Re: ipmasq

[hervé thibaud]

Le lun 07/04/2003 à 22:15, Zelos a écrit :
> Merci. Ca marche...   ...presque.
> 
> J'ai réussi à diagnostiquer le problème mais je ne sais pas comment le
> résoudre. Je ne pense pas que le script en soit à l'origine.
> En fait, sur les autres machines de mon LAN, il n'est pas possible
> d'utiliser IExplorer, Outlook, etc... à moins de changer les noms en IP
Tu ne sembles pas avoir les adresses des DNS de ton FAI sur ces machines
auquel cas tu ne peux résoudre aucun nom.
> Bien évidemment, c'est un procèdé un peu lourd avec IExplorer mais ça
> marche impec avec Outlook, ICQ...
> Résultat, je viens d'installer SQUID pour browser le web et là, tout 
> fonctionne. Bien que ça marche comme ça, je cherche à ce que le
> fonctionnement soit ce qu'il devrait être, sans avoir rrecours à ces
> bidouilles!
> Néanmoins, je ne trouve pas très logique cette histoire. Comment, du
> jour au lendemain, cette machine ne trouve-t-elle plus que les adresses
> IP? 
N'utilisais-tu pas dnrd (proxy dns) sur la passerelle. Là, tu pouvais
donner comme adresse dns l'adresse de ta passerelle.Ce package a été
supprimé des dernières maj des distributions et ta mise à jour l'aurai
fait disparaître (c'est ce qui m'est arrivé).
Tu peux aussi récupérer dnrd sur 
 :
http://www.toolinux.com/lininfo/magazines/linuxfocus/mar2001/art2/index3.htm


-- 
hervé thibaud <[EMAIL PROTECTED]>

Re: ipmasq

[Zelos]

Merci. Ca marche...   ...presque.

J'ai réussi à diagnostiquer le problème mais je ne sais pas comment le
résoudre. Je ne pense pas que le script en soit à l'origine.
En fait, sur les autres machines de mon LAN, il n'est pas possible
d'utiliser IExplorer, Outlook, etc... à moins de changer les noms en IP.
Bien évidemment, c'est un procèdé un peu lourd avec IExplorer mais ça
marche impec avec Outlook, ICQ...
Résultat, je viens d'installer SQUID pour browser le web et là, tout 
fonctionne. Bien que ça marche comme ça, je cherche à ce que le
fonctionnement soit ce qu'il devrait être, sans avoir rrecours à ces
bidouilles!
Néanmoins, je ne trouve pas très logique cette histoire. Comment, du
jour au lendemain, cette machine ne trouve-t-elle plus que les adresses
IP? 
Est-ce un réglage au niveau de ma passerelle Linux ou de ma machine
cliente en Windows2000 ? Les ping ne fonctionnent plus, que ce soit sur
une IP ou non(sauf si je cible mon LAN). 

Une autre idée?


