ouvrir un port sur debian - Linux et OS Alternatifs
Marsh Posté le 09-11-2005 à 02:35:56
il faut a priori utiliser ton systeme de firewall
sous debian, c'est souven un script fait a la main utilisant iptables
le mien se trouve dans /etc/network/if-pre-up/jesaisplus.sh
commence par regarder là sinon, ce site pourra te dire comment faire ce type de script
Marsh Posté le 09-11-2005 à 07:59:59
tu as un service qui écoute sur ce port ?
apres il te suffit d'autoriser les flux sur ce port via iptables.
Par défaut tout est ouvert.
Marsh Posté le 09-11-2005 à 08:18:13
j'i connais pas grand chose en "port"
et j'ai encore rien ouvert ni fermer par contre quand j'essaye en local il me refuse
par la suite j'aimerai aussi y accédé par internet
Marsh Posté le 09-11-2005 à 08:20:40
c'est pour quel service ?
par défaut si tu n'as pas installer shorewall ou autre font-end a iptables tu n'as pas de filtrage sur ta machine.
pour etre sur pourrais tu faire en root un
iptables -L -v -n |
et poster le résultat dans un block fixed ?
Marsh Posté le 09-11-2005 à 14:10:04
voila les service que j'utilise
localhost:631
localhost:4080
et y'en aura peut etre d'autre si j'installe d'autre truc (comme SWAT par exemble)
sinon voila le resultat de iptables -L -v -n
Chain INPUT (policy ACCEPT 8 packets, 821 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 1 packets, 40 bytes)
pkts bytes target prot opt in out source destination
si tu y comprend quelque chose...
Marsh Posté le 09-11-2005 à 14:32:48
Chain INPUT (policy ACCEPT 8 packets, 821 bytes) indique que tous les ports sont ouverts.
La question que je me pose c'est: Qu'est-ce que tu essaies de faire exactement?
Le port 631 est habituellement employé pour Internet Printing Protocol et le 4080 est pour ichat3 pour Mac. Le tout me laisse croire que ce que tu cherches à faire c'est de router le trafic sur un réseau local.
Marsh Posté le 09-11-2005 à 15:16:37
Pour le 631, si tu parles de l'interface web de cups, pour pouvoir y accéder depuis ton lan, ce sont des paramètres à modifier dans le fichier de config de cups.
Pas besoin de jouer avec iptable
Marsh Posté le 09-11-2005 à 16:49:40
en effet j'ai accés a mon port 631 (désolé pour moi, j'avais du mal tester)
en revanche en local j'ai toujours pas accés au port 4080
je suppose que c'est parcequ'il est bloqué mais je suis pas sur
(d'ou mon appel a l'aide)
merci de vos reponses en tout cas
Marsh Posté le 09-11-2005 à 21:57:54
pourrais tu faire un
netstat -laptn | grep 4080 |
et poster le résultat ?
Marsh Posté le 09-11-2005 à 23:22:31
tcp 0 0 0.0.0.0:4080 0.0.0.0:* LISTEN 5505/mlnet_reel |
Marsh Posté le 10-11-2005 à 07:56:12
Ah bah voilà il veut utiliser l'interface web de mldonkey
Normalement c'est bon.
Marsh Posté le 10-11-2005 à 09:49:15
en effet, en autre...
mais tu dis que normalement c'est bon
mais c'est pas le cas
dois-je configurer toutes mes applications une pars une
ou ya t il un moyen d'ouvrir ou de partager ces ports
merci
Marsh Posté le 10-11-2005 à 10:08:26
d'apres le résultat de iptables -L -v -n tu n'as AUCUN filtrage !!!!
Donc pour qu'un port soit ouvert il faut qu'il y ait un SERVICE EN ECOUTE sur ce port
Ce qui est le cas la.
Apres vérifie que tu n'as pas de proxy configuré dans ton browser
essaye en telnet dans un SHELL
telnet 127.0.0.1 4080
puis tu tapes
GET / HTTP/1.0
suivit de 2 fois entrée.
tu devrait avoir des messages du serveur.
Apres essaye directement avec l'adresse 127.0.0.1 dans ton browser.
Marsh Posté le 10-11-2005 à 12:50:07
dams78 a écrit : en effet, en autre... |
Comme je te l'ai déjà dit, l'accès via ton réseau à ce genre d'interface de configuration est souvent limité via les fichiers de config de ces applications. Il suffit donc de les lires et de changer ce qu'il faut. Comme pour cups.
Marsh Posté le 10-11-2005 à 13:34:54
D'apres le netstat ce programme écoute sur 0.0.0.0 c'est a dire toutes les interfaces.
Si c'est réelement restreint alors ils ont fait ca comme des porcs
Je pencherais plus pour une mauvaise configuration du proxy.
