[debian] pb de ping zut http://www.fwbuilder.org/ marche aps chez moi

pb de ping zut http://www.fwbuilder.org/ marche aps chez moi [debian] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 01-05-2003 à 21:34:36    

salut :hello:
 
je m'été fais un petit script pour partager ma connexion ADSL sur mon réseau local ce script fonctionnait nikel sur ma mandrake, je suis passé à Debian et sans rien modifier de ce script, je l'ai appliqué sous Debian, j'arrive à naviger sur le net (la preuve je poste ce topic :lol:) mais il y a certain site que je n'arrive pas à voir, alors qu'avant ca marchait nikel (exemple tv.voila.fr - pour les programme TV, certain dirons qu'il y en a d'autre mais bon, ca résoudra pas mon PB ;)).
 
bref j'ai tenté de ping le site pas moyen, le traceroute ne veux rien savoir ! meme le site www.hardware.fr ne veux rien savoir

Code :
  1. stargate:~# ping www.hardware.fr
  2. PING www.hardware.fr (212.43.221.155): 56 data bytes
  3. ping: sendto: Operation not permitted
  4. ping: wrote www.hardware.fr 64 chars, ret=-1
  5. ping: sendto: Operation not permitted
  6. ping: wrote www.hardware.fr 64 chars, ret=-1
  7. ping: sendto: Operation not permitted
  8. ping: wrote www.hardware.fr 64 chars, ret=-1
  10. --- www.hardware.fr ping statistics ---
  11. 3 packets transmitted, 0 packets received, 100% packet loss
  12. stargate:~#


 
voila, si vous voulais des info sur ma config, demandais et je ferais !
 
Merci
 
Edit : info complémentaire : à partir de mon win j'arrive à pinger www.hardware.fr


Message édité par stef_dobermann le 02-05-2003 à 19:41:53

---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 01-05-2003 à 21:34:36   

Reply

Marsh Posté le 02-05-2003 à 10:38:52    

faudrais pas m'oublié !  :bounce:


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 02-05-2003 à 10:56:55    

Hum ... t sur que c un pbs de route ?
A mon avis tu bloque l'icmp c pour ca qui peux pas pinger ...
Sinon pour le site auquel tu n arrive pas a acceder, essaye ceci ( a tout hazard ) : echo 1 > /proc/sys/net/ipv4/tcp_ecn
Pour + d'info va voir l'opt CONFIG_INET_ECN du kernel
 
A+

Reply

Marsh Posté le 02-05-2003 à 12:02:32    

merci je regarde ca desuite :)
edit :  j'ai rajouter cette ligne dans mon script :
echo 1 > /proc/sys/net/ipv4/tcp_ecn
 
je l'ai relancé mais toujours rien !
mais c'est surment un pb du firewall !


Message édité par stef_dobermann le 02-05-2003 à 12:07:31

---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 02-05-2003 à 12:19:10    

j'ai trouvé ca :

Citation :


3.7.5 Étranges problèmes d'accès à certains sites web
Les noyaux Linux récents activent ECN par défaut, ce qui peut causer des problèmes d'accès à certains sites web situés derrière de mauvais routeurs. Pour vérifier l'état d'ECN  
 
     # cat /proc/sys/net/ipv4/tcp_ecn
      ... ou
     # sysctl net.ipv4.tcp_ecn
 
Pour le désactiver, utilisez  
 
     # echo "0" > /proc/sys/net/ipv4/tcp_ecn
      ... ou
     # sysctl -w net.ipv4.tcp_ecn=0
 
Pour désactiver TCP ECN à chaque démarrage, éditer /etc/sysctl.conf et ajouter :  
 
     net.ipv4.tcp_ecn = 0


 
sur ce site :
http://besancon.agat.net/travaux/g [...] ll.fr.html
 
mais que je le mette à 1 ou à 0 ca change rien ! help :cry:


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 02-05-2003 à 12:24:48    

Ok, autant pour moi je me suis trompé de valeur ;)
 
Bah sinon fait voir ton script ...
 
