Re: RE : RE : [TECH] xinetd
fifo55 wrote: La IpCorp me semble plus concrète... Par contre toutes le 2 souffrent me semble-t-il d'un manque d'options dans l'interface graphique ... Les regles ne sont pas modifiables une a une comme sur la MNF Avec la MNF tu peux entrer dans le detail, alors que, me semble-t-il, dans les 2 autres c'est le logiciel qui crée en interne les options qu'il juge utiles... Plein d'autres options dans la MNF que je ne retrouve pas dans les 2 autres firewall... En outre, la MNF est la seule qui bloque l'acces de l'exterieur en root,.. Il faut se connecter en admin, puis faire un su... L'admin ayant juste les droits pour acceder a l'interface graphique et modifier les options... Aucun autre droit... ??? Oui je sais on peut le faire a lamimine... Mais dans ce cas c'est deja fait... Et a priori assez bien ! D'autres petites bricoles font que je souhaite + la MNF ... Voilà... Je viens de telecharger et je vais la tester ;o) J'ai trouvé la doc très bien faite, par contre tout est configuré en clicodrome :o(. Et je ne sais pas s'il y a des contribs la dessus: Spamassassin, dansguardian, hylafax, cups ... Je n'ai rien vu de la config qui ne se fasse pas dans les 'templates' de SME A suivre... -- Prenez du bon temps! Oubliez le stress! Utilisez Linux :o) JFGhislain - Linux-Azur http://www.linux-azur.org Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
RE : [TECH] xinetd
-Message d'origine- De : Jacques Caruso [mailto:[EMAIL PROTECTED] De la part de Jacques Caruso Envoyé : mercredi 19 mai 2004 01:17 À : linux06@linuxfr.org Objet : Re: RE : [TECH] xinetd Bon, alors voyons côté pare-feu... je ne garantis pas la suite, vu que la config' est longue comme un jour sans pain, mais voilà ce que je pense : * tout d'abord, on a bien des autorisations pour les ports DNS, dans la chaîne 'fw2wan', ce qui paraît tout à fait logique : 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:53 * en revanche (et je pense que c'est ici que le bât blesse), cette chaîne n'est *pas* réferencée dans OUTPUT. Celle-ci contient des règles ACCEPT, mais apparemment insuffisantes : Ben,.. Exact, puisqu'on arrive pas a sortir et se connecter au DNS de wanadoo... Et c'est la probleme me semble-t-il... - une pour l'interface de bouclage locale -- sans intérêt. - une pour de l'ICMP. Ça pourrait permettre de faire au moins un ping pour tester si ça passe, mais... (voir plus bas) - une référence à la chaîne fw2lan, qui ne concerne que les transmissions sortant à travers eth0 - une référence à la chaîne common, laquelle contient elle-même une référence à la chaine icmpdef (qui est vide ? ! ?) et deux ACCEPT pour les paquets RST et ACK (je suppose qu'il y a une bonne raison à tout ça), le reste étant des interdictions - et puis c'est tout pour les autorisations de sortie * Quant à la chaîne INPUT, euh... - la règle pour l'interface de bouclage - une chaîne pour ce qui entre par eth0 - la chaîne common - et... et c'est tout Et là, y a un couac quelque part. Parce que, soit j'ai loupé un épisode, soit cette machine risque de recevoir (et même d'émettre) bien peu de paquets avec une conf' pareille. Même les pings ne passeraient pas au retour. Exact... Bon, alors que faire ? Ben, premièrement, tenter de rajouter les deux chaînes qui semblent logiques (fw2wan et wan2fw), de la manière suivante : iptables -I INPUT -i ppp0 -j wan2fw iptables -I OUTPUT -j fw2wan -o ppp0 (note le -I au lieu du -A, afin d'insérer notre chaîne au-dessus des règles REJECT finales) OUUU !!! A priori maintenant la connection est ok !!! J'accede bien au dns de wanadoo !!! M E R C I ! Mais ... Si la résolution des noms (par exemple un 'host www.google.com 193.252.19.3' ne se fait toujours pas, il faut NO PROBLEM !! J'ACCEDE AU DNS DE WANADOOO investiguer plus loin ; ton pare-feu a des règles LOG, donc tu devrais voir apparaître les paquets rejetés dans /var/log/syslog, ça peut aider à comprendre ce qui se passe. Si en revanche ça marche, il restera à faire en sorte qu'elles y restent, Si tu veux bien m'indiquer comment ?... J'essaye de faire un iptables-save.. Et /ou un shorewall save... Rien n'y fait... Je les perd a chaque reinit... et à savoir pourquoi elles n'y étaient pas à la base... Ben, ca, c'est mandrake qui ne les mets pas lors de l'install !! :( Je peux juste te demander encore un truc ? : A) commment sauver les regles... B) afin que les pings puissent passer,.. J'ai rajouté avec shorewall une regle qui dit ACCEPT soure : fw dest : wan icmp 8 .. Et la ca fonctionne... Si je veux faire un lynx a partir de cette machine,.. Je dois egalement rajouter la meme chose mais pour http... je vois le principe... Par contre je n'arrive pas a acceder depuis une autre machine de mon reseau local ni avec un ping ni avec http... J'ai pourtant saisi le masquerading reseau eth1:192.168.2.0 masque 255.255.255.0 ... J'ai beau rajouter (shorewal) un ACCEPT lan -- wan http ... Mais ca veut rien savoir En d'autres termes,... Quelles sont les regles que je dois rajouter pour fowarder ou translater mon reseau local (proxy mandataire...)