Voila, j ia un serveur linux et un reseau local deriere, le serveur n a pas ete installer part mes soin ( mes connaissance du monde linux sont tres faible ).
Le serveur partage la connection internet, logique.
Voila ce ke je cherche a faire :
 
- ouvrir 3 ports ( veriifer si ils le sont d abord et les ouvrir si c po fait )
- manifestement , j ai un pote ki a dejas essayer, mais il y a un soucis apres avoir ouvert les port, le firewall ( ki sous forme de service ) nous met en low machin ou je sais pas quoi
donc les ports sont ouvert mais po le firewall.
 
Voila
 
Merci d avance a tous

voila le pb, les port sont ouver, mais manifestement, le service firewall n accepte pas ces port, ou pour lui ils sont po ouver ....
 
comment je peux faire pour lui dire de laisser passer les donnees de ces ports ?

Ta quoi comme distrib ? quelle kernel ?
Si tu fait un lsmod, tu vois les modules du firewall ?

tu les forward bien les ports ?

distrib gentoo
kernel : 2.4
il resemblerai a koi ds le lsmod le firewall ?

 
 
Voila les modules que j'ai

moi j ai ca :
zserver root # lsmod
Module                  Size  Used by    Not tainted
iptable_filter          1644   0  (autoclean) (unused)
ipt_MASQUERADE          1368   1  (autoclean)
iptable_nat            15000   1  (autoclean) [ipt_MASQUERADE]
ip_conntrack           15740   1  (autoclean) [ipt_MASQUERADE iptable_nat]
ip_tables              12088   5  [iptable_filter ipt_MASQUERADE iptable_nat]
ppp_synctty             6336   0  (unused)
ppp_async               7776   1
ppp_generic            17920   3  [ppp_synctty ppp_async]
slhc                    5040   0  [ppp_generic]
ntfs                   50944   1  (autoclean)
nls_iso8859-1           2812   3  (autoclean)
nls_cp437               4316   2  (autoclean)
vfat                    9676   2  (autoclean)
fat                    31192   0  (autoclean) [vfat]
lvm-mod                56896   0  (unused)

 
c a d ???

c'est à dire que si ton serveur sert de passerelle, il faut lui dire de transférer les paquets qu'il reçoit d'un côté vers l'autre côté (forwarder) et ouvrir les ports pour la traversée (FORWARD dans le script de config) et pas en entrée de ta passerelle (INPUT dans le script de config)

coucou les gens, bon comme mossieur wils est parti se faire la cuisine je prends le relai
 
donc, le probleme etant ce qu'il est, j'en viens au fait :  
 
 
Connecting to 213.30.163.227 ....
automatically connecting
Placed on connection Queue.
Already Connected.
ERROR: Your port 4662 is not reachable. You have a LOWID, look http://www.e*onke*2000.com/documentation/lowid.html ! Please correct your network config
Disconnected

zserver root # iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 
 
 
j comprends pas pkoi cai vide...pourtant y'a un forward de port interne !?! (du 192.168.0.1:69 au 192.168.0.x:21)

oui donc en gros comment on ouvre le port ?
j'ai beau parcourir le rules-save et le man iptables je vois rien de transcendant

ton forward tu le fait avec la table nat
pour voir test règles de nat :
#iptables -t nat -L

 
en effet, donc, a priori, comment je peux faire pour ouvrir le port 4662 ??

essaye ça:
#iptables -A FORWARD -p tcp --dport 4661:4664 --sport 1024:65000 -j ACCEPT
 
et pareil avec le port 4666 en udp je crois (port tcp +4 dans la FAQ de mldonkey je crois)

ca passe...comment ke fais pour valider ? (reboot ?) pour verifier que ca marche bien ?
 
merci pour tout et merci d'avance pour les prochaines réponses

non si tu reboote tu va perdre les regles que tu as rajouté
il faut que tu rajoute les dernières lignes que tu as tapées dans ton script de firewall, tu doit en avoir un qui se lance au boot si tu as des regles de nat

 
en clair vous voulez faire du edonkey depuis la boite .....    
 
c pas bien ca transformera votre firewall en passoir !!!
 
Sinon, parametrez IPTABLES en statefull, comme ca inutile d'ouvrir un port donné : les paquets seront tagués ds le conntrack et seul les connexions etablies depuis l'interieur seront autorisés !!!
 
en code iptables ca veut dire ca :
 
En langage iptables :
 
# Toutes les connexions qui sortent du LAN vers le Net
# sont acceptées
iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# Nous aurions aussi bien pu écrire :
# iptables -A FORWARD -i eth0 -o ppp0 -m state --state ! INVALID -j ACCEPT
 
# Seules les connexions déjà établies ou en relation avec
# des connexions établies sont acceptées venant du Net vers le LAN
 
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

UN TRES BON DEBUT !!
 
http://christian.caleca.free.fr/
 
(c un cour a lui tout seul !!)