-- 
Zelos <[EMAIL PROTECTED]>


On Thu, 2003-04-03 at 08:40, Vincent Lenouvel wrote:
> On 02 Apr 2003 22:49:49 +0200
>   tests=EXTRA_MPART_TYPE,MAILTO_LINK,SPAM_PHRASE_00_01
>   version=2.43
> zelos <[EMAIL PROTECTED]> wrote:
> 
> > Bonjour à tous,
> > 
> > Voilà quelques jours, je décide d'utiliser ipmasquerading pour que les
> > machines de mon lan accèdent à internet sans passer par SQUID.
> > Je trouve bien évidemment de nombreuses docs sur ipchains pour kernel
> > 2.2 et 2.0 mais rien de bien concluant. 
> > Par contre, je viens de trouver un petit script qui devrait
> > fonctionner... mais non. En tout cas, je ne trouve pas l'erreur et il me
> > semble correct. Mon réseau interne est 192.168.1.0/24 avec 192.168.1.1
> > pour ma passerelle(avec ppp0 et eth0, je suis en ADSL) et noyau
> > 2.4.18-bf24.
> > 
> > Si toutefois quelqu'un pouvait m'aider à configurer ce truc... ou me
> > donner une config qui fonctionne   :)
> > 
> > 
> > Voilà le script:
> > 
> > IPTABLES=/sbin/iptables
> > 
> > EXTIF="ppp0"
> > INTIF="eth0"
> > echo "   External Interface:  $EXTIF"
> > echo "   Internal Interface:  $INTIF"
> > 
> > echo -en "   loading modules: "
> > 
> > echo "  - Verifying that all kernel modules are ok"
> > /sbin/depmod -a
> > 
> > echo -en "ip_tables, "
> > /sbin/insmod ip_tables
> > 
> > echo -en "ip_conntrack, "
> > /sbin/insmod ip_conntrack
> > 
> > echo -en "ip_conntrack_ftp, "
> > /sbin/insmod ip_conntrack_ftp
> > 
> > echo -en "ip_conntrack_irc, "
> > /sbin/insmod ip_conntrack_irc
> > 
> > echo -en "iptable_nat, "
> > /sbin/insmod iptable_nat
> > 
> > echo -en "ip_nat_ftp, "
> > /sbin/insmod ip_nat_ftp
> > 
> > 
> > echo ".  Done loading modules."
> > 
> > echo "   enabling forwarding.."
> > echo "1" > /proc/sys/net/ipv4/ip_forward
> > 
> > echo "   enabling DynamicAddr.."
> > echo "1" > /proc/sys/net/ipv4/ip_dynaddr
> > 
> > echo "   clearing any existing rules and setting default policy.."
> > $IPTABLES -P INPUT ACCEPT
> > $IPTABLES -F INPUT 
> > $IPTABLES -P OUTPUT ACCEPT
> > $IPTABLES -F OUTPUT 
> > $IPTABLES -P FORWARD DROP
> > $IPTABLES -F FORWARD 
> > $IPTABLES -t nat -F
> > 
> > echo "   FWD: Allow all connections OUT and only existing and related
> > ones IN"
> > $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state
> > ESTABLISHED,RELATED -j ACCEPT
> > $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
> 
>   Moi je remplacerais la ligne precedente par:
> 
>   $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -m state --state 
> NEW,ESTABLISHED -j ACCEPT
> 
> # sinon le retour de connection ne match pas: $IPTABLES -A FORWARD -i $EXTIF 
> -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
> 
> > $IPTABLES -A FORWARD -j LOG
> > 
> > echo "   Enabling SNAT (MASQUERADE) functionality on $EXTIF"
> > $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
> > 
> > Voilà, c'est tout.
> > 
> > Merci
> > -- 
> > zelos <[EMAIL PROTECTED]>
> > 

Re: ipmasq

[Nicolas]

> Bonjour à tous,
>
> Voilà quelques jours, je décide d'utiliser ipmasquerading pour que les
> machines de mon lan accèdent à internet sans passer par SQUID.
> Je trouve bien évidemment de nombreuses docs sur ipchains pour kernel
> 2.2 et 2.0 mais rien de bien concluant.
> Par contre, je viens de trouver un petit script qui devrait
> fonctionner... mais non. En tout cas, je ne trouve pas l'erreur et il me
> semble correct. Mon réseau interne est 192.168.1.0/24 avec 192.168.1.1
> pour ma passerelle(avec ppp0 et eth0, je suis en ADSL) et noyau
> 2.4.18-bf24.
>

Shorewall est ton ami, et sur le site de shorewall, il y a un quick guide
en français tout simple à suivre.

Tu auras peut être aussi besoin de dnsmasq qui sert de dns local :)



-- 
Nicolas
http://www.destination-linux.org/
http://www.entre-aide.org/
FAQ Liste Debian : http://savannah.nongnu.org/download/debfr-faq/html/

Re: ipmasq

[Francois MONDON]

Je suis de ton avis en ce qui concerne ipmasquerade. L'écriture d'une config 
n'est pas chose aisée à cause de la multitude des règles ou commandes 
ipchains utilisables.
Je m'en suis sorti aprés moults recherches en utilisant la commande "ipmasq" 
qui fait une config qui fonctionne. il y a si je me rappelle bien un package 
debain sur cela.
Maintenant, je ne sais pas trop de ce qu'il en est de la sécurité avec lui. 
Ce que je peux dire, c'est qu' j'ai pu configurer mon PC qui fait office de 
routeur. JE pense qu'il est aussi transparant vis à vis de n'importe qu'elle 
interface de connection sur l'Internet. Moi j'ai une ISDN, et imasq a pris 
cett interface sans problème.
Si j'espère avoir contribué à te proposer une solution, je suis aussi preneur
de  la part d'autres connaisseurs de critiques sur ce genre de configs.
amitiés à tous.

