comment ouvris des port sous linux et demem sur le firewall ..... ??

comment ouvris des port sous linux et demem sur le firewall ..... ?? - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 19-12-2002 à 15:30:46    

Voila, j ia un serveur linux et un reseau local deriere, le serveur n a pas ete installer part mes soin ( mes connaissance du monde linux sont tres faible ).
Le serveur partage la connection internet, logique.
Voila ce ke je cherche a faire :
 
- ouvrir 3 ports ( veriifer si ils le sont d abord et les ouvrir si c po fait )
- manifestement , j ai un pote ki a dejas essayer, mais il y a un soucis apres avoir ouvert les port, le firewall ( ki sous forme de service ) nous met en low machin ou je sais pas quoi
donc les ports sont ouvert mais po le firewall.
 
Voila
 
Merci d avance a tous ;)

Reply

Marsh Posté le 19-12-2002 à 15:30:46   

Reply

Marsh Posté le 19-12-2002 à 16:19:44    

:bounce:

Reply

Marsh Posté le 19-12-2002 à 18:29:32    

voila le pb, les port sont ouver, mais manifestement, le service firewall n accepte pas ces port, ou pour lui ils sont po ouver ....
 
comment je peux faire pour lui dire de laisser passer les donnees de ces ports ?

Reply

Marsh Posté le 19-12-2002 à 18:34:00    

wilsfrid a écrit :

voila le pb, les port sont ouver, mais manifestement, le service firewall n accepte pas ces port, ou pour lui ils sont po ouver ....
 
comment je peux faire pour lui dire de laisser passer les donnees de ces ports ?


Ta quoi comme distrib ? quelle kernel ?
Si tu fait un lsmod, tu vois les modules du firewall ? :??:

Reply

Marsh Posté le 19-12-2002 à 18:36:31    

tu les forward bien les ports ?


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 19-12-2002 à 19:27:32    

sebweb a écrit :


Ta quoi comme distrib ? quelle kernel ?
Si tu fait un lsmod, tu vois les modules du firewall ? :??:  


distrib gentoo
kernel : 2.4
il resemblerai a koi ds le lsmod le firewall ?

Reply

Marsh Posté le 19-12-2002 à 19:59:41    

Citation :

[root@serveur root]# lsmod
Module                  Size  Used by    Tainted: P  
ipt_limit                856   0  (autoclean)
ipt_state                568   0  (autoclean)
ip_conntrack_irc        3056   0  (unused)
ip_conntrack_ftp        3952   1  (autoclean)
ip_nat_ftp              2992   0  (unused)
iptable_mangle          2072   0  (autoclean) (unused)
ipt_LOG                 3384   6  (autoclean)
ipt_REJECT              2744   6  (autoclean)
ipt_MASQUERADE          1272   1  (autoclean)
iptable_nat            15224   2  (autoclean) [ip_nat_ftp ipt_MASQUERADE]
ip_conntrack           18400   4  (autoclean)
iptable_filter          1644   1  (autoclean)
ip_tables              11672  10  ....
 

 
 
Voila les modules que j'ai

Reply

Marsh Posté le 19-12-2002 à 20:53:54    

moi j ai ca :
zserver root # lsmod
Module                  Size  Used by    Not tainted
iptable_filter          1644   0  (autoclean) (unused)
ipt_MASQUERADE          1368   1  (autoclean)
iptable_nat            15000   1  (autoclean) [ipt_MASQUERADE]
ip_conntrack           15740   1  (autoclean) [ipt_MASQUERADE iptable_nat]
ip_tables              12088   5  [iptable_filter ipt_MASQUERADE iptable_nat]
ppp_synctty             6336   0  (unused)
ppp_async               7776   1
ppp_generic            17920   3  [ppp_synctty ppp_async]
slhc                    5040   0  [ppp_generic]
ntfs                   50944   1  (autoclean)
nls_iso8859-1           2812   3  (autoclean)
nls_cp437               4316   2  (autoclean)
vfat                    9676   2  (autoclean)
fat                    31192   0  (autoclean) [vfat]
lvm-mod                56896   0  (unused)

Reply

Marsh Posté le 19-12-2002 à 20:55:46    

Mjules a écrit :

tu les forward bien les ports ?


 
c a d ???