... (Sur l'autre PC avec xp j'ai bien saisi passerelle 192.168.2.1 ... Et dns celui de wanadoo...) Merci beaucoup de ta reponse Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
RE : [TECH] xinetd
-Message d'origine- De : Jacques Caruso [mailto:[EMAIL PROTECTED] Envoyé : mardi 18 mai 2004 20:28 À : linux06@linuxfr.org Objet : Re: [TECH] xinetd Pas de route ? Tu veux dire que lorsque tu fais un route -n, aucune route par défaut ne s'affiche ? Que se passe-t-il si tu fais un bon vieux : Voici le route : Table de routage IP du noyau Destination Passerelle Genmask Indic Metric RefUse Iface 80.8.50.1 * 255.255.255.255 UH0 00 ppp0 10.0.0.0* 255.255.255.0 U 0 00 eth0 192.168.2.0 * 255.255.255.0 U 0 00 eth1 127.0.0.0 * 255.0.0.0 U 0 00 lo default 80.8.50.1 0.0.0.0 UG0 00 ppp0 Ce qui me semble tout a fait correct... route add default dev ppp0 Dans le même ordre d'idées, as-tu l'instruction 'defaultroute' dans ton fichier de config' pour pppd (dans /etc/ppp/peers/quelquechose, normalement) ? J'ai un fichier /etc/ppp/peers/adsl mais il n'y a rien dans adsl... il est vide... Faut qu'il y ait quelque chose ??? Si oui sous quelle forme ?? Comment ??? Pourquoi l'install ne le remplit pas ??? (j'en suis a ma 100 installe de la MNF !! :( Euh, parce que BIND n'est pas géré par inetd, mais bon, toi tu veux accéder à un DNS externe, pas en monter un sur ta machine. Si ? Non, je veux juste que ma machine accede au dns de wanadoo et puisse sortir sur le net... That's all, folks ! C'est pourtant simple, mais ici dans la mnf ca a l'air bien complqiué... Actuellement un ping ou ssh sur une adresse net donne : temporary failure in name resolution ... les routes qui vont bien, puis fais un iptables -L -n -v et Voici le fichier : * Chain INPUT (policy DROP 2 packets, 120 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 eth0_inall -- eth0 * 0.0.0.0/0 0.0.0.0/0 23 1180 common all -- * * 0.0.0.0/0 0.0.0.0/0 5 264 LOGall -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/hour burst 5 LOG flags 0 level 6 prefix `Shorewall:INPUT:REJECT:' 23 1180 reject all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU 0 0 eth0_fwd all -- eth0 * 0.0.0.0/0 0.0.0.0/0 0 0 common all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 LOGall -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/hour burst 5 LOG flags 0 level 6 prefix `Shorewall:FORWARD:REJECT:' 0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED 0 0 fw2lan all -- * eth00.0.0.0/0 0.0.0.0/0 0 0 common all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 LOGall -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/hour burst 5 LOG flags 0 level 6 prefix `Shorewall:OUTPUT:REJECT:' 0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0 Chain all2all (0 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 common all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 LOGall -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/hour burst 5 LOG flags 0 level 6 prefix `Shorewall:all2all:REJECT:' 0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0 Chain common (8 references) pkts bytes target prot opt in out source destination 0 0 icmpdeficmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 reject-with icmp-port-unreachable 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:445 reject-with icmp-port-unreachable 0 0 reject tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:135 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1900 0 0 DROP
RE : RE : [TECH] xinetd
-Message d'origine-
De : jeff ghislain [mailto:[EMAIL PROTECTED]
Envoyé : mardi 18 mai 2004 21:22
À : linux06@linuxfr.org
Objet : Re: RE : [TECH] xinetd
[EMAIL PROTECTED] # ifconfig
No problem... Tout est ok
- Eth0 avec une ip donnée par la mnf en 10.0.0.10 par defaut
- Eth1 avec 192.168.2.1 (reseau local)
- Ppp0 (qui encapsule eth0) avec une ip en 80.8.50.xxx (adresse normale
donnée par wanadoo...)