On Wednesday 2 April 2003 22:49, zelos wrote:
> Bonjour à tous,
>
> Voilà quelques jours, je décide d'utiliser ipmasquerading pour que les
> machines de mon lan accèdent à internet sans passer par SQUID.
> Je trouve bien évidemment de nombreuses docs sur ipchains pour kernel
> 2.2 et 2.0 mais rien de bien concluant.
> Par contre, je viens de trouver un petit script qui devrait
> fonctionner... mais non. En tout cas, je ne trouve pas l'erreur et il me
> semble correct. Mon réseau interne est 192.168.1.0/24 avec 192.168.1.1
> pour ma passerelle(avec ppp0 et eth0, je suis en ADSL) et noyau
> 2.4.18-bf24.
>
> Si toutefois quelqu'un pouvait m'aider à configurer ce truc... ou me
> donner une config qui fonctionne   :)
>
>
> Voilà le script:
>
> IPTABLES=/sbin/iptables
>
> EXTIF="ppp0"
> INTIF="eth0"
> echo "   External Interface:  $EXTIF"
> echo "   Internal Interface:  $INTIF"
>
> echo -en "   loading modules: "
>
> echo "  - Verifying that all kernel modules are ok"
> /sbin/depmod -a
>
> echo -en "ip_tables, "
> /sbin/insmod ip_tables
>
> echo -en "ip_conntrack, "
> /sbin/insmod ip_conntrack
>
> echo -en "ip_conntrack_ftp, "
> /sbin/insmod ip_conntrack_ftp
>
> echo -en "ip_conntrack_irc, "
> /sbin/insmod ip_conntrack_irc
>
> echo -en "iptable_nat, "
> /sbin/insmod iptable_nat
>
> echo -en "ip_nat_ftp, "
> /sbin/insmod ip_nat_ftp
>
>
> echo ".  Done loading modules."
>
> echo "   enabling forwarding.."
> echo "1" > /proc/sys/net/ipv4/ip_forward
>
> echo "   enabling DynamicAddr.."
> echo "1" > /proc/sys/net/ipv4/ip_dynaddr
>
> echo "   clearing any existing rules and setting default policy.."
> $IPTABLES -P INPUT ACCEPT
> $IPTABLES -F INPUT
> $IPTABLES -P OUTPUT ACCEPT
> $IPTABLES -F OUTPUT
> $IPTABLES -P FORWARD DROP
> $IPTABLES -F FORWARD
> $IPTABLES -t nat -F
>
> echo "   FWD: Allow all connections OUT and only existing and related
> ones IN"
> $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state
> ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
> $IPTABLES -A FORWARD -j LOG
>
> echo "   Enabling SNAT (MASQUERADE) functionality on $EXTIF"
> $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
>
> Voilà, c'est tout.
>
> Merci

Re: ipmasq

[hervé thibaud]

Le mer 02/04/2003 à 22:49, zelos a écrit :
> Bonjour à tous,
salut

> 192.168.1.1 pour ma passerelle(avec ppp0 et eth0, je suis en ADSL) et
> noyau 2.4.18-bf24.
 ping postes -> passerelle, ippp0 inet-adr, ippp0 remote, ?
postes : passerelle indiquée, dns indiqués ?

ipmasq ? : shorewall est plus simple à configurer.



-- 
hervé thibaud <[EMAIL PROTECTED]>

Re: ipmasq

[Pascal Ognibene]

zelos wrote:


Bonjour à tous,

Voilà quelques jours, je décide d'utiliser ipmasquerading pour que les 
machines de mon lan accèdent à internet sans passer par SQUID.
Je trouve bien évidemment de nombreuses docs sur ipchains pour kernel 
2.2 et 2.0 mais rien de bien concluant.
Par contre, je viens de trouver un petit script qui devrait 
fonctionner... mais non. En tout cas, je ne trouve pas l'erreur et il 
me semble correct. Mon réseau interne est 192.168.1.0/24 avec 
192.168.1.1 pour ma passerelle(avec ppp0 et eth0, je suis en ADSL) et 
noyau 2.4.18-bf24.