Marsh Posté le 23-12-2005 à 23:12:52
Bonjour
J'ai un PB similaire. Je n'arrive pas à débloquer le port 80 sous debian (sarge).
Je suis derrière une freebox avec la fonction routeur activé mais la redirection de port est bien configurée.
J'ai essayé toutes les configs possible d'iptables (en autorisant tout, en autorisant juste le port 80, en virant carrément le package avec apt-get etc...) mais ça ne marche pas.
Par exemple :
Code :
|
Alors qu'un test sur le port 22 (ssh) marche :
Code :
|
Existe-t-il un autre firewall que iptables ? Comment on les vires ?
Merci d'avance.
Marsh Posté le 23-12-2005 à 23:39:40
iptables N'EST PAS un firewall, c'est un outils qui permet de configurer le firewall de linux qui est netfilter.
netfilter est inclut dans le noyau. Par défaut aucun filtrage n'est actif.
Fait un
iptables -L -v -n |
et colle le résultat ici.
Ensuite un port ne peut pas etre ouvert si un service n'ecoute pas sur ce port. En l'occurence tu essaeye de te connecter, probablement a un serveur web, sur ton adresse locale (127.0.0.1). Vérifie qu'un serveur écoute dessus par un:
netstat -laptn |
par exemple
Marsh Posté le 23-12-2005 à 23:41:07
Dit exactement ce que tu veux faire. Tu nous parles de redirection de port de ta freebox alors que tu interroges une adresse locale (127.0.0.1). Donc le traffic NE PASSERA JAMAIS par le réseau !
Marsh Posté le 24-12-2005 à 11:05:35
l0ky a écrit : Dit exactement ce que tu veux faire. Tu nous parles de redirection de port de ta freebox alors que tu interroges une adresse locale (127.0.0.1). Donc le traffic NE PASSERA JAMAIS par le réseau ! |
Ok, je voulais faire un serveur Web accessible depuis l'extérieur. Je disais qu'il n'était même pas accessible depuis l'intérieur alors qu'il aurait dut l'être.
Je prenais un exemple d'accès depuis l'intérieur pour ne pas avoir la remarque "configure la redirection des ports du routeur" que tout le monde sort dans les FAQ est autres. Cette étape je sais la faire (j'aurais même pas du en parler).
Je m'étais mal exprimé.
Entre temps j'ai ENFIN compris : il faut être un processus root pour écouter un port < 1024. Je ne savais pas ça et je lançais mon serveur en client (c'était même pas destiné à être un démon, juste un serveur web que je lance à l'occasion - quand je fais un ssh depuis l'extérieur et que je veux récupérer des fichiers).
Merci pour l'aide. Je suis heureux d'avoir compris ce qui cloche. J'ai pu constater que mon prog n'écoutais pas...
PS : Et merci pour l'explication de ce qu'est iptables. Je me coucherais moins bête ce soir (je débute pour les réseaux sous linux)...
Marsh Posté le 06-02-2009 à 11:24:01
bonjour, j'ai egalement un probleme de redirection de port
je posséde 2 réseaux différents sous windows xp et entre les 2, je dispose d'un serveur debian qui va faire office plus tard de proxy/firewall et pour tester cela j'ai installé wamp sur les 2 poste xp et je n'arrive pas a faire accédé un poste xp au serveur web ( 2ieme poste xp ) par l'intermediaire du serveur debian
Réseau 1 : 192.168.0.0
Réseau 2 : 192.168.147.0
Serveur Debian : 4 interfaces
eth0 : 192.168.0.254
eth3 : 192.168.147.254
Dans le server debian :
iptables -t nat -A POSTROUTING -i eth3 -p tcp --dport 80 -j DNAT --to destination 192.168.147.10
Il m'indique cette ligne : Bad IP address `destination'
Pour moi l'adresse de destination est bonne en revanche je doute sur la ligne de commande iptable
Aucun soucis de ping ! Le poste XP ne ping pas l'autre poste XP étant donné que c'est 2 réseaux différents
De plus je suis sous virtualisation VMWare !
Ma question : La ligne iptables est elle correcte ?
Pour permettre l'accès du poste XP 1 au serveur Web ( Poste XP 2 )
Il faut utiliser la commande route ou IPtables ?
Merci de votre aide !
Marsh Posté le 06-02-2009 à 11:56:43
Pas besoin de nat, il suffit de rajouter une route par défaut sur tes équipements Windows et d'activer le routage sur la debian
Pour les postes sur le réseau 1 : passerelle par défaut :192.168.0.254
Pour les postes sur le réseau 2: passerelle par défaut : 192.168.147.254
Pour activer le routage : sysctl -w net.ipv4.ip_forward=1
Cette ligne n'est pas persistente, il te faudra la retapper au redémmarage ou la mettre dans un script.