Et lo ... Interface locale 127.0.0.1 ... Normal donc...
Si tout est OK regarder la route:
Meme route que toi...
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric RefUse
Iface
80.8.50.1 * 255.255.255.255 UH0 00 ppp0
192.168.2.0 * 255.255.255.0 U 0 00 eth1
127.0.0.0 * 255.0.0.0 U 0 00 lo
default 80.8.50.1 0.0.0.0 UG0 00 ppp0
Tout semble aussi normal...
Si tout est OK alors passer a la suite
Les règles de filtrage n'empèche pas a priori que tu interroge des
serveurs externes DNS,
Alors je vois pas pourquoi j'accede pas au dns de wanadoo...
Au cas ou si je fais un tcpdump de lo, voilà ce que ca donne...
80.8.50.137 : icmp : 80.10.246.142 udp port domain unreachable .
Soit traduit :
Mon_ip : icmp : DNS (de wanadoo) udp port domain unreachable (DF) (tos
0xc0)
Dons il y a bien qque chose qui le bloque...
l('ouverture du port 53 ne sse
justifiera que si tu fais office de serveur DNS...
Non, pour le moment je veux juste acceder au dns de wanadoo .. :(
Merci
@+
Linux-Azur : http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
Pas de message au format HTML, SVP
Re: RE : RE : [TECH] xinetd
fifo55 wrote: Si tout est OK alors passer a la suite chez moi (SME) la carte sur le modem n'a pas d'adresse IP, mais je ne crois pas que cela est une incidence, il m'arrive de mettre l'adresse à la main pour communiquer avec le modem. Est-ce que ton modem n'aurait pas une configuration firewall interne par hasard? ping de l'adresse ptp 80.8.50.1 ? que contient /etc/resolv.conf ? la commande dig wanadoo.fr ? -- Prenez du bon temps! Oubliez le stress! Utilisez Linux :o) JFGhislain - Linux-Azur http://www.linux-azur.org Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
Re: RE : [TECH] xinetd
Ainsi parla fifo55 [EMAIL PROTECTED], le 18 mai de l'an de grâce 2004 : J'ai un fichier /etc/ppp/peers/adsl mais il n'y a rien dans adsl... il est vide... Faut qu'il y ait quelque chose ??? Si oui sous quelle forme ?? Comment ??? Pas forcément, c'est juste que je suis habitué à voir ma distrib' coller les paramètres de la cnx là-dedans. Peut-être la tienne met-elle tout ça dans /etc/ppp/options, ou dans un fichier obscur perdu au fond de l'arborescence. Quoi qu'il en soit, si ta route par défaut est là, c'est tout bon de ce côté. Pourquoi l'install ne le remplit pas ??? (j'en suis a ma 100 installe de la MNF !! :( Tu es perséverant :-) Moi j'aurais déjà balancé mon clavier contre le mur... Non, je veux juste que ma machine accede au dns de wanadoo et puisse sortir sur le net... That's all, folks ! C'est pourtant simple, mais ici dans la mnf ca a l'air bien complqiué... Actuellement un ping ou ssh sur une adresse net donne : temporary failure in name resolution ... Bon, alors voyons côté pare-feu... je ne garantis pas la suite, vu que la config' est longue comme un jour sans pain, mais voilà ce que je pense : * tout d'abord, on a bien des autorisations pour les ports DNS, dans la chaîne 'fw2wan', ce qui paraît tout à fait logique : 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:53 * en revanche (et je pense que c'est ici que le bât blesse), cette chaîne n'est *pas* réferencée dans OUTPUT. Celle-ci contient des règles ACCEPT, mais apparemment insuffisantes : - une pour l'interface de bouclage locale -- sans intérêt. - une pour de l'ICMP. Ça pourrait permettre de faire au moins un ping pour tester si ça passe, mais... (voir plus bas) - une référence à la chaîne fw2lan, qui ne concerne que les transmissions sortant à travers eth0 - une référence à la chaîne common, laquelle contient elle-même une référence à la chaine icmpdef (qui