 
A+

Reply

Marsh Posté le 02-05-2003 à 12:27:11    

le voila :
c pas un model dans le genre, mais il est bo :D

Citation :


#!/bin/bash
 
start () {
#on degage tous
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
 
#police par defaut DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
#echo "[Activation de la passerelle]"
echo 1 > /proc/sys/net/ipv4/ip_forward
#test
echo 0 > /proc/sys/net/ipv4/tcp_ecn
 
 
# pour le localhost c obligatoire !
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
#pour accepter tous ce qui passe sur le rezo
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -i ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
 
#test
iptables -A OUTPUT -j ACCEPT -o ppp0 -p TCP -m state --state NEW,ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -i ppp0 -p TCP -m state --state NEW,ESTABLISHED,RELATED
 
#pour accepter le partage de connexion
iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
 
#DNS OK
iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT
 
#pour le serveur web
#iptables -A INPUT -i ppp0 -p TCP --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o ppp0 -p TCP --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
 
#SSH autorisé depuis internet
#iptables -A INPUT -i ppp0 -p tcp --dport 22 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o ppp0 -p tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT
 
#pour accepter le FTP sur mon rezo local
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
 
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
 
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
 
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m  state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "régle appliqué"
}
 
stop () {
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
 
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo "Tables vidé"
}
 
restart () {
 stop
 start
}
 
statut () {
 iptables -L
}
 
case "$1" in
  'start';)
  start
        ;;
 
  'stop';)
  stop
        ;;
 
  'restart' | 'reload';)
        restart
        ;;
 
  'statut';)
    statut
    ;;
 
  *)
        echo "Usage: $SELF start|stop|restart|reload|statut"
        exit 1
        ;;
esac


Message édité par stef_dobermann le 02-05-2003 à 12:28:49

---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 02-05-2003 à 12:42:25    

Gloups !
Enleve moi vite cette horreur :  
iptables -A OUTPUT -j ACCEPT -o ppp0 -p TCP -m state --state NEW,ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -i ppp0 -p TCP -m state --state NEW,ESTABLISHED,RELATED
 
meme pour le test ca se fait pas ! :p
 
si tu veux faire du test il fo mieux logger les packet refuser, c bcp bcp bcp + sur !
 
 
Sinon pour le ping depuis ton ton serv :
$IPTABLES -A OUTPUT -o ppp0 -p icmp --icmp-type ping -j ACCEPT
 
sinon pour les sites auquel tu n arrive pas a y acceder, y en a d autres ?
 
A+

Reply

Marsh Posté le 02-05-2003 à 13:16:18    

plein, mais au bout de quelques essaie, ca marche !
voila c fait :)
mais la en faisant un ping www.hardware.fr
je n'ai aucun retour, pas de message d'erreur !


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 02-05-2003 à 13:21:46    

Citation :

plein, mais au bout de quelques essaie, ca marche !

 
 
Bah ce n'est peut etre pas un pbs du cote du firewall alors !
 

Citation :

mais la en faisant un ping www.hardware.fr
je n'ai aucun retour, pas de message d'erreur !

 
 
biz , tu as rajoutés les log ?
fait voir un peu !
 
A+


Message édité par Aragorn_1er le 02-05-2003 à 13:28:28
Reply

Marsh Posté le 02-05-2003 à 13:21:46   

Reply

Marsh Posté le 02-05-2003 à 13:23:33    

biz , tu as rajoutés les log ?  
v voir un peu !  
je cherche, je c pas bien les faire chuis pas encore un pro  :p


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 02-05-2003 à 13:30:45    

Je te file ma regle pour logger :
 
D'abord :
#Configuration Iptables
IPTABLES="/sbin/iptables"
#Pour ne pas trop remplir les logs
LOG_FLOOD="2/s"
 
