View previous topic :: View next topic |
Author |
Message |
Aachen_france Tux's lil' helper
Joined: 07 Jul 2006 Posts: 92
|
Posted: Wed Aug 02, 2006 8:56 am Post subject: [Shorewall] M'a pris en otage... Reparamettrage |
|
|
Bonjour,
Voila j'ai plusieurs problèmes avec mon serveur gentoo, qui en résulte de mes différente manip que j'ai faite décrite dans d'autre post... c'est pourquoi j'en créé un autre car je pense que mes problèmes y sont lies... (je vous remercie d'ailleurs pour toutes vos réponses et conseil)
Mon serveur me sers a plusieurs chose: (je précise que je n'ai pas d'interface graphique, tout est en ligne de commande..)
1) Partage de connections Internet sur un réseau domestique avec des station Windows... (connection wanadoo max 5Mo chez moi, Modem Ethernet Speed touch 510 V5 chez Wanadoo )
2) Partage de donne sur ce réseau ( serveur samba): les disques de données ce trouve en USB2 avec une carte PCI/USB2
3) Serveur DHCP (mes stations windows sont configurer en IP auto) Serveur ssh
4) serveice dyndns
5) serveur web (Apache2)
6) routeur pour un serveur sur le port 10001 d'une station du réseau domestique sous windows XP
Je ne m'y connais encore que très peut en linux, d'ailleurs les point 1), 2), 3) et 4) ce n'est pas moi qui les est installer/configurer
Voici mes différentes manip:
*J'ai configurer le shorewall pour faire le point 6) ça marchait extra...
*J'ai configurer un serveur Apache2 qui fonctionne/ait pas mal...
*Voila j'ai voulu au départ faire une redirection d'ip... on m'avais conseiller de faire un emerge squid pour ça... c'était une fausse piste, j'ai donc abandonner.... (emerge --unmerge squid)
*Entre temps ne me demande pas pourkoi, j'ai fait un emerge prel.... emerge --unmerge prel et un re emerge prel...
*Ensuite j'ai fait un tour pour configurer VirtualHost mais la j'ai remis comme c'était avant...
**J'ai eu un problème de dyndns qui ne fonctionnais plus bien a mon goût, en effet je n'arrivais plus a me connecter a mon ssh de l'extérieur avec le dyndns... Seul l'ip que je trouvais d'ailleurs sur le site de dyndns. org me permettait de me connecter... donc j'ai regarder du cote de ddclient, rien... donc jai voulu regarder le adsl-setup, c'est la que ca commençais a foirer... plus de connections au net... j'ai reconfiguré mon adsl-setup avec les ancien DNS de wanadoo, puis les nouveaux....
*J'ai regarder du cote de iptables avec l'aide du site de Christian Caleca, j'ai ess de reconfigurer avec sont tuto, rien n'y fait c'est même pire....
Alors mes symptôme:
Apres les manips d'écrite dans le **, je pouvais me connecter au net de mes machines sur le réseau (le reste marchait bien, apache, samba, mon serveur sous xp depuis l'exterieur), MAIS avec bcp de restriction, (notamment msn messenger impossible, les forums impossible (ex: ce forum, doctissimo...), hotmail impossible, mirc impossible, par contre laposte pour lire mes Email ok, ma banque ok, google ok; avec les recherches mais pas de page qui s'ouvre en cliquant sur les lien après la recherche...) par contre le reste marchait bien, apache, samba, mon serveur sous xp depuis l'extérieur.
Sur le gentoo, ping www.wanadoo.fr pas de problème, ping www.msn.fr me rendait packet filtred
Apres les manips sur iptables (je pensais que c'était la le problème après le packet filtred) et bien c'est devenu encore plus grave.... les station sur le réseau domestique, ne trouve même plus d'ip qui est sensé être donne pas le serveur dhcp....
Voila je pense que j'ai fait un peu le tour de mes mésaventure...