est vide ? ! ?) et deux ACCEPT pour les paquets RST et ACK (je suppose qu'il y a une bonne raison à tout ça), le reste étant des interdictions - et puis c'est tout pour les autorisations de sortie * Quant à la chaîne INPUT, euh... - la règle pour l'interface de bouclage - une chaîne pour ce qui entre par eth0 - la chaîne common - et... et c'est tout Et là, y a un couac quelque part. Parce que, soit j'ai loupé un épisode, soit cette machine risque de recevoir (et même d'émettre) bien peu de paquets avec une conf' pareille. Même les pings ne passeraient pas au retour. Bon, alors que faire ? Ben, premièrement, tenter de rajouter les deux chaînes qui semblent logiques (fw2wan et wan2fw), de la manière suivante : iptables -I INPUT -i ppp0 -j wan2fw iptables -I OUTPUT -j fw2wan -o ppp0 (note le -I au lieu du -A, afin d'insérer notre chaîne au-dessus des règles REJECT finales) Si la résolution des noms (par exemple un 'host www.google.com 193.252.19.3' ne se fait toujours pas, il faut investiguer plus loin ; ton pare-feu a des règles LOG, donc tu devrais voir apparaître les paquets rejetés dans /var/log/syslog, ça peut aider à comprendre ce qui se passe. Si en revanche ça marche, il restera à faire en sorte qu'elles y restent, et à savoir pourquoi elles n'y étaient pas à la base... Voilà, sans garantie, et bonne chance pour la suite ! +++ -- Jacques Caruso |Administrateur système| Laissez-vous pousser [EMAIL PROTECTED] | Webmaster, jeuxdroles.org | les dents. Ne marchez (+33) 493 847 728 | Membre des Minotaures du Sud | pas sur les opossums. PGP : 0x41F5C63D | Membre de Linux-Azur | Mangez des kiwis. Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
Re: RE : [TECH] xinetd
Jacques Caruso wrote: Ainsi parla fifo55 [EMAIL PROTECTED], le 18 mai de l'an de grâce 2004 : J'ai un fichier /etc/ppp/peers/adsl mais il n'y a rien dans adsl... il est vide... Faut qu'il y ait quelque chose ??? Si oui sous quelle forme ?? Comment ??? Pas forcément, c'est juste que je suis habitué à voir ma distrib' coller les paramètres de la cnx là-dedans. Peut-être la tienne met-elle tout ça dans /etc/ppp/options, ou dans un fichier obscur perdu au fond de l'arborescence. Quoi qu'il en soit, si ta route par défaut est là, c'est tout bon de ce côté. Pourquoi l'install ne le remplit pas ??? (j'en suis a ma 100 installe de la MNF !! :( Tu es perséverant :-) Moi j'aurais déjà balancé mon clavier contre le mur... Quelle obstination ;o) Je n'ai jamais essayé MNF, j'utilise SME qui fait fw, proxy, etc... et qui démarre toute seule surtout :o)) -- Prenez du bon temps! Oubliez le stress! Utilisez Linux :o) JFGhislain - Linux-Azur http://www.linux-azur.org Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
RE : RE : [TECH] xinetd
-Message d'origine- De : jeff ghislain [mailto:[EMAIL PROTECTED] Envoyé : mercredi 19 mai 2004 02:09 À : linux06@linuxfr.org Objet : Re: RE : [TECH] xinetd Pourquoi l'install ne le remplit pas ??? (j'en suis a ma 100 installe de la MNF !! :( . Tu es perséverant :-) Moi j'aurais déjà balancé mon clavier contre le mur... Quelle obstination ;o) Ben, oui, je suis têtu et je veux comprendre pourquoi !! Il y a un truc qui bloque, probablement tout con, ... Mais tant que j'aurais pas trouvé... Et fait fonctionner... Après,... Mon esprit sera ... Libre ! ;) Je n'ai jamais essayé MNF, j'utilise SME qui fait fw, proxy, etc... et qui démarre toute seule surtout :o)) Oui, la MNF aussi... Quand elle fonctionne ! :) Ben, justement je disais que j'ai essayé la sme, et la IpCorp... La IpCorp me semble plus concrète... Par contre toutes