hello,  
 
je vais faire une crise de nerfs.  
 
J'ai un réseau local (- de 10 PC - évolutif à ....), une connexion ADSL. Entre les deux j'ai mis un firewall avec iptables. Sur ce PC, j'ai un eth0 et un ppp0. Les données du réseau local entre par eth0 et internet par ppp0.
 Je commence par bloquer toutes les données (DROP sur tout). Je remets la loopbak et redirige le port 80 sur le proxy.
Je souhaite laisser un PC se connecter à sa messagerie (Wanadoo).
 
Pour tout fermer, la loopback et rediriger pas de prob. Pour la messagerie .... ca merde à chaque fois.
 
Une âme charitable pour me donner les lignes ?
 
Merci
 
Au bord de la crise de nerfs

http://christian.caleca.free.fr/netfilter/iptables.htm
 
Tu peux apres restreindre sur l'adresse source/destination
 
(ie: je suppose que soit ton LAN a des adresses publique, soit tu fais du MASQUERADE ou autre NAT en sortie)

je fais du nat (les adresse local sont 192.168).
 
le tuto je le connais (je vais pas dire par coeur) mais ... marche pas quand même
 
Merci  
 
Vais essayer avec tes lignes

hello,
 
bon j'ai essayé plusieurs truc mais rien à faire. Le firewall ne me laisse pas me connecter à un serveur pop
J'ai mis
 
iptables -A FORWARD -p tcp -s 192.168.1.100 --dport smtp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
        iptables -A FORWARD -p tcp -s 192.168.1.100 --dport pop3 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
        iptables -A INPUT -p tcp -s 192.168.1.100 --dport smtp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
        iptables -A OUTPUT -p tcp -s 192.168.1.100 --sport smtp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
        iptables -A INPUT -p tcp -s 192.168.1.100 --dport pop3 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
        iptables -A OUTPUT -p tcp -s 192.168.1.100 --sport pop3 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
 
Ou est mon erreur ?
 
Merci

Tu precise pas les interface lorsque tu fwd ?
Il faut bien distinguer le forward et l autorisation.
 
A savoir une regle qui autorise l ext a ce connecte a ton serveur pop3  
Et le fwd du/des ports

ok mais je les intègre ou ces paramètre d'interface d'entrée et de sortie ?

J ai rien dit apres verif c est pas forcement la peine de mettre les interface ds la chaine fwd, par contre j ai un doute sur ton but, tu conctater un smtp wanadoo ? ou tu veux qu on contacte ton smtp ?

Le serveur pop3 qu'il cherche à contacter est chez Wanadoo, donc les règles en FORWARD suffisent
 
à priori 2 règles du style :
(à mettre au début celle là ou très près du début)

 
et
 

 
devraient suffire normalement

Autre chose :
Les résolutions de nom (DNS) se font comment pour les postes en réseau local ?

Alors je cherche à joindre un serveur smtp et pop (wanadoo par exemple).
Sur mon réseau y a un serveur windows 2000 (active directory) qui fait aussi serveur DNS pour mes postes en local.
 
Je vais essayer avec vos indications
 
Merci

Je comprend pas trop pourquoi tu fais une regle de fwd pour le port pop3 c est lui qui initialise la connexion dc pas besoin de cas particulier ?  
Je tenterai plus un truc de se style :  
 
iptables -A FORWARD -s $RESOLOCAL -j ACCEPT
iptables -A FORWARD -d $RESOLOCAL -m state --state ESTABLISHED,RELATED -j ACCEPT

Alors oublie pas la, par contre d ouvrir ton port 53 pour que ton dns soit encore joignable depuis l ext

oh la la la ca se complique pour moi ...
 
Je résume. J'ai un serveur 2000 (DNS et active directory), une passerelle ou tourne squid. Le proxy est transparent (les requêtes sont forcées sur le port du proxy). A partir d'une machine d'adress IP @IP, je souhaite consulter mon mail qui est chez wanadoo et un serveur de news (news.microsoft.com par exemple).
Et la je comprends pas pourquoi le port 53 doit être ouvert...
Excuser mes questions bêtes mais c'est embrouillé pour moi
 
Merci

Si tu possede ton propre domaine DNS il faut que le port soit ouvert pour les autres serveur dns viennent se mettre a jour.
Ce que je comprend pas c est si tu arrive a surf tu devrais arriver a utilise ton client de messagerie ...

Ben il faut que les requêtes DNS "forwardées" vers les DNS de Wanadoo (ou autre) vers l'extérieur par ton serveur win 2000 qui fait aussi DNS puissent passer le firewall ... sinon la résolution de noms marchera bcp moins bien ... hum  
Vérifies que tu as une règle du genre :

(en supposant que tu as mis en place la règle en ESTABLISHED,RELATED dont je parlais plus haut)
 
EDIT : grilled  

mais mes adresses sur le réseau local sont en 192.168.1.XX. Le dns ne sert il pas suelement que sur mon réseau local ?

