrack 12096 1 [ip_nat_irc ip_nat_ftp ipt_MASQUERADE > iptable_nat] > ip_tables 10528 5 [iptable_filter ipt_MASQUERADE > iptable_nat] > supermount 32496 4 (autoclean) > > aussi le resultat de la commande iptables -L > > Chain INPUT (policy ACCEPT) > target prot opt source destination > ACCEPT udp -- anywhere anywhere udp spt:bootpc > dpt:bootps > ACCEPT tcp -- anywhere anywhere tcp spt:bootpc > dpt:bootps > ACCEPT udp -- anywhere anywhere udp spt:bootps > dpt:bootpc > ACCEPT tcp -- anywhere anywhere tcp spt:bootps > dpt:bootpc > ACCEPT udp -- anywhere anywhere udp dpt:domain > ACCEPT tcp -- anywhere anywhere tcp dpt:domain > > Chain FORWARD (policy ACCEPT) > target prot opt source destination > ACCEPT all -- 192.168.0.0/24 anywhere > > Chain OUTPUT (policy ACCEPT) > target prot opt source destination