le 2 souffrent me semble-t-il d'un manque d'options dans l'interface graphique ... Les regles ne sont pas modifiables une a une comme sur la MNF Avec la MNF tu peux entrer dans le detail, alors que, me semble-t-il, dans les 2 autres c'est le logiciel qui crée en interne les options qu'il juge utiles... Plein d'autres options dans la MNF que je ne retrouve pas dans les 2 autres firewall... En outre, la MNF est la seule qui bloque l'acces de l'exterieur en root,.. Il faut se connecter en admin, puis faire un su... L'admin ayant juste les droits pour acceder a l'interface graphique et modifier les options... Aucun autre droit... Oui je sais on peut le faire a lamimine... Mais dans ce cas c'est deja fait... Et a priori assez bien ! D'autres petites bricoles font que je souhaite + la MNF ... Voilà... @+ Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
Re: [TECH] xinetd
Le mardi 18 Mai 2004 19:38, fifo55 a écrit : Quelqu'un pourrait me dire comment faire pour ouvrir une porte (la 53 apr exemple) sur la MNF en utilisant xinetd ? ... Le howto est pas Euh ? À mon avis, il y a maldonne, là. Xinetd, c'est un « super-serveur », pour lancer des processus serveur à la demande lorsqu'un client se connecte (en gros). Ce que tu cherches (apparemment), c'est le pare-feu. Sous Linux, c'est iptables. Pour ouvrir le port 53 en TCP, tu fais comme ça : iptables -A INPUT -j ACCEPT -p TCP --dport 53 tres comprehensible pour moi... Encore moins le man.. Et inversement comment faire pour en fermer une ... (la 111 qui est ouverte par defaut ...) iptables -A INPUT -j DENY -p TCP --dport 111 Note que tout ça, c'est perdu lors d'un réamorçage. La façon de pérenniser le tout dépend de la distrib, et comme je ne sais pas ce qu'est une MNF (jamais entendu parler), je ne vais pas m'avancer... Dans le howto (fait par debian ! ) ils parlent de itox et xconv.pl qui ne semblent pas exister dans la MNF ... afin de convertir une ligne (service) de inetd en xinetd ... Mais vu que inetd n'existe pas non plus dans la MNF ... C'est un des problèmes de Debian : xinetd n'est pas super bien intégré. D'où les bidouilles gruik gruik. Sur les Mdk/RH c'est plus propre, avec un fichier par service, rajouté par chaque paquet. J'ignore comment la tienne procède. +++ -- [ Jacques Caruso [EMAIL PROTECTED] Développeur PHP ] [ Monaco Internet http://monaco-internet.mc/ ] [ Tél : (+377) 93 10 00 43Clé PGP : 0x41F5C63D ] [ -+- Rappelez-vous que vous êtes unique. Comme tout le monde. -+- ] Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
RE : [TECH] xinetd
Merci de ta reponse.
MNF c'est la Multi Network Firewall (M N F) de Mandrake.. Noyeau 2.4 basée
sur une 8.2...
En fait voilà ce qui m'arrive : (c'est un peu long,.. désolé...)
En fait le probleme est simple a priori :
Apres l'install par defaut de la MNF, quand je lance un adsl-start (fait au
demarrage normalement) j'ai bien une adresse ip donnée par wanadoo... Par
contre pas de resolution de noms... Il ne trouve rien !! Impossible de
sortir... (pas de route.. )
J'ai donc fini par faire un ACCEPT dans toutes les policy (lan -- wan ; fw
-- wan et wan all accept !! peut pas faie pire !! Une vrai passoire !!
Et pourtant .. Rien de rien.. Tjrs une ip et pas d'acces au dns de
wanadoo...
J'ai rajouté dans hosts.allow : all : all : allow ... J'accepte tout !!
C'est plus une passoire, c'est un tuyeau d'arrosage ! :)
Et tjrs rien... de chez rien...
En faisant un nmap, je trouve les ports 22 et 111 ouverts.. C'est tout...
Voilà ou j'en suis...
Donc c'est pas les regles, ni iptables ni shorewall.. Ni tcp-wrappers...