Dis jamiroq , la confgi se pert au reboot ??
Si oui, comment k on fait pour po la perdre ??
 
Et pis rassure toi, c pour notre immeuble et po pour une boite ....

 
Tu met ca dans un fichier que tu appelle iptables.sh ( par exemple).
 

 
Tu fait un chmod +x pour le rendre executable.
 
Si tu veux pas le lancer a chaque démarage, tu le place dans /etc/init.d (ca c pour la Mdk, sinon à adapter)

j'ai trouvé sinon...enfin y me semble
iptables-save
 
et euh, ca marche toujours pas
 
c'est un peu la chainlie a faire marcher edonkey

 
non ca c facile ... (qd on sait en fait !!)
 
tu lance l'outil graphique "SystemV" il se trouve ds configuration du systeme et demarrage (ou un truc ds ce style !!!)
 
et comme on t'as dit plus haut tu balance ton script IPtables ds le /etc/init.d et zou un coup de SystemV , met bien ton script (son nome va apparaitre ds la colonne la plus a gauche !!) en runlevel 3 et 5 !!! (hyper important) et tu enregistres la config !!!

Ouais mais si il veulent faire du Donkey, ben ils vont avoir un lowID, c'est à dire qu'ils chopperont rien (ou presque)...
 
Ils sont obligés d'ouvrir le port 4662 et si besoin est de le forwarder sur la machine qui utilise donkey.

pourquoi ouvrir implicitement le port alors que le statefull avec les options suivante :
 
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT  
 
... permet d'ouvrir le port vu que la connection viens de l'interieur  ??? la je te suis pas trop ..

Nan...  
En fait oui mais nan.
Le principe du Donkey c'est que tu peux recevoir des connexions d'autres clients (sans passer par le serveur). C'est du Peer to Peer pur (arf... desole...).
Pour cela il faut que tu ais ton port 4662 (tcp) ouvert (ainsi que le 4666 en udp - 4665 pour eDonkey - pour MLdonkey).
 
Si ce port n'est pas accessible, alors les serveurs t'attribuent un lowID, c'est à dire que tu ne peux telecharger que depuis d'autres clients lowID sur le meme serveur... et t'as pas accès au vrai peer to peer... En gros tu trouves que dalle...
 
Voila pour l'explication...

 
excusi ,    , tu as raison !!!
 
c clair si des connexions peuvent euh non DOIVENT etre etablie de l'ext. ... c clair que le statefull du netfilter STOPPe net la tentative !!!
 
t'es sur de ca qd meme ?
 
ca veut dire que n'importe qui sur le web peux te faire des attaque en SYN / ACK sur le port du donkey ???
 
c delire ce truc !!!

Spa grave. Ton raisonnement était logique, c'est le principe de fonctionnement du Donkey qui l'est un peu moins (enfin qu'est pas "classique" ).
 

Ouais...
 

C'est un risque a prendre
M'enfin y a peut etre moyen de prevenir une attaque SYN/ACK tout en laissant le port ouvert. Mais bon je suis pas (du tout) competent en iptables (a part fermer les ports )
 

Ouep. Mais c'est comme laisser passer les accès a un serveur HTTP/FTP ou autre... enfin a un serveur quoi...

Tu veux dire un flood ?
Oui c'est possible de bloquer ca soit avec Iptables soit en mettant en place un classificateur genre CBQ ou HTB ...
Ou même un truc comme Port Sentry ...
Voire les trois ...

 
ola , tu depasses mes competences en sécu !!!
 
comment on s'y prend pour bloquer une attaque ou un port est ouvert explicitmement ?
 
cas du donkey ou sur http ?  
 
perso je bosse sur wathcguard firebox 2 - c de l'ipchains 2.2 et on filtre le http entre le firewall et l'iis (honte a moi je sais !!) c imparable !!
 
sur nunux on peut filtre ou au niveau applicatif  ? et avec quoi ?
 
car iptables peut pas trop filtrer au niveau applicatif ?
 

Regardes déjà le module limit dans iptables (je ne connais pas ipchains, en fait c'est surtout qu'iptables est plus intéressant je pense pour moi ...) ... ca permet de limiter facilement les floods de tout poil ...