Reply

Marsh Posté le 19-12-2002 à 21:25:54    

c'est à dire que si ton serveur sert de passerelle, il faut lui dire de transférer les paquets qu'il reçoit d'un côté vers l'autre côté (forwarder) et ouvrir les ports pour la traversée (FORWARD dans le script de config) et pas en entrée de ta passerelle (INPUT dans le script de config)


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 19-12-2002 à 21:25:54   

Reply

Marsh Posté le 19-12-2002 à 21:46:23    

coucou les gens, bon comme mossieur wils est parti se faire la cuisine je prends le relai :p
 
donc, le probleme etant ce qu'il est, j'en viens au fait :  
 
 
Connecting to 213.30.163.227 ....
automatically connecting
Placed on connection Queue.
Already Connected.
ERROR: Your port 4662 is not reachable. You have a LOWID, look http://www.e*onke*2000.com/documentation/lowid.html ! Please correct your network config
Disconnected

Reply

Marsh Posté le 19-12-2002 à 21:54:04    


zserver root # iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 
 
 
j comprends pas pkoi cai vide...pourtant y'a un forward de port interne !?! (du 192.168.0.1:69 au 192.168.0.x:21)

Reply

Marsh Posté le 19-12-2002 à 22:07:51    

oui donc en gros comment on ouvre le port ?
j'ai beau parcourir le rules-save et le man iptables je vois rien de transcendant [:xx_xx]

Reply

Marsh Posté le 19-12-2002 à 22:13:07    

ton forward tu le fait avec la table nat
pour voir test règles de nat :
#iptables -t nat -L

Reply

Marsh Posté le 19-12-2002 à 22:19:38    

nikosaka a écrit :

ton forward tu le fait avec la table nat
pour voir test règles de nat :
#iptables -t nat -L


 
en effet, donc, a priori, comment je peux faire pour ouvrir le port 4662 ?? :D

Reply

Marsh Posté le 19-12-2002 à 22:21:25    

essaye ça:
#iptables -A FORWARD -p tcp --dport 4661:4664 --sport 1024:65000 -j ACCEPT
 
et pareil avec le port 4666 en udp je crois (port tcp +4 dans la FAQ de mldonkey je crois)

Reply

Marsh Posté le 19-12-2002 à 22:36:20    

ca passe...comment ke fais pour valider ? (reboot ?) pour verifier que ca marche bien ?
 
merci pour tout et merci d'avance pour les prochaines réponses :D

Reply

Marsh Posté le 19-12-2002 à 22:46:12    

non si tu reboote tu va perdre les regles que tu as rajouté
il faut que tu rajoute les dernières lignes que tu as tapées dans ton script de firewall, tu doit en avoir un qui se lance au boot si tu as des regles de nat

Reply

Marsh Posté le 19-12-2002 à 23:55:43    

ZuL a écrit :

coucou les gens, bon comme mossieur wils est parti se faire la cuisine je prends le relai :p
 
donc, le probleme etant ce qu'il est, j'en viens au fait :  
 
 
Connecting to 213.30.163.227 ....
automatically connecting
Placed on connection Queue.
Already Connected.
ERROR: Your port 4662 is not reachable. You have a LOWID, look http://www.e*onke*2000.com/documentation/lowid.html ! Please correct your network config
Disconnected
 


 
en clair vous voulez faire du edonkey depuis la boite .....  :non:  
 
c pas bien ca transformera votre firewall en passoir !!!
 
Sinon, parametrez IPTABLES en statefull, comme ca inutile d'ouvrir un port donné : les paquets seront tagués ds le conntrack et seul les connexions etablies depuis l'interieur seront autorisés !!!
 
en code iptables ca veut dire ca :
 
En langage iptables :
 
# Toutes les connexions qui sortent du LAN vers le Net
# sont acceptées
iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# Nous aurions aussi bien pu écrire :
# iptables -A FORWARD -i eth0 -o ppp0 -m state --state ! INVALID -j ACCEPT
 
# Seules les connexions déjà établies ou en relation avec
# des connexions établies sont acceptées venant du Net vers le LAN
 
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT


Message édité par jamiroq le 20-12-2002 à 00:03:43

---------------
FFFF
Reply

Marsh Posté le 20-12-2002 à 00:01:02    

UN TRES BON DEBUT !!
 
http://christian.caleca.free.fr/
 
(c un cour a lui tout seul !!)


---------------
FFFF
Reply

Marsh Posté le 20-12-2002 à 00:48:34    

Dis jamiroq , la confgi se pert au reboot ??
Si oui, comment k on fait pour po la perdre ??
 