Si toutefois quelqu'un pouvait m'aider à configurer ce truc... ou me 
donner une config qui fonctionne  


Bonjour,

apt-get install ipmasq

Pascal

Re: ipmasq

[Frédéric Bothamy]

* Dominique Laffitte <[EMAIL PROTECTED]> [2003-01-25 20:31] :
>   bonsoir à tous,
> 
> j'ai un probleme qui me gene, j'utilise le paquetage ipmasq pour mon réseau 
> local afin de faire du routage NAT dessus.
> ma debain est en testing avec le noyau 2.4.20.
> tout cela marche a peu pres bien si ce n'est que je ne sais absolument pas 
> comment fonctionne ipmasq. j'ai beau lire des docs a droite et a gauche, je 
> n'arrive pas à comprendre si c'est un programme a part entiere ou si c'est un 
> script qui utilise iptables. De plus, j'ai cru comprendre qu'il embarquait un 
> firewall mais je ne sais pas comment et où sont enregistrées ses règles, ni 
> si elles sont appliquées par défaut.
> 
> quelqu'un pourrait-il m'en dire plus ou me donner une doc qui tient la route ?

Tout est dans la description du paquet (et également dans la page de
manuel) :

$ apt-cache show ipmasq
Package: ipmasq
Depends: netbase (<< 4.00) | ipfwadm | ipchains | iptables (>=
1.2.1-1)
[...]
Description: Securely initializes IP Masquerade forwarding/firewalling
 This package contains scripts to initialize IP Masquerade for use as
 a firewall. IP Masquerade is a feature of Linux that allows an entire
 network of computers to be connected to another network (usually the
 Internet) with only one network address on the other network. IP
 Masquerade is often referred to as NAT (Network Address Translation)
 on other platforms.
[...]
 IP Masquerade requires the kernel to be compiled with masquerading
 support (please see documentation for specific kernel options
 required).

Donc, c'est un script qui utilise les services NAT fournis par le
noyau et qui s'ajuste selon que tu utilises un noyau 2.0.x, 2.2.x ou
2.4.x.

Le fichier ipmasq.txt.gz est également une lecture indispensable pour
comprendre comment est prévu le schéma de nommage des règles, enfin,
le "IP Masquerade HOWTO" dont est tiré ce programme.

Fred

PS: Merci de couper les lignes à 72 caractères

Re: ipmasq

[Latreyte David]

Le Vendredi 25 Octobre 2002 10:47, C. Mourad Jaber a écrit :
> Je me répond comme je n'ai pas eu de succés Pour expliciter un peu
> ma demande : j'ai installé le package ipmasq de woody ça marche en
> automatique pour le masquerading, par contre, je souhaiterai nater des
> port directement sans masquerading, avec IPTABLES, j'ai récupérer des
> commandes qui visiblement permettent que ça fonctionne, mais je ne sais
> pas ou les mettre dans les fichiers de démarrage pour que ces règles
> soient appliqué automatiquement au démarrage. Merci
Salut,
il ne faut pas confondre le script iptables dans /etc/init.d/ et ipmasq.
ipmasq possède sont script de démarrage au boot /etc/init.d/ipmasq, si tu 
veux ajouter de nouvelles règles, il suffit donc que tu personnalises 
l'un des fichiers du répertoire /etc/ipmasq/rules (en n'oubliant pas d'en 
faire une copie au préalable, lire les premières lignes d'un de ces 
fichiers).
-- 
Latreyte David  http://www.gaule.org
Powered with Debian GNU/Linux Sarge
--

Re: ipmasq

[Samuel Colin]

Le Fri, 25 Oct 2002 10:47:11 +0200
"C. Mourad Jaber" <[EMAIL PROTECTED]> a écrit:

> Je me répond comme je n'ai pas eu de succés Pour expliciter un peu ma
> demande : j'ai installé le package ipmasq de woody ça marche en
> automatique pour le masquerading, par contre, je souhaiterai nater des
> port directement sans masquerading, avec IPTABLES,

Attention, 'faut pas mélanger ipmasq et iptables, donc tu dois choisir l'un
ou l'autre.