Je ne me rappelle plus si au boot, la debian lit le fichier /etc/sysctl.conf (si oui, tu peux mettre la conf la dedans pour activer le routage)
Marsh Posté le 06-02-2009 à 12:00:11
Ok je te remercie je vais tester !!
L'histoire du nat, c'est pour la suite pour du filtrage mais je me suis tromper ca sera plus orienter sur la table filter ?
Une autre question le routage sur les poste windows doit il etre activer ou ce n'est pas necessaire ?
Marsh Posté le 06-02-2009 à 12:01:52
shurik84> pour tes prochains posts dans cette catégorie, évite de poster 10000 fois tes questions dans différents topics.
Il n'y a rien de plus énervants de passer du temps à te répondre et de voir que sur un aute topic tu as avancé.
=> Soit un nouveau topic (tu as le droit d'en créer)
=> Soit un post dans un SEUL topic.
Merci.
Marsh Posté le 06-02-2009 à 12:05:04
Sorry
Marsh Posté le 06-02-2009 à 12:05:28
shurik84 a écrit : L'histoire du nat, c'est pour la suite pour du filtrage mais je me suis tromper ca sera plus orienter sur la table filter ? |
Dans un LAN, il faut TOUJOURS privilégier le routage au NAT. Ca te complexifie une archi et les confs pour rien.
Lorsque tu voudras ouvrir sur Internet, oui là le NAT sera malheureusement obligatoire si tu n'as pas plusieurs adresse IP publique. Suivant les politiques par défaut de tes chaines filter, tu auras peut etre besoin d'ouvrir le port TCP/80 dans certains sens, sinon de base, une règle de DNAT suffira. (avec un maquerade pour le trafic sortant vers internet).
http://irp.nain-t.net/doku.php/130netfilter:start
http://www.linux-france.org/prj/in [...] ing-Howto/
shurik84 a écrit : Une autre question le routage sur les poste windows doit il etre activer ou ce n'est pas nessaire ? |
Non, tu rajoutes seulement la route par défaut dans les propriétés réseau
Marsh Posté le 06-02-2009 à 12:24:25
o'gure a écrit : |
Oui, il le lit au boot donc c'est ce que je vais faire car retapper la commande pas pratique en revanche en activant le routage les autre machines virtuelles arrive a pinguer les 4 réseaux
au niveau sécurité dans le cadre du filtrage proxy / firewall ca va gêner non ? si je veut que seulement 1 ou 2 machines d'un ou deux réseaux arrivent a accéder au web !
M'enfin bref je verrais !!! Je vais lire les liens car ils ont l'air complet !! Merci
Marsh Posté le 06-02-2009 à 13:21:05
shurik84 a écrit : au niveau sécurité dans le cadre du filtrage proxy / firewall ca va gêner non ? si je veut que seulement 1 ou 2 machines d'un ou deux réseaux arrivent a accéder au web ! |
Je te conseille d'y aller par une méthode incrémentale :
1. Tu mets en place le réseau coté LAN
>> il faut que l'ensemble des postes des deux réseaux puissent communiquer entre eux
(à priori c'est fait)
2. Tu mets en place la connectivité Internet pour le firewall
(ça dépend de ta méthode de connexion)
3. Tu mets en place la connectivité Internet pour les deux autres réseau
>> ça dépend de plusieurs paramètres mais le plus simple reste de rajouter un NAT sur l'interface de sortie vers Internet sur le firewall (le MASQUERADE de netfilter/iptables)
>> il faut que l'ensemble des machines puisses accéder au NET
4. tu t'intéresses au filtrage entre les deux réseaux.
>> table filter de netfilter/iptables
>> mécanisme stateful (-m state --state NEW,ESTABLISED, etc.)
5. tu t'intéresses à l'accessibilité de tes serveurs depuis le Web (DNAT, mécanisme stateful...)
Marsh Posté le 06-02-2009 à 13:37:01
o'gure a écrit : |
1. Oui connexion entre les 4 reseaux possible avec ip forward à 1 ce qui est normale ( en revanche il me faut essayé de limiter la connexion qu'avec 2 réseaux !!
2. , 3., 5. Obliger de mettre en place la connectivité ? car je simule internet par un server web local par les VM
4. Je pense que le gros du travail sera effectivement pour
>> table filter de netfilter/iptables
>> mécanisme stateful (-m state --state NEW,ESTABLISED, etc.)
Marsh Posté le 08-11-2005 à 23:57:49
bonjour,
voila je voudrai savoir comment faire pour ouvrir un port sur une machine debian.
quand je suis sur ma machine debian pour accéder a certaines applications sous un navigateur je tape l'adresse localhost:"un port"
maintenant je voudrai pourvoir faire la même chose en local : "mon adresse ip":"le port"
merci de votre aide
---------------
dam's (debianer), ma galerie Flickr