Et pis rassure toi, c pour notre immeuble et po pour une boite .... ;)

Reply

Marsh Posté le 20-12-2002 à 01:26:01    

wilsfrid a écrit :

Dis jamiroq , la confgi se pert au reboot ??
Si oui, comment k on fait pour po la perdre ??


 
Tu met ca dans un fichier que tu appelle iptables.sh ( par exemple).
 

Citation :


#!/bin/sh
iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# Seules les connexions déjà établies ou en relation avec
# des connexions établies sont acceptées venant du Net vers le LAN
 
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT  


 
Tu fait un chmod +x pour le rendre executable.
 
Si tu veux pas le lancer a chaque démarage, tu le place dans /etc/init.d (ca c pour la Mdk, sinon à adapter)


Message édité par sebweb le 20-12-2002 à 01:29:13
Reply

Marsh Posté le 20-12-2002 à 01:30:17    

j'ai trouvé sinon...enfin y me semble
iptables-save
 
et euh, ca marche toujours pas :/
 
c'est un peu la chainlie a faire marcher edonkey

Reply

Marsh Posté le 20-12-2002 à 09:05:55    

ZuL a écrit :

j'ai trouvé sinon...enfin y me semble
iptables-save
 
et euh, ca marche toujours pas :/
 
c'est un peu la chainlie a faire marcher edonkey


 
non ca c facile ... :d (qd on sait en fait !!)
 
tu lance l'outil graphique "SystemV" il se trouve ds configuration du systeme et demarrage (ou un truc ds ce style !!!)
 
et comme on t'as dit plus haut tu balance ton script IPtables ds le /etc/init.d et zou un coup de SystemV , met bien ton script (son nome va apparaitre ds la colonne la plus a gauche !!) en runlevel 3 et 5 !!! (hyper important) et tu enregistres la config !!!


---------------
FFFF
Reply

Marsh Posté le 20-12-2002 à 09:23:21    

jamiroq a écrit :


 
en clair vous voulez faire du edonkey depuis la boite .....  :non:  
 
c pas bien ca transformera votre firewall en passoir !!!
 
Sinon, parametrez IPTABLES en statefull, comme ca inutile d'ouvrir un port donné : les paquets seront tagués ds le conntrack et seul les connexions etablies depuis l'interieur seront autorisés !!!


Ouais mais si il veulent faire du Donkey, ben ils vont avoir un lowID, c'est à dire qu'ils chopperont rien (ou presque)...
 
Ils sont obligés d'ouvrir le port 4662 et si besoin est de le forwarder sur la machine qui utilise donkey.


Message édité par e_esprit le 20-12-2002 à 09:24:18

---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 20-12-2002 à 09:36:40    

e_esprit a écrit :


Ouais mais si il veulent faire du Donkey, ben ils vont avoir un lowID, c'est à dire qu'ils chopperont rien (ou presque)...
 
Ils sont obligés d'ouvrir le port 4662 et si besoin est de le forwarder sur la machine qui utilise donkey.


pourquoi ouvrir implicitement le port alors que le statefull avec les options suivante :
 
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT  
 
... permet d'ouvrir le port vu que la connection viens de l'interieur  ??? la je te suis pas trop ..


---------------
FFFF
Reply

Marsh Posté le 20-12-2002 à 09:54:46    

jamiroq a écrit :


pourquoi ouvrir implicitement le port alors que le statefull avec les options suivante :
 
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT  
 
... permet d'ouvrir le port vu que la connection viens de l'interieur  ??? la je te suis pas trop ..


Nan... :non:  
En fait oui mais nan.
Le principe du Donkey c'est que tu peux recevoir des connexions d'autres clients (sans passer par le serveur). C'est du Peer to Peer pur (arf... desole...).
Pour cela il faut que tu ais ton port 4662 (tcp) ouvert (ainsi que le 4666 en udp - 4665 pour eDonkey - pour MLdonkey).
 
Si ce port n'est pas accessible, alors les serveurs t'attribuent un lowID, c'est à dire que tu ne peux telecharger que depuis d'autres clients lowID sur le meme serveur... et t'as pas accès au vrai peer to peer... En gros tu trouves que dalle...
 
Voila pour l'explication...


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 20-12-2002 à 10:10:48    

e_esprit a écrit :


Nan... :non:  
En fait oui mais nan.
Le principe du Donkey c'est que tu peux recevoir des connexions d'autres clients (sans passer par le serveur). C'est du Peer to Peer pur (arf... desole...).
Pour cela il faut que tu ais ton port 4662 (tcp) ouvert (ainsi que le 4666 en udp - 4665 pour eDonkey - pour MLdonkey).
 