J'en viens donc aux services... En faisant un inetd.. Pas de inetd... Ni
inetd.conf.. Mais xinetd... Inetd.conf dit :
Defaults
{
instances = 60
log_type = SYSLOG AUTHPRIV
Log_on_success = HOST PID
log_on_failure = HOST
cps = 25 30
}
Et voilà ... Tres explicite .. :(
Donc je crois que ce qu'il faudrait que j'arrive a monter les services que
je veux... facile avec inetd,... Mais je connais rien avec xinetd...
Xinetd semble etre effectivement un fichier par service... Et je vois pas
domain..
Donc ma question etait ... Comment créer un fichier , du moins... Quel outil
utiliser pour le créer et sous quelle forme ???
Je vois pas pourquoi et qu'est ce qui me bloquepour l'acces au dns de
wanadoo...
Je tiens a ta dispo (si tu le souhaites) tous les fichiers... Ifconfig,
eth0, eth1, ppp0, iptables -L, shorewall show, route, messages.log et
resolv.conf ...
Ce que je voudrais faire ?? : simplement et betement un petit firewall pour
chez moi,... La machine servant de firewall et proxy mandataire (ensuite !!
Faut d'abord que j'arrive a me connecter correctement sur le net !! :(
C'est tout...
Merci et @+
-Message d'origine-
De : Jacques Caruso [mailto:[EMAIL PROTECTED]
Envoyé : mardi 18 mai 2004 19:52
À : linux06@linuxfr.org
Objet : Re: [TECH] xinetd
Le mardi 18 Mai 2004 19:38, fifo55 a écrit :
Quelqu'un pourrait me dire comment faire pour ouvrir une
porte (la 53
apr exemple) sur la MNF en utilisant xinetd ? ... Le howto est pas
Euh ? À mon avis, il y a maldonne, là. Xinetd, c'est un
« super-serveur », pour lancer des processus serveur à la demande
lorsqu'un client se connecte (en gros). Ce que tu cherches
(apparemment), c'est le pare-feu. Sous Linux, c'est iptables. Pour
ouvrir le port 53 en TCP, tu fais comme ça :
iptables -A INPUT -j ACCEPT -p TCP --dport 53
tres comprehensible pour moi... Encore moins le man.. Et
inversement
comment faire pour en fermer une ... (la 111 qui est ouverte par
defaut ...)
iptables -A INPUT -j DENY -p TCP --dport 111
Note que tout ça, c'est perdu lors d'un réamorçage. La façon de
pérenniser le tout dépend de la distrib, et comme je ne sais pas ce
qu'est une MNF (jamais entendu parler), je ne vais pas m'avancer...
Dans le howto (fait par debian ! ) ils parlent de itox et
xconv.pl
qui ne semblent pas exister dans la MNF ... afin de convertir une
ligne (service) de inetd en xinetd ... Mais vu que inetd n'existe
pas non plus dans la MNF ...
C'est un des problèmes de Debian : xinetd n'est pas super
bien intégré.
D'où les bidouilles gruik gruik. Sur les Mdk/RH c'est plus
propre, avec
un fichier par service, rajouté par chaque paquet. J'ignore
comment la
tienne procède.
+++
--
[ Jacques Caruso [EMAIL PROTECTED]
Développeur PHP ]
[ Monaco Internet
http://monaco-internet.mc/ ]
[ Tél : (+377) 93 10 00 43Clé PGP :
0x41F5C63D ]
[ -+- Rappelez-vous que vous êtes unique. Comme tout le
monde. -+- ]
Linux-Azur : http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
Pas de message au format HTML, SVP
Linux-Azur : http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
Pas de message au format HTML, SVP
Re: RE : [TECH] xinetd
On Tue, 18 May 2004 20:11:35 +0200, fifo55 [EMAIL PROTECTED] wrote: En fait voilà ce qui m'arrive : (c'est un peu long,.. désolé...) [ snip explications ] Ton accès au DNS de wanadoo n'a strictement rien à voir avec xinetd. Ce dernier concerne en fait les serveurs qui fonctionnent chez toi. Quand tu es connecté au réseau passoire à spam et aux abus en tous genres (qui est bloqué par les 3/4 du monde civilisé) qu'est wanadoo, qu'est-ce qu'il y a dans ton /etc/resolv.conf ? Aussi, la sortie de iptables -L -v -n serait utile pour dépister les problèmes éventuels. -- G. Stewart -- [EMAIL PROTECTED] -- [EMAIL PROTECTED] Registered Linux user #284683 (Slackware 9.0, Linux 2.6.6) -- Cat, n: Lapwarmer with built-in buzzer. Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