Mais le surf se fait par le proxy squid qui traite toutes les demandes http.

 
Il y a un truc que je pige ds ce que tu dis, si tu fwd tt le LAN vers l ext, et que tu autorise les rentrante que si elles sont etablie, ou related, il n y a pas besoin de creer des regle de fwd pour les connexions sortantes ?

Ton DNS sur ta machine win 2000 a besoin de communiquer avec les autres serveurs DNS "publics" sur Internet, notamment lorsqu'un client lui demande de résoudre un nom domaine/hôte/etc ... qu'il ne connait pas et qu'il n'a pas en cache ...
Le système DNS est un système distribué ...

ben ce que je fais :  
 
je drop toute les tables.
j'accept le serveur ssh, http et https.
Les demandes http des clients passe par le proxy ( iptables -t nat -A PREROUTING -s 192.168.1.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128)
Et la je cherche à accéder à ma messagerie et à un serveur de news.
 
Je sais pas si c'est plus clair

Bah justement, c'est que je ne propose pas de forwarder tout le LAN pour tous les services mais tout le LAN pour certains services, et uniquement pour l'établissement des connexions.
Après c'est la règle ESTABLISHED,RELATED qui prend le relais pour tout le monde, une fois la connexion établie.

le proxy se trouve sur quelle machine ?

c'est ce que je cherche. La règle qui fait passer 1 adresse IP local pour consulter les mails et serveur de news

le proxy se trouve sur la machine ou il y a les règles iptables (la passerelle)

et il utilise quel serveur(s) DNS pour résoudre les noms quand il en a besoin ?

ben ... je viens d'essayer... et ca me donne unkown host; Donc aucun pour me réseau local ...

bon j'abandonne pour ce soir.
On peut reprendre demain matin ?

Tu as quoi ton fichier .etc/resolv.conf ?

J'ai ca dans mon fichier resolv.conf
 
nameserver 80.10.246.1
nameserver 80.10.246.132
nameserver 80.10.246.1 # ppp temp entry
nameserver 80.10.246.132 # ppp temp entry

Sur un de tes postes clients en LAN, un

 ça donne quoi ?

hello,  
 
ca donne :  
 
Impossible de trouver le nom du se serveur pour l'adresse 192.168.1.1 : Non-existent domain
Les serveurs par défaut ne sont pas disponible
Unknown ne parvient pas à trouver www.linux.fr : Non-existent domain
 
Voila voila

Bah c est que ta requete passe pas ton firewall, apres faut savoir si elle sort pas du tt ou si c est la reponse qui merde
 

ca veut dire qu'il fait bein son boulot ....
Les requêtes, c'est les entrantes et les sortantes qu'il faut laisser passer ?
 
Avec tout ces trucs j'en perd mon latin moi

Normalement si tu as autorise les sortantes et les entrante qui sont des reponse ( established, related) ca devrait fonctionner.
poste voir le resultat de iptables -L et iptables -L -t nat

Bon la les requêtes DNS passent. un nslookup passe et me donne une réponse autre que Non-existent domain...
Maintenant plus pop et smtp

je craque ....
 
Avec les lignes suivantes pas moyen de faire sortir un mail et ni d'en faire descendre un ...
 
iptables -A FORWARD -p tcp -i eth0 -o ppp0  --dport 110 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
        iptables -A FORWARD -p tcp -i eth0 -o ppp0  --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
 
Une âme charitable ... pour éviter un suicide ...

tu acceptes également le retour ?
 
Là je vois que tu n'acceptes que les paquets sortant  
 
peux tu faire un  

En principe, un

placé très près du début devrait tout régler, comme je l'avais déjà indiqué ...
 
Voire même un

ouais ben Zzozo même en mettant les lignes ca passe pas.
IOky, je te réponds demain. La je rends les armes ...
 
Merci pour votre attention

Voila résultat d'un iptables -L -v -n
 
 
Chain INPUT (policy DROP 431 packets, 79788 bytes)
 pkts bytes target     prot opt in     out     source               destination
   42  9279 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
64738   31M local-internet  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  118  7068 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    6   312 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:20
 
Chain FORWARD (policy DROP 174 packets, 15508 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
 
Chain OUTPUT (policy ACCEPT 77125 packets, 33M bytes)
 pkts bytes target     prot opt in     out     source               destination
   42  9279 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
 
Chain local-internet (1 references)
 pkts bytes target     prot opt in     out     source               destination
 2237  285K ACCEPT     all  --  !ppp0  *       0.0.0.0/0            0.0.0.0/0           state NEW
61946   31M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
 
Chain mail-access (0 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       192.168.1.100        0.0.0.0/0           state NEW
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
 
 
Merci pour votre aide