comment ouvris des port sous linux et demem sur le firewall ..... ?? - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 19-12-2002 à 18:29:32
voila le pb, les port sont ouver, mais manifestement, le service firewall n accepte pas ces port, ou pour lui ils sont po ouver ....
comment je peux faire pour lui dire de laisser passer les donnees de ces ports ?
Marsh Posté le 19-12-2002 à 18:34:00
wilsfrid a écrit : voila le pb, les port sont ouver, mais manifestement, le service firewall n accepte pas ces port, ou pour lui ils sont po ouver .... |
Ta quoi comme distrib ? quelle kernel ?
Si tu fait un lsmod, tu vois les modules du firewall ?
Marsh Posté le 19-12-2002 à 18:36:31
tu les forward bien les ports ?
Marsh Posté le 19-12-2002 à 19:27:32
sebweb a écrit : |
distrib gentoo
kernel : 2.4
il resemblerai a koi ds le lsmod le firewall ?
Marsh Posté le 19-12-2002 à 19:59:41
Citation : [root@serveur root]# lsmod |
Voila les modules que j'ai
Marsh Posté le 19-12-2002 à 20:53:54
moi j ai ca :
zserver root # lsmod
Module Size Used by Not tainted
iptable_filter 1644 0 (autoclean) (unused)
ipt_MASQUERADE 1368 1 (autoclean)
iptable_nat 15000 1 (autoclean) [ipt_MASQUERADE]
ip_conntrack 15740 1 (autoclean) [ipt_MASQUERADE iptable_nat]
ip_tables 12088 5 [iptable_filter ipt_MASQUERADE iptable_nat]
ppp_synctty 6336 0 (unused)
ppp_async 7776 1
ppp_generic 17920 3 [ppp_synctty ppp_async]
slhc 5040 0 [ppp_generic]
ntfs 50944 1 (autoclean)
nls_iso8859-1 2812 3 (autoclean)
nls_cp437 4316 2 (autoclean)
vfat 9676 2 (autoclean)
fat 31192 0 (autoclean) [vfat]
lvm-mod 56896 0 (unused)
Marsh Posté le 19-12-2002 à 20:55:46
ReplyMarsh Posté le 19-12-2002 à 21:25:54
c'est à dire que si ton serveur sert de passerelle, il faut lui dire de transférer les paquets qu'il reçoit d'un côté vers l'autre côté (forwarder) et ouvrir les ports pour la traversée (FORWARD dans le script de config) et pas en entrée de ta passerelle (INPUT dans le script de config)
Marsh Posté le 19-12-2002 à 21:46:23
coucou les gens, bon comme mossieur wils est parti se faire la cuisine je prends le relai
donc, le probleme etant ce qu'il est, j'en viens au fait :
Connecting to 213.30.163.227 ....
automatically connecting
Placed on connection Queue.
Already Connected.
ERROR: Your port 4662 is not reachable. You have a LOWID, look http://www.e*onke*2000.com/documentation/lowid.html ! Please correct your network config
Disconnected
Marsh Posté le 19-12-2002 à 21:54:04
zserver root # iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
j comprends pas pkoi cai vide...pourtant y'a un forward de port interne !?! (du 192.168.0.1:69 au 192.168.0.x:21)
Marsh Posté le 19-12-2002 à 22:07:51
oui donc en gros comment on ouvre le port ?
j'ai beau parcourir le rules-save et le man iptables je vois rien de transcendant
Marsh Posté le 19-12-2002 à 22:13:07
ton forward tu le fait avec la table nat
pour voir test règles de nat :
#iptables -t nat -L
Marsh Posté le 19-12-2002 à 22:19:38
nikosaka a écrit : ton forward tu le fait avec la table nat |
en effet, donc, a priori, comment je peux faire pour ouvrir le port 4662 ??
Marsh Posté le 19-12-2002 à 22:21:25
essaye ça:
#iptables -A FORWARD -p tcp --dport 4661:4664 --sport 1024:65000 -j ACCEPT
et pareil avec le port 4666 en udp je crois (port tcp +4 dans la FAQ de mldonkey je crois)
Marsh Posté le 19-12-2002 à 22:36:20
ca passe...comment ke fais pour valider ? (reboot ?) pour verifier que ca marche bien ?
merci pour tout et merci d'avance pour les prochaines réponses
Marsh Posté le 19-12-2002 à 22:46:12
non si tu reboote tu va perdre les regles que tu as rajouté
il faut que tu rajoute les dernières lignes que tu as tapées dans ton script de firewall, tu doit en avoir un qui se lance au boot si tu as des regles de nat
Marsh Posté le 19-12-2002 à 23:55:43
ZuL a écrit : coucou les gens, bon comme mossieur wils est parti se faire la cuisine je prends le relai |
en clair vous voulez faire du edonkey depuis la boite .....
c pas bien ca transformera votre firewall en passoir !!!
Sinon, parametrez IPTABLES en statefull, comme ca inutile d'ouvrir un port donné : les paquets seront tagués ds le conntrack et seul les connexions etablies depuis l'interieur seront autorisés !!!
en code iptables ca veut dire ca :
En langage iptables :
# Toutes les connexions qui sortent du LAN vers le Net
# sont acceptées
iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Nous aurions aussi bien pu écrire :
# iptables -A FORWARD -i eth0 -o ppp0 -m state --state ! INVALID -j ACCEPT
# Seules les connexions déjà établies ou en relation avec
# des connexions établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Marsh Posté le 20-12-2002 à 00:01:02
UN TRES BON DEBUT !!
http://christian.caleca.free.fr/
(c un cour a lui tout seul !!)
Marsh Posté le 20-12-2002 à 00:48:34
Dis jamiroq , la confgi se pert au reboot ??
Si oui, comment k on fait pour po la perdre ??
Et pis rassure toi, c pour notre immeuble et po pour une boite ....
Marsh Posté le 20-12-2002 à 01:26:01
wilsfrid a écrit : Dis jamiroq , la confgi se pert au reboot ?? |
Tu met ca dans un fichier que tu appelle iptables.sh ( par exemple).
Citation : |
Tu fait un chmod +x pour le rendre executable.
Si tu veux pas le lancer a chaque démarage, tu le place dans /etc/init.d (ca c pour la Mdk, sinon à adapter)
Marsh Posté le 20-12-2002 à 01:30:17
j'ai trouvé sinon...enfin y me semble
iptables-save
et euh, ca marche toujours pas
c'est un peu la chainlie a faire marcher edonkey
Marsh Posté le 20-12-2002 à 09:05:55
ZuL a écrit : j'ai trouvé sinon...enfin y me semble |
non ca c facile ... (qd on sait en fait !!)
tu lance l'outil graphique "SystemV" il se trouve ds configuration du systeme et demarrage (ou un truc ds ce style !!!)
et comme on t'as dit plus haut tu balance ton script IPtables ds le /etc/init.d et zou un coup de SystemV , met bien ton script (son nome va apparaitre ds la colonne la plus a gauche !!) en runlevel 3 et 5 !!! (hyper important) et tu enregistres la config !!!
Marsh Posté le 20-12-2002 à 09:23:21
jamiroq a écrit : |
Ouais mais si il veulent faire du Donkey, ben ils vont avoir un lowID, c'est à dire qu'ils chopperont rien (ou presque)...
Ils sont obligés d'ouvrir le port 4662 et si besoin est de le forwarder sur la machine qui utilise donkey.
Marsh Posté le 20-12-2002 à 09:36:40
e_esprit a écrit : |
pourquoi ouvrir implicitement le port alors que le statefull avec les options suivante :
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
... permet d'ouvrir le port vu que la connection viens de l'interieur ??? la je te suis pas trop ..
Marsh Posté le 20-12-2002 à 09:54:46
jamiroq a écrit : |
Nan...
En fait oui mais nan.
Le principe du Donkey c'est que tu peux recevoir des connexions d'autres clients (sans passer par le serveur). C'est du Peer to Peer pur (arf... desole...).
Pour cela il faut que tu ais ton port 4662 (tcp) ouvert (ainsi que le 4666 en udp - 4665 pour eDonkey - pour MLdonkey).
Si ce port n'est pas accessible, alors les serveurs t'attribuent un lowID, c'est à dire que tu ne peux telecharger que depuis d'autres clients lowID sur le meme serveur... et t'as pas accès au vrai peer to peer... En gros tu trouves que dalle...
Voila pour l'explication...
Marsh Posté le 20-12-2002 à 10:10:48
e_esprit a écrit : |
excusi , , tu as raison !!!
c clair si des connexions peuvent euh non DOIVENT etre etablie de l'ext. ... c clair que le statefull du netfilter STOPPe net la tentative !!!
t'es sur de ca qd meme ?
ca veut dire que n'importe qui sur le web peux te faire des attaque en SYN / ACK sur le port du donkey ???
c delire ce truc !!!
Marsh Posté le 20-12-2002 à 10:15:50
jamiroq a écrit : |
Spa grave. Ton raisonnement était logique, c'est le principe de fonctionnement du Donkey qui l'est un peu moins (enfin qu'est pas "classique" ).
Citation : |
Ouais...
Citation : |
C'est un risque a prendre
M'enfin y a peut etre moyen de prevenir une attaque SYN/ACK tout en laissant le port ouvert. Mais bon je suis pas (du tout) competent en iptables (a part fermer les ports )
Citation : |
Ouep. Mais c'est comme laisser passer les accès a un serveur HTTP/FTP ou autre... enfin a un serveur quoi...
Marsh Posté le 20-12-2002 à 10:29:17
jamiroq a écrit : |
Tu veux dire un flood ?
Oui c'est possible de bloquer ca soit avec Iptables soit en mettant en place un classificateur genre CBQ ou HTB ...
Ou même un truc comme Port Sentry ...
Voire les trois ...
Marsh Posté le 20-12-2002 à 10:41:33
Zzozo a écrit : |
ola , tu depasses mes competences en sécu !!!
comment on s'y prend pour bloquer une attaque ou un port est ouvert explicitmement ?
cas du donkey ou sur http ?
perso je bosse sur wathcguard firebox 2 - c de l'ipchains 2.2 et on filtre le http entre le firewall et l'iis (honte a moi je sais !!) c imparable !!
sur nunux on peut filtre ou au niveau applicatif ? et avec quoi ?
car iptables peut pas trop filtrer au niveau applicatif ?
Marsh Posté le 20-12-2002 à 11:07:14
jamiroq a écrit : |
Regardes déjà le module limit dans iptables (je ne connais pas ipchains, en fait c'est surtout qu'iptables est plus intéressant je pense pour moi ...) ... ca permet de limiter facilement les floods de tout poil ...
Marsh Posté le 19-12-2002 à 15:30:46
Voila, j ia un serveur linux et un reseau local deriere, le serveur n a pas ete installer part mes soin ( mes connaissance du monde linux sont tres faible ).
Le serveur partage la connection internet, logique.
Voila ce ke je cherche a faire :
- ouvrir 3 ports ( veriifer si ils le sont d abord et les ouvrir si c po fait )
- manifestement , j ai un pote ki a dejas essayer, mais il y a un soucis apres avoir ouvert les port, le firewall ( ki sous forme de service ) nous met en low machin ou je sais pas quoi
donc les ports sont ouvert mais po le firewall.
Voila
Merci d avance a tous