Re: [TECH] xinetd
Le mardi 18 Mai 2004 20:11, fifo55 a écrit : MNF c'est la Multi Network Firewall (M N F) de Mandrake.. Noyeau 2.4 basée sur une 8.2... Ah, oki... Apres l'install par defaut de la MNF, quand je lance un adsl-start (fait au demarrage normalement) j'ai bien une adresse ip donnée par wanadoo... Par contre pas de resolution de noms... Il ne trouve rien !! Impossible de sortir... (pas de route.. ) Pas de route ? Tu veux dire que lorsque tu fais un route -n, aucune route par défaut ne s'affiche ? Que se passe-t-il si tu fais un bon vieux : route add default dev ppp0 Dans le même ordre d'idées, as-tu l'instruction 'defaultroute' dans ton fichier de config' pour pppd (dans /etc/ppp/peers/quelquechose, normalement) ? Donc je crois que ce qu'il faudrait que j'arrive a monter les services que je veux... facile avec inetd,... Mais je connais rien avec xinetd... Xinetd semble etre effectivement un fichier par service... Et je vois pas domain.. Euh, parce que BIND n'est pas géré par inetd, mais bon, toi tu veux accéder à un DNS externe, pas en monter un sur ta machine. Si ? Donc ma question etait ... Comment créer un fichier , du moins... Quel outil utiliser pour le créer et sous quelle forme ??? Pour xinetd ? Touch :-) Les fichiers de Xinetd se font à ma connaissance à la mimine (ils sont bien assez simples). Je vois pas pourquoi et qu'est ce qui me bloquepour l'acces au dns de wanadoo... D'abord assure-toi que l'interface ppp0 est bien montée, puis que tu as les routes qui vont bien, puis fais un iptables -L -n -v et vérifie la sortie. Si tout va bien jusqu'ici, on peut envisager le tracé de pentacle et sacrifice de poulet (nan, j'déconne, on va bien trouver avant d'en arriver là :-) Bon, faut absolument que je file prendre mon train, hop ! +++ -- [ Jacques Caruso [EMAIL PROTECTED] Développeur PHP ] [ Monaco Internet http://monaco-internet.mc/ ] [ Tél : (+377) 93 10 00 43Clé PGP : 0x41F5C63D ] [ -+- Rappelez-vous que vous êtes unique. Comme tout le monde. -+- ] Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
Re: RE : [TECH] xinetd
fifo55 wrote:
Merci de ta reponse.
MNF c'est la Multi Network Firewall (M N F) de Mandrake.. Noyeau 2.4 basée
sur une 8.2...
En fait voilà ce qui m'arrive : (c'est un peu long,.. désolé...)
En fait le probleme est simple a priori :
Apres l'install par defaut de la MNF, quand je lance un adsl-start (fait au
demarrage normalement) j'ai bien une adresse ip donnée par wanadoo... Par
contre pas de resolution de noms... Il ne trouve rien !! Impossible de
sortir... (pas de route.. )
Il faut d'abord regarder la configuration réseau:
[EMAIL PROTECTED] # ifconfig
Les cartes internes:
eth0 Lien encap:Ethernet
eth1 Lien encap:Ethernet
loLien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
Puis la liaison adsl:
ppp0 Lien encap:Protocole Point-à-Point
inet adr:XXX.XXX.XXX.XXX P-t-P:192.168.254.254
Masque:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
.
Si tout est OK regarder la route:
[EMAIL PROTECTED] root]# route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric RefUse Iface
255.255.255.255 0.0.0.0255.255.255.255 UH0 00 eth0
192.168.254.254 0.0.0.0255.255.255.255 UH0 00 ppp0
localnet0.0.0.0255.255.255.0 U 0 00 eth0
127.0.0.0 0.0.0.0255.0.0.0 U 0 00 lo
0.0.0.0192.168.254.254 0.0.0.0 UG0 00 ppp0
Si tout est OK alors passer a la suite
Les règles de filtrage n'empèche pas a priori que tu interroge des
serveurs externes DNS, l('ouverture du port 53 ne sse justifiera que si
tu fais office de serveur DNS...
--
Prenez du bon temps! Oubliez le stress! Utilisez Linux :o)
JFGhislain - Linux-Azur http://www.linux-azur.org
Linux-Azur : http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
Pas de message au format HTML, SVP