Est ce que qq1 aurait un idée ou un conseil de recherche??? Car la je suis vraiment dans la m
. jai même reconfigurer provisoirement un serveur pour le partage de ma connections sous windows,
..cest pour dire
(jespère que ça restera du provisoire)
Merci d'avance pour vos réponses
a+ aachen _________________ Serveur Gentoo... DHCP, Partage connection internet, et ssh
Last edited by Aachen_france on Fri Aug 04, 2006 8:21 am; edited 2 times in total |
|
Back to top |
|
|
-KuRGaN- Veteran
Joined: 05 Dec 2004 Posts: 1142 Location: Besançon (25) [FRANCE]
|
Posted: Wed Aug 02, 2006 9:54 am Post subject: |
|
|
Post nous le résultat d'un iptables -L de ton serveur pour commencer histoire de voir ou il en est. _________________ Knight Gent00 Industries RiDeR !!!! |
|
Back to top |
|
|
Aachen_france Tux's lil' helper
Joined: 07 Jul 2006 Posts: 92
|
Posted: Wed Aug 02, 2006 10:41 am Post subject: |
|
|
Merci pour ta reponce
Alors la ca va etre tres complique je crois...
1) comment on enregistre le resultat du iptables dans un fichier?
2) comment le recuperer pour le poster mon reseau est down...
Au pire je peut le reecrire a la main, mais ca va etre long et de tout facon, (a la main ou par un fichier) ca ne sera pas avant ce soir...
J'ai tourver un autre tuto.
http://www.gentoo.org/doc/fr/home-router-howto.xml
Est ce que vous pensais que je doit recommencer toute le partie de routage et dns???
En fait il y a un truc qui me chagrine qd meme.... le rapport entre shorewall et iptables.... Dans shorewall il y a aussi des dites "macro" que je ne mettrise pas du tout... En plus si iptables fait tout, a quoi peut servir shorewall?
a+ aachen _________________ Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
Back to top |
|
|
Oupsman Veteran
Joined: 19 Jul 2004 Posts: 1042
|
Posted: Wed Aug 02, 2006 11:11 am Post subject: |
|
|
1/ iptables -L > /tmp/iptables.res
2/ une clé USB ? _________________ --
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.
----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong." |
|
Back to top |
|
|
Ezka Guru
Joined: 17 Feb 2005 Posts: 352 Location: par là, mais vraiment ...
|
Posted: Wed Aug 02, 2006 11:16 am Post subject: |
|
|
1) Pour récupérer les sorties stdout/err de tes commandes dans un fichier tu as les redirections :
iptable -L > monfichiertexte.txt
2) Disquette ? (si si ça existe encore)
(arg trop lent)
PS : pour les redirections et les subtilités du shell : http://lea-linux.org/cached/index/Admin-admin_env-shell.html |
|
Back to top |
|
|
man in the hill Veteran
Joined: 15 Dec 2005 Posts: 1552 Location: Madinina
|
Posted: Wed Aug 02, 2006 11:37 am Post subject: |
|
|
Salut,
Essais mon script http://www.guidelinux.org/phpBB/viewtopic.php?t=256&start=30 , il n'y que qques modifs à faire pour l'interface qui à accès au net (tu remplaces eth1 par ppp0)...Et si tu n'as pa de wifi, tu enlèves l'interface ra0... Si dyndns ne te convient pas inscrit toi chez no-ip car moi j'ai eu des problème de maj de mon IP avec dyndns et j'utilise no-ip... Je t'ai trouvé une page qui t'explique http://linuxtransition.free.fr/logiciels/int_no-ip.php , c'est assez facile et rapide et surtout ça fonctionne bien !!!!
@+ _________________ Get Up and Go ! |
|
Back to top |
|
|
Aachen_france Tux's lil' helper
Joined: 07 Jul 2006 Posts: 92
|
Posted: Wed Aug 02, 2006 11:43 am Post subject: |
|
|
Merci pour toute vos reponces...
c'est vrai que le clef usb dervait faire l'affaire... En plus je n'ai meme pas de lecteur de disquette dessus...
Bon pour le montage, comme vous avez lu plus haut... j'ai des disque en USB2 qui sont monter au demarrage... vous pensais quand mettant ma clef a la place, je pourrai le voir ce monter toute seul???
Sion je pence que c'est ca non??