Si ce port n'est pas accessible, alors les serveurs t'attribuent un lowID, c'est à dire que tu ne peux telecharger que depuis d'autres clients lowID sur le meme serveur... et t'as pas accès au vrai peer to peer... En gros tu trouves que dalle...
 
Voila pour l'explication...


 
excusi ,  :jap:  , tu as raison !!!
 
c clair si des connexions peuvent euh non DOIVENT etre etablie de l'ext. ... c clair que le statefull du netfilter STOPPe net la tentative !!!
 
t'es sur de ca qd meme ?
 
ca veut dire que n'importe qui sur le web peux te faire des attaque en SYN / ACK sur le port du donkey ???
 
c delire ce truc !!!


---------------
FFFF
Reply

Marsh Posté le 20-12-2002 à 10:15:50    

jamiroq a écrit :


 
excusi ,  :jap:  , tu as raison !!!


Spa grave. Ton raisonnement était logique, c'est le principe de fonctionnement du Donkey qui l'est un peu moins (enfin qu'est pas "classique" ).
 

Citation :


c clair si des connexions peuvent euh non DOIVENT etre etablie de l'ext. ... c clair que le statefull du netfilter STOPPe net la tentative !!!
 
t'es sur de ca qd meme ?


Ouais...
 

Citation :


ca veut dire que n'importe qui sur le web peux te faire des attaque en SYN / ACK sur le port du donkey ???


C'est un risque a prendre
M'enfin y a peut etre moyen de prevenir une attaque SYN/ACK tout en laissant le port ouvert. Mais bon je suis pas (du tout) competent en iptables (a part fermer les ports :whistle: )
 

Citation :


c delire ce truc !!!


Ouep. Mais c'est comme laisser passer les accès a un serveur HTTP/FTP ou autre... enfin a un serveur quoi...


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 20-12-2002 à 10:29:17    

jamiroq a écrit :


 
excusi ,  :jap:  , tu as raison !!!
 
c clair si des connexions peuvent euh non DOIVENT etre etablie de l'ext. ... c clair que le statefull du netfilter STOPPe net la tentative !!!
 
t'es sur de ca qd meme ?
 
ca veut dire que n'importe qui sur le web peux te faire des attaque en SYN / ACK sur le port du donkey ???
 
c delire ce truc !!!


Tu veux dire un flood ?
Oui c'est possible de bloquer ca soit avec Iptables soit en mettant en place un classificateur genre CBQ ou HTB ...
Ou même un truc comme Port Sentry ...
Voire les trois ...

Reply

Marsh Posté le 20-12-2002 à 10:41:33    

Zzozo a écrit :


Tu veux dire un flood ?
Oui c'est possible de bloquer ca soit avec Iptables soit en mettant en place un classificateur genre CBQ ou HTB ...
Ou même un truc comme Port Sentry ...
Voire les trois ...


 
ola , tu depasses mes competences en sécu !!!
 
comment on s'y prend pour bloquer une attaque ou un port est ouvert explicitmement ?
 
cas du donkey ou sur http ?  
 
perso je bosse sur wathcguard firebox 2 - c de l'ipchains 2.2 et on filtre le http entre le firewall et l'iis (honte a moi je sais !!) c imparable !!
 
sur nunux on peut filtre ou au niveau applicatif  ? et avec quoi ?
 
car iptables peut pas trop filtrer au niveau applicatif ?
 


---------------
FFFF
Reply

Marsh Posté le 20-12-2002 à 11:07:14    

jamiroq a écrit :


 
ola , tu depasses mes competences en sécu !!!
 
comment on s'y prend pour bloquer une attaque ou un port est ouvert explicitmement ?
 
cas du donkey ou sur http ?  
 
perso je bosse sur wathcguard firebox 2 - c de l'ipchains 2.2 et on filtre le http entre le firewall et l'iis (honte a moi je sais !!) c imparable !!
 
sur nunux on peut filtre ou au niveau applicatif  ? et avec quoi ?
 
car iptables peut pas trop filtrer au niveau applicatif ?
 
 


Regardes déjà le module limit dans iptables (je ne connais pas ipchains, en fait c'est surtout qu'iptables est plus intéressant je pense pour moi ...) ... ca permet de limiter facilement les floods de tout poil ...

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed