Pb : IPCHAINS & Serveur
Pb : IPCHAINS & Serveur - Linux et OS Alternatifs
Marsh Posté le 11-10-2001 à 15:18:54
si tu place la ligne "ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p tcp -i ppp0 -j DENY -y" a la fin ?
Marsh Posté le 11-10-2001 à 20:12:41
http, ftp, pop (110) et smtp(25) n'utilise que le protocol tcp
mysql aussi je pense - si tu n'utilises mysql que avec php, je te conseille de fermer ce port !
Pour le ftp le port data(20) doit être ouvert aussi.
Restreint les règles en spécifiant ton ip externe comme source ou destination. Si elle est dynamique utilise
$MY_IP=`ifconfig ppp0 \grep inet \ cut -d : -f 2 \ cut -d \ -f 1`
Cela t'oblige à relancer le firewall à chaque déconnexion, ajoute la ligne de commande dans /etc/ppp/ip-up.local
Essaye dans la mesure du possible d'avoir les police par défaut à DENY (ipchains -P input DENY, ipchains -P output DENY, ipchains -P forward DENY)
A consulter :
une bonne url http://www.linux-firewall-tools.com/linux/faq/
un script idéal de base à modifier : http://www.linux-firewall-tools.co [...] l.ipchains
Conseil : passe à iptables, c'est bien plus puissant ! 
Marsh Posté le 11-10-2001 à 20:14:52
Merci pour toutes ces infos !!! Trop cool toi 
---------------
Les prix du matos sur Internet et près de chez vous : www.france-hardware.com
Marsh Posté le 11-10-2001 à 20:32:37
pour cs faut ouvrir (de tete) les ports 27010
et 27015 a 27065
Marsh Posté le 11-10-2001 à 20:33:59
active aussi au debut les protections du kernel
masi si t juste au debut de la conception d un firewall passe a iptable
et un conseil avant de le faire ecrit sur un bout de papier la structures logiques de ton firewall avec ceux que tu veux ouvrir ou fermer
Marsh Posté le 11-10-2001 à 20:45:40
Ca apporte koi de + IPTABLES ? c plus simple à configurer ?
---------------
Les prix du matos sur Internet et près de chez vous : www.france-hardware.com
Marsh Posté le 11-10-2001 à 21:04:03
[mode Martinez and Ping ON]
CAI STATEFULL !!!!!!!!!!!!!!!!
[mode martinez and Ping OFF]
en gros, ca gère tt les status de connections, bien mieux qu'IP chains...
ca utilise aussi les fonctions rézo du kernel 2.4, qui sont plus rapides...
et y'a plus de syntaxe possible, vu que ca intègre le portmapping, chose que ipchains ne peut faire qu'avec IPmasqADM...
---------------
Jubi Photos : Flickr - 500px
Marsh Posté le 11-10-2001 à 21:45:23
j ai tjrs po bien compris ce qu etait le statefool m enfin
iptable le truc le plus interressent est carrement le port mapping super pratique faut vraiment que je m y mette a iptable pour l instant je suis sous ipchains
Marsh Posté le 11-10-2001 à 22:21:07
| GUG a écrit a écrit : pour cs faut ouvrir (de tete) les ports 27010 et 27015 a 27065 |
le 27015 suffit pour cs
Marsh Posté le 11-10-2001 à 22:22:17
tous les servers sont po en 2015 y en a qui vont jusqu a 2065 
Marsh Posté le 11-10-2001 à 22:26:04
iptables simplifie un peu les choses ...
Statefull = tu peux considérer que les connections établies sont de confiance par exemple.
Imagine que tu as une machine connectée à Internet et que tu permets à tout le monde d'accéder à certains services (web, ftp,...).
Chaque fois qu'une personne se connecte (input), tu testes pleins de choses (pas de spoof, pas d'adresses interdites, connection sur certains ports...) et puis tu accèptes la connection si tout est ok.
Pour renvoyer des infos à la personne connectée (output), tu peux considérer que si la connection a été établie tu acceptes de lui envoyer ces informations.
C'est assez pratique...
c'est ça le "statefull".
[edtdd]--Message édité par ethernal--[/edtdd]
Marsh Posté le 11-10-2001 à 22:48:41
| GUG a écrit a écrit : tous les servers sont po en 2015 y en a qui vont jusqu a 2065 |
sauf que si il fait son propre serveur, il le fixe sur un port (le 27015 par défaut)
Marsh Posté le 11-10-2001 à 23:09:34
| Jubijub a écrit a écrit : je confirme : pour le client, c tjs 27015 ...si tu fais un server, t'a la plage [27000-31000] |
sauf que tu peux changer aussi le client et utiliser un autre port que le 27015.