> j'ai récupérer des
> commandes qui visiblement permettent que ça fonctionne, mais je ne sais
> pas ou les mettre dans les fichiers de démarrage pour que ces règles
> soient appliqué automatiquement au démarrage. Merci

Ainsi que l'a écrit Philippe, ça passe par le script de démarrage de
iptables (je supposerai que tu retiens cette solution, je connais mal
ipmasq):- Tu écris un script démarrant ton firewall avec toutes les règles
qui vont bien (ex: firewall.sh)- Tu l'exécutes : ./firewall.sh, ce qui
démarre ton firewall- Tu sauves les règles en cours : /etc/init.d/iptables
save_active De cette manière, au prochain redémarrage du firewall, ce sont
les règles similaires à celles définies dans firewall.sh qui seront
chargées.

Quelques conseils de base : - tout interdire, autoriser explicitement
- ton script de définition doit effacer toutes les règles précédentes avant
de décrire les nouvelles.

Pointeur vers de la bonne doc pour iptables: http://www.netfilter.org/


-- 
 On chie sur la nettiquéquette ! La liberté d'expression tu connais ? Moi
 ça ne me dérange pas du tout de voir des pubs sur les news, ce le libre
 commerce. Clovis
 -+-in :  - Bien revendiquer sa connerie -+-

Re: ipmasq

[philippe]

Le ven 25/10/2002 à 10:47, C. Mourad Jaber a écrit :
> Je me répond comme je n'ai pas eu de succés Pour expliciter un peu ma 
> demande :
> j'ai installé le package ipmasq de woody ça marche en automatique pour le 
> masquerading, par contre, je souhaiterai nater des port directement sans 
> masquerading, avec IPTABLES, j'ai récupérer des commandes qui visiblement 
> permettent que ça fonctionne, mais je ne sais pas ou les mettre dans les 
> fichiers de démarrage pour que ces règles soient appliqué automatiquement au 
> démarrage.
> Merci

tu poses tes regles et tu les sauves

bash:~#/etc/init.d/iptables
/etc/init.d/iptables options:
  start|restart|reload|force-reload
 load the "active" ruleset
  save 
 save the current ruleset
  load 
 load a ruleset
  stop
 load the "inactive" ruleset
  clear
 remove all rules and user-defined chains, set default policy to
ACCEPT
  halt
 remove all rules and user-defined chains, set default policy to
DROP

Saved ruleset locations: /var/lib/iptables/ and /var/lib/ip6tables/

Please read: /etc/default/iptables


ou alors tu installes firewall builder
:)

>   - Original Message - 
>   From: C. Mourad Jaber 
>   To: debian-user-french@lists.debian.org 
>   Sent: Thursday, October 24, 2002 11:05 PM
>   Subject: ipmasq
> 
> 
>   Bonjour,
>   Je suis en train de monter une passerelle avec ipmasq, jusque la tout va 
> bien, mais je découvre que certain port doivent resté ouvert pour certaines 
> applications comme winmx ou kazaa, quelqu'un sait comment et dans quel 
> fichier, il faut que j'ajoute des commandes iptables ?
>   Merci

Re: ipmasq

[C. Mourad Jaber]

Je me répond comme je n'ai pas eu de succés 
Pour expliciter un peu ma demande :
j'ai installé le package ipmasq de woody ça marche 
en automatique pour le masquerading, par contre, je souhaiterai nater des port 
directement sans masquerading, avec IPTABLES, j'ai récupérer des commandes qui 
visiblement permettent que ça fonctionne, mais je ne sais pas ou les mettre dans 
les fichiers de démarrage pour que ces règles soient appliqué automatiquement au 
démarrage.
Merci

  - Original Message - 
  From: 
  C. Mourad 
  Jaber 
  To: debian-user-french@lists.debian.org 
  
  Sent: Thursday, October 24, 2002 11:05 
  PM
  Subject: ipmasq
  
  Bonjour,
  Je suis en train de monter une passerelle avec 
  ipmasq, jusque la tout va bien, mais je découvre que certain port doivent 
  resté ouvert pour certaines applications comme winmx ou kazaa, quelqu'un sait 
  comment et dans quel fichier, il faut que j'ajoute des commandes iptables 
  ?
  Merci