Code: | mount /dev/sd3/ /mnt/ammovible/...
et apres
unmount /mnt/ammovible/
|
Comme je vous l'ai dis, j'ai encore du mal avec ces truc non auto de lunix.... (et oui je suis convincu par linux, mais c'est assez complique a l'utilisation pour certaine fonction que windaupe fait tout seul comme un grand... lol lol)
a+ aachen _________________ Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
Back to top |
|
|
At0m3 Tux's lil' helper
Joined: 10 Jun 2006 Posts: 123
|
Posted: Wed Aug 02, 2006 12:09 pm Post subject: |
|
|
Faut que tu regardes du côté de hal, ivman et pmount... Ca fait "pareil que windows"
Je crois que ça se trouve sur le wiki gentoo fr ; d'ailleurs, est-ce que vous savez si le wiki gentoo fr sera réparer un jour ou l'autre... ça fait plus de 2 mois qu'il a une erreur, c'est hyper chiant pour la recherche, et rien ne bouge... |
|
Back to top |
|
|
ghoti Advocate
Joined: 30 Dec 2002 Posts: 3634 Location: Belgium
|
Posted: Wed Aug 02, 2006 12:53 pm Post subject: |
|
|
At0m3 wrote: | Faut que tu regardes du côté de hal, ivman et pmount... Ca fait "pareil que windows" |
A signaler aussi : sous kde, il y a les "kioslaves" qui marchent très bien et sous gnome, il y a gnome-volume-manager qui fait, je crois, à peu près la même chose.
Ces 3 solutions sont les plus modernes mais cela fait longtemps qu'il existe des "autofs" et autres "supermount" ! |
|
Back to top |
|
|
Aachen_france Tux's lil' helper
Joined: 07 Jul 2006 Posts: 92
|
Posted: Wed Aug 02, 2006 1:16 pm Post subject: |
|
|
Merci pour toute vos reponces...
Je vais voir ca ce soir en rentrant est je post le resultat...
Merci pour les outils d'automontage, je crois qu'il y en a un sur ma machine... je pence que c'est autovfs...
Sinon pour les autres, ca pourra me servir plus tard je pense... car j'ai un peut de mal a faire un emerge de quoi que ce soit sans la connection au net operationnel.... lol lol (et c'est la mon probleme hi hi)
a+ aachen _________________ Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
Back to top |
|
|
Aachen_france Tux's lil' helper
Joined: 07 Jul 2006 Posts: 92
|
Posted: Wed Aug 02, 2006 4:25 pm Post subject: |
|
|
Bonsoir,
Bon j'ai fouiller un peut sur la toile, et en effet apres certain symptome, nottament que hier apres avoir refait TOUT le iptables comme dans les tuto; le iptables -L me donnais bien ce qui fallais, mais qd je restarter mon shorewall le iptables -L n'avais pas du tout la meme geule.... d'une dixene de ligne il passais a trois pages....
J'ai regarde mon rules du shorewall, rien de plus que ce que j'ai mis... par contre lors du demarrage de shorewall, j'ai remarque qui y avais dea macro qqpart... donc j'en deduis que mes soucis sont dans c'est marco...
Question: 1) dans quel fichier, comment on peut voir exactement les macros utiliser par shorewall?
2) et surtout comment revenir a des marco "standard"?
vous avez une idee
vous remiercie d'avance
a+ aachen _________________ Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
Back to top |
|
|
Aachen_france Tux's lil' helper
Joined: 07 Jul 2006 Posts: 92
|
Posted: Wed Aug 02, 2006 6:54 pm Post subject: |
|
|
Re,
Alors voila c'est bien ce que je pensais...
apres avoir fait un iptables -F et -X donc une table vide... restart du shorewall, voila ce que me donne le iptables -L
Code: |
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ppp0_in all -- anywhere anywhere
eth0_in all -- anywhere anywhere
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:INPUT:REJECT:'
reject all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
ppp0_fwd all -- anywhere anywhere
eth0_fwd all -- anywhere anywhere
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:FORWARD:REJECT:'
reject all -- anywhere anywhere
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
fw2loc all -- anywhere anywhere
fw2net all -- anywhere anywhere
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:OUTPUT:REJECT:'
reject all -- anywhere anywhere
Chain Drop (0 references)
target prot opt source destination
reject tcp -- anywhere anywhere tcp dpt:auth
dropBcast all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp fragmentation-needed
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
dropInvalid all -- anywhere anywhere
DROP udp -- anywhere anywhere multiport dports epmap,microsoft-ds
DROP udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn
DROP udp -- anywhere anywhere udp spt:netbios-ns dpts:1024:65535
DROP tcp -- anywhere anywhere multiport dports epmap,netbios-ssn,microsoft-ds
DROP udp -- anywhere anywhere udp dpt:1900
dropNotSyn tcp -- anywhere anywhere
DROP udp -- anywhere anywhere udp spt:domain
Chain Reject (4 references)
target prot opt source destination
reject tcp -- anywhere anywhere tcp dpt:auth
dropBcast all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp fragmentation-needed
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
dropInvalid all -- anywhere anywhere
reject udp -- anywhere anywhere multiport dports epmap,microsoft-ds
reject udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn
reject udp -- anywhere anywhere udp spt:netbios-ns dpts:1024:65535
reject tcp -- anywhere anywhere multiport dports epmap,netbios-ssn,microsoft-ds
DROP udp -- anywhere anywhere udp dpt:1900
dropNotSyn tcp -- anywhere anywhere
DROP udp -- anywhere anywhere udp spt:domain
Chain all2all (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:all2all:REJECT:'
reject all -- anywhere anywhere
Chain dropBcast (2 references)
target prot opt source destination
DROP all -- anywhere anywhere PKTTYPE = broadcast
DROP all -- anywhere anywhere PKTTYPE = multicast
Chain dropInvalid (2 references)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
Chain dropNotSyn (2 references)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN
Chain dynamic (4 references)
target prot opt source destination
Chain eth0_fwd (1 references)
target prot opt source destination
dynamic all -- anywhere anywhere state INVALID,NEW
loc2net all -- anywhere anywhere
Chain eth0_in (1 references)
target prot opt source destination
dynamic all -- anywhere anywhere state INVALID,NEW
loc2fw all -- anywhere anywhere
Chain fw2loc (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:fw2loc:ACCEPT:'
ACCEPT all -- anywhere anywhere
Chain fw2net (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:fw2net:ACCEPT:'
ACCEPT all -- anywhere anywhere
Chain loc2fw (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:loc2fw:ACCEPT:'
ACCEPT all -- anywhere anywhere
Chain loc2net (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:loc2net:ACCEPT:'
ACCEPT all -- anywhere anywhere
Chain net2fw (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:net2fw:ACCEPT:'
ACCEPT all -- anywhere anywhere
Chain net2loc (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:net2loc:ACCEPT:'
ACCEPT all -- anywhere anywhere
Chain norfc1918 (2 references)
target prot opt source destination
rfc1918 all -- 172.16.0.0/12 anywhere
rfc1918 all -- anywhere anywhere ctorigdst 172.16.0.0/12
rfc1918 all -- 192.168.0.0/16 anywhere
rfc1918 all -- anywhere anywhere ctorigdst 192.168.0.0/16
rfc1918 all -- 10.0.0.0/8 anywhere
rfc1918 all -- anywhere anywhere ctorigdst 10.0.0.0/8
Chain ppp0_fwd (1 references)
target prot opt source destination
dynamic all -- anywhere anywhere state INVALID,NEW
norfc1918 all -- anywhere anywhere state NEW
net2loc all -- anywhere anywhere
Chain ppp0_in (1 references)
target prot opt source destination
dynamic all -- anywhere anywhere state INVALID,NEW
norfc1918 all -- anywhere anywhere state NEW
net2fw all -- anywhere anywhere
Chain reject (10 references)
target prot opt source destination
DROP all -- anywhere anywhere PKTTYPE = broadcast
DROP all -- anywhere anywhere PKTTYPE = multicast
DROP all -- 255.255.255.255 anywhere
DROP all -- 224.0.0.0/4 anywhere
REJECT tcp -- anywhere anywhere reject-with tcp-reset
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
REJECT icmp -- anywhere anywhere reject-with icmp-host-unreachable
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain rfc1918 (6 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:rfc1918:DROP:'
DROP all -- anywhere anywhere
Chain shorewall (0 references)
target prot opt source destination
Chain smurfs (0 references)
target prot opt source destination
LOG all -- 255.255.255.255 anywhere LOG level info prefix `Shorewall:smurfs:DROP:'
DROP all -- 255.255.255.255 anywhere
LOG all -- 224.0.0.0/4 anywhere LOG level info prefix `Shorewall:smurfs:DROP:'
DROP all -- 224.0.0.0/4 anywhere
|
Je vias regarder ca plus en profondeur...
mais si vous avis des idees...
C'est regle ne sont pas dans le rules en toucas...
a+ aachen _________________ Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
Back to top |
|
|
Aachen_france Tux's lil' helper
Joined: 07 Jul 2006 Posts: 92
|
Posted: Wed Aug 02, 2006 7:00 pm Post subject: |
|
|
Comment je peut,
revenir a la normal....
il ne faudrait des fichiers par default... ou les trouver??
merci de votre aide
a+ aachen _________________ Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
Back to top |
|
|
Aachen_france Tux's lil' helper
Joined: 07 Jul 2006 Posts: 92
|
Posted: Wed Aug 02, 2006 8:13 pm Post subject: |
|
|
re,
vous avez une idee?
a+ aachen _________________ Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
Back to top |
|
|
bob1977 Guru
Joined: 16 Mar 2004 Posts: 387
|
Posted: Wed Aug 02, 2006 9:31 pm Post subject: |
|
|
Salut Aachen_france,
Quote: | Comment je peut,
revenir a la normal....
il ne faudrait des fichiers par default... ou les trouver?? |
Si tu parles des fichiers de shorewall, le fait de le reemerger te remettra les fichiers de config par defaut mais ils ne seront pas actives: dans /etc/shorewall, tu auras des fichiers .cfg0000_ + le nom du fichier normal. Renomme tes fichiers actuels puis renomme les nouveaux en supprimant le ".cfg000_".
Autrement, tu as surement des exemples de fichiers de configs sur le site de shorewall |
|
Back to top |
|
|
Aachen_france Tux's lil' helper
Joined: 07 Jul 2006 Posts: 92
|
Posted: Wed Aug 02, 2006 10:24 pm Post subject: |
|
|
merci pour ta reponce...
pour remerger je fait
Code: | emerge --unmerge shorewall
et
emrege shorewall |
c'est ca??
a+ aachen _________________ Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
Back to top |
|
|
bob1977 Guru
Joined: 16 Mar 2004 Posts: 387
|
Posted: Thu Aug 03, 2006 12:24 am Post subject: |
|
|
Il suffit juste de faire
|
|
Back to top |
|
|
Aachen_france Tux's lil' helper
Joined: 07 Jul 2006 Posts: 92
|
Posted: Thu Aug 03, 2006 7:21 am Post subject: |
|
|
Bonjour,
Merci de vos reponces...
Tres fatiguer aujourd'hui, je n'ai toujours la trouver une solution a mon probleme...
Juste avant le message qui precede, j'ai ess de faire comme j'ai dit... un emerge --unmerge puis un emerge... Conclusion: riem n'a change.. toujours la meme chose, le iptables me donne toujours le meme chose... J'ai l'inpression que ces fichier dont peur etre ailleur, mias ou? et quoi regarder?
En regardant mon iptables -L , je pense voie les regles qui m'enmerde... mais comment faire pour corrigre ca?
Vous avez une idee?
a+ aachen _________________ Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
Back to top |
|
|
Aachen_france Tux's lil' helper
Joined: 07 Jul 2006 Posts: 92
|
Posted: Thu Aug 03, 2006 8:26 am Post subject: |
|
|
Re,
J'aurai bien virer totalemt shorewall, mais la, plus rien ne marche. meme avec les regles de iptables comme dans les tuto... Je n'ai meme plus acces au net de mon gentoo
Une idee?
merci
a+ aachen _________________ Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
Back to top |
|
|
man in the hill Veteran
Joined: 15 Dec 2005 Posts: 1552 Location: Madinina
|
Posted: Thu Aug 03, 2006 1:50 pm Post subject: |
|
|
Aachen_france wrote: | Re,
J'aurai bien virer totalemt shorewall, mais la, plus rien ne marche. meme avec les regles de iptables comme dans les tuto... Je n'ai meme plus acces au net de mon gentoo
Une idee?
merci
a+ aachen |
Shorewall t'a pris en otage ! Je ne vois pas trop ton prob, si tu vires shorewall et tu places un script iptables à la place avec la doc gentoo du routeur perso, plus mon script...j'ai un serveur/routeur/firerwall qui fonctionne avec mon script...donne moi le nom de tes interfaces réseaux et je vais modifier mon script pour coller à ta config...
Bon courage !
@+ _________________ Get Up and Go ! |
|
Back to top |
|
|
Aachen_france Tux's lil' helper
Joined: 07 Jul 2006 Posts: 92
|
Posted: Thu Aug 03, 2006 2:06 pm Post subject: |
|
|
Merci de ta reponce...
Je commencer a etre totalement perdu avec tout ce que j'ai lu sur le net avec ces diferrant script...
Bon ma config est:
eht0 : reseau domestique
eht1: => ppp0 relié au modem (je rappel que le modem n'est pas un routeur. il y besions du serveur pour ce conecter au net. s'est le serveur qui contient les usr et pas du FAI, pas le modem)
J'avais un regle dans le rules du shorewall qui doit etre aussi transcrite a l'iptables
Code: | DNAT net loc:192.168.0.251 tcp 10001 |
J'ai un serveur sur cette machine 192.168.0.251:10001 :accecible de internet (par le DynDNS aussi)
Sinon normal:
DynDNS
samba: accessible de l'intranet
ssh: accecible de internet et intranet (par le DynDNS aussi)
serveur web apache2: accecible de internet et intranet (par le DynDNS aussi)
Prevoir si c'est possible l'utilisation de emule par 192.168.0.251
Voila je pense avoir fait le tour...
Il me faudra eventuellement des explications pour retirer shorewall, et installer ton script pour qu'il soit pris en compte au demarage
Si tu as de questions n'hesite pas...
Encore merci
a+ aachen _________________ Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
Back to top |
|
|
man in the hill Veteran
Joined: 15 Dec 2005 Posts: 1552 Location: Madinina
|
Posted: Thu Aug 03, 2006 3:38 pm Post subject: |
|
|
Salut,
Voilà:
Code: |
##########################################################################
# On vide toutes les chaines des tables + les chaines persos.
##########################################################################
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptabes -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -X
############################################################################################################
# On bloque les entrées sur la machine locale, le forwarding et on accepte les sorties à partir de la machine locale.
# iptables -L pour lister les règles
# La table filter est celle par défaut mais je la précise quand même pour que l'on soit bien conscient que l'on utilise la table filter et non la table nat ou mangle.
############################################################################################################
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
######################
# Mise en place du NAT
######################
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
##################################################################
# On autorise le fonctionnement de l'interface loopback.
##################################################################
iptables -t filter -A INPUT -i lo -j ACCEPT
##########################
# On autorise le LAN
##########################
iptables -t filter -A INPUT -i eth0 -j ACCEPT
######################
# Se protèger du ping
######################
iptables -t filter -A INPUT -p icmp -m state --state RELATED -j ACCEPT
#############################################
# Autoriser le surf depuis le LAN
#############################################
iptables -t filter -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
######################################################################
# Autoriser les connexions déjà établies à rentrer vers le LAN
######################################################################
iptables -t filter -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
##########################################################################################
# Gestion des connexions externes déjà établies entrant sur la machine locale
##########################################################################################
iptables -t filter -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#######################################################
# Serveur web sur la machine local
#######################################################
iptables -t filter -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
#############
# DNAT
#############
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport xx_port -j DNAT --to 192.168.0.251:10001
##############################################################
# SSH depuis le net vers le routeur comme point d'entrée
##############################################################
iptables -t filter -A INPUT -i ppp0 -p tcp --dport ssh -j ACCEPT
#########################################
# emule, c'est comme la règle DNAT
#########################################
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport xx_port -j DNAT --to-destination 192.168.0.251:xx_port
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport xx_port + 3 -j DNAT --to-destination 192.168.0.251:xx_port
######################################################################################################################
#
######################################################################################################################
|
xx_port : Tu dois indiquer un port d'entré sur ton serveur gentoo...
Mon principe est simple, je laisse sortir les applications qui font des requêtes et les laissent recevoir leurs réponsent et je bloques tout ce qui vient du net qui n'ont pas de règles écrites spécifiés...
Vu que ton serveur est une gentoo, c'est très simple à sauvegarder et lancer au démarrage !
Tout d'abord, tu dois décomenter la ligne :
Code: | net.ipv4.ip_forward = 1 | ds le fichier /etc/sysctl.conf pour dire au noyau de forwarder les connexions...(ça active le partage...).
Ensuite tu tapes ds un terminal les règles iptables et tu les sauves via cette commande :
Code: | /etc/init.d/iptables save |
ds Code: | /var/lib/iptables/rules-save |
Tu peux les sauver ds un fichier de sauvegarde:
Code: | iptables-save >/root/invisible_iptables |
et pour les restorer :
Code: | iptables-restore </root/invisible_iptables |
ps : tu donnes le nom que tu veux a ce fichier !
Pour mettre au demarrage :
Code: | rc-update add iptables default |
Dèjà, tu arrêtes shorewall, ensuite si tout fonctionne comme tu le souhaites , tu désinstalles avec emerge !
Tu peux tester tes ports à cette adresse:
http://www.pcflank.com/test.htm
J'espère que ça va marcher !
@+ _________________ Get Up and Go ! |
|
Back to top |
|
|
Aachen_france Tux's lil' helper
Joined: 07 Jul 2006 Posts: 92
|
Posted: Thu Aug 03, 2006 4:04 pm Post subject: |
|
|
Salut,
merci infiniment...
Juste deux questione encore...
Si je fait un copie/coller dans un fichier avec mon xp et notepad++ que je cree est'til possible de faire avec ce fichier que je recupere avec le clefs USB comme tu as dis?????
Code: | iptables-restore </root/invisible_iptables |
Si tout marche bien, il faudrais que j'ellimine aussi le demmarage automatique de shorewall au boot...
Encore merci bcp...
a+ aachen _________________ Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
Back to top |
|
|
Aachen_france Tux's lil' helper
Joined: 07 Jul 2006 Posts: 92
|
Posted: Thu Aug 03, 2006 4:24 pm Post subject: |
|
|
Ha j'allais oublie,
lorsque je fait un
Code: | /etc/init.d/iptables restart |
il va me demarer automatiquement le shorewall.. je ne sais pas si ceci a avoir avec ca,
man in the hill wrote: |
Tout d'abord, tu dois décomenter la ligne :
Code: | net.ipv4.ip_forward = 1 | ds le fichier /etc/sysctl.conf pour dire au noyau de forwarder les connexions...(ça active le partage...).
|
mais si ce n'est pas le cas, je vais tourner encore longtemps en rond... lol
merci
a+ aachen _________________ Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
Back to top |
|
|
man in the hill Veteran
Joined: 15 Dec 2005 Posts: 1552 Location: Madinina
|
Posted: Thu Aug 03, 2006 4:38 pm Post subject: |
|
|
Salut,
Sans les commentaires bien sûr ...
le mieux est que tu rentres les règles ds un terminal et que tu les sauvent , ensuite tu stop shorewall et tu lances iptables :
Code: | /etc/init.d/iptables start | pour démarrer iptables et tester si cela fonctionne....
Tu enlèves shorewall :
Code: | rc-update del shorewall default |
si tu as bien shorewall au default, colle moi la commande :
Tu me remercieras quand cela fonctionera !!!!
Aachen_france wrote: | il va me demarer automatiquement le shorewall.. je ne sais pas si ceci a avoir avec ca, |
Alors vire shorewall de suite !!!! et tous ces fichiers...
qui va indexer tes fichiers puis :
et tu effaces les fichiers....
@+ _________________ Get Up and Go ! |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|