Par défaut, c le 27015 que ton serveur doit accepter en entrée.
Comme tout est accepté en sortie dans le cas présent, tu n'a pas a préciser la plage de sortie.
Marsh Posté le 11-10-2001 à 23:53:20
| ethernal a écrit a écrit : iptables simplifie un peu les choses ... Statefull = tu peux considérer que les connections établies sont de confiance par exemple. Imagine que tu as une machine connectée à Internet et que tu permets à tout le monde d'accéder à certains services (web, ftp,...). Chaque fois qu'une personne se connecte (input), tu testes pleins de choses (pas de spoof, pas d'adresses interdites, connection sur certains ports...) et puis tu accèptes la connection si tout est ok. Pour renvoyer des infos à la personne connectée (output), tu peux considérer que si la connection a été établie tu acceptes de lui envoyer ces informations. C'est assez pratique... c'est ça le "statefull". |
merci
Marsh Posté le 13-10-2001 à 01:57:46
Ok, merci je v voir les howto sur IPTABLES pour voir...
Sinon, comme script de reconnexion automatique (et reboot du modem si possible) pour une connexion ADSL PPTP via Alcatel Ethernet Speed Touch Home, on trouve koi ?
---------------
Les prix du matos sur Internet et près de chez vous : www.france-hardware.com
Marsh Posté le 13-10-2001 à 12:04:31
iptables :
- http://www.knowplace.org/netfilter/syntax.html
- http://www.linuxguruz.org/iptables/
- http://netfilter.filewatcher.org/
- http://people.unix-fu.org/andreasson/
connexion modem Speed Touch Home ethernet :
pppoe : http://www.roaringpenguin.com/pppoe/
(la configuration avec pppoe en plugin demande une configuration spéciale du firewall pour accéder à certains sites)
c'est quoi la défférence entre ppptp et pppoe ?
ADSL en général : http://linux.adsl-bc.org/
[edtdd]--Message édité par ethernal--[/edtdd]
Marsh Posté le 13-10-2001 à 12:09:41
pptp ou pppoe :
pptp : point to point protocol : protocole propriétaire Microsoft, qui crée un réseau virtuel privé pour établir la connection...fermé et un poil plus lent que le pppoe, donc suxx
pppoe : ppp over ethernet : les paquets sont encapsulés dans des paquets IP : plus rapide, et norme libre
en gros, t'a le choix, tu peux demander à FT la migration....
---------------
Jubi Photos : Flickr - 500px
Sujets relatifs:
- Serveur radius linux
- Comment modifier l'adresse IP d'un serveur UNIX Sco OpenServeur
- Serveur Gimp?
- Install de serveur HL/Cstrike sous linux
- serveur FTP sous linux
- Serveur Q3
- [debutant]serveur mail
- 486 et serveur linux
- ld.so.conf / Serveur CS
- Depuis quand le serveur tourne ??
Marsh Posté le 11-10-2001 à 15:11:11
J'y arrive po !!!!
Bon alors, le but : Partage de connexion sans filtrage + Filtrage sur serveur uniquement. Le serveur doit faire fonctionner Apache, MySQL, POP3, SMTP, FTP et COUNTER STRIKE.
Voilà ce ke je pensais faire (en oubliant Counter ds un premier tps) :
ipchains -P input ACCEPT (post modifié)
ipchains -P forward DENY
ipchains -P output ACCEPT
ipchains -A forward -s 192.168.0.0/24 -i ppp0 -j MASQ
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p tcp -i ppp0 -j DENY -y
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 80 -p tcp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 21 -p tcp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 53 -p tcp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 25 -p tcp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 110 -p tcp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 3306 -p tcp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 80 -p udp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 21 -p udp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 53 -p udp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 25 -p udp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 110 -p udp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 3306 -p udp -i ppp0 -j ACCEPT
Le partage marche nickel mais le serveur semle innaccessible depuis le web, la question est : k'est-ce qui va pas ? et y'a-t-il des ports inutilement ouverts ?
[edtdd]--Message édité par Snake Ultimate--[/edtdd]
---------------
Les prix du matos sur Internet et près de chez vous : www.france-hardware.com