Création d'une new chaine :
#regle qui log les packets et les drop
$IPTABLES -N LDROP
$IPTABLES -A LDROP -p tcp --dport 137:139 -j DROP
$IPTABLES -A LDROP -p udp --dport 137:139 -j DROP
$IPTABLES -A LDROP -p tcp -m limit --limit $LOG_FLOOD -j LOG --log-level 6 --log-prefix '[IPTABLES TCP Dropped] '
$IPTABLES -A LDROP -p udp -m limit --limit $LOG_FLOOD -j LOG --log-level 6 --log-prefix '[IPTABLES UDP Dropped] '
$IPTABLES -A LDROP -p icmp -m limit --limit $LOG_FLOOD -j LOG --log-level 6 --log-prefix '[IPTABLES ICMP Dropped] '
$IPTABLES -A LDROP -f -m limit --limit $LOG_FLOOD -j LOG --log-level 6 --log-prefix '[IPTABLES FRAGMENT Dropped] '
$IPTABLES -A LDROP -j DROP
 
Et a la fin tu met :
$IPTABLES -A FORWARD -j LDROP
$IPTABLES -A INPUT -j LDROP
$IPTABLES -A OUTPUT -j LDROP
 
Le tout, ( si ca se passe bien ) sera dans syslog !
 
A+


Message édité par Aragorn_1er le 02-05-2003 à 13:31:52
Reply

Marsh Posté le 02-05-2003 à 13:37:04    

donc si j'ai bien compris, il faut que je rajoute ton code à mon script :??: et ça va loggé dans le fichier /var/log/syslog mais juste les paquets rejeté sur le 137 à 139 (ensuite g du mal !)


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 02-05-2003 à 13:44:44    

Ca va logger tout ce qui est refuser par le firewall, sauf les ports 137 à 139 en tcp et udp , qui sont les ports netbios de windows, ces ports là ne seront pas logger pour eviter d'avoir des loggggs enooooooorrrme , ( sauf si biensur tu n'a pas de windows sur ton lan ).
 
A+


Message édité par Aragorn_1er le 02-05-2003 à 13:44:59
Reply

Marsh Posté le 02-05-2003 à 13:56:35    

oki, j'avait tout compis de travers !
donc j'ai essayé ce ke tu m'as donné
mauvaise nouvel, ca ping toujours pas !
bonne nouvelle

Citation :

May  2 15:51:37 stargate kernel: [IPTABLES ICMP Dropped] IN= OUT=ppp0 SRC=80.15.196.241 DST=212.43.221.155 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=39692 SEQ=0
May  2 15:51:38 stargate kernel: [IPTABLES ICMP Dropped] IN= OUT=ppp0 SRC=80.15.196.241 DST=212.43.221.155 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=39692 SEQ=256
May  2 15:51:39 stargate kernel: [IPTABLES ICMP Dropped] IN= OUT=ppp0 SRC=80.15.196.241 DST=212.43.221.155 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=39692 SEQ=512
May  2 15:51:40 stargate kernel: [IPTABLES ICMP Dropped] IN= OUT=ppp0 SRC=80.15.196.241 DST=212.43.221.155 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=39692 SEQ=768


ca log bien ! mais les paquets ICMP sont droppé !


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 02-05-2003 à 14:03:40    

info voici la nouvelle fonction start :

Citation :


start () {
#on degage tous
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
 
#police par defaut DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
#echo "[Activation de la passerelle]"
echo 1 > /proc/sys/net/ipv4/ip_forward
#test
echo 0 > /proc/sys/net/ipv4/tcp_ecn
 
 
# pour le localhost c obligatoire !
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
#pour accepter tous ce qui passe sur le rezo
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -i ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
 
#pour accepter le partage de connexion
iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
 
#pour voir
iptables -A OUTPUT -o ppp0 -p icmp --icmp-type ping -j ACCEPT
 
#DNS OK
iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT
 
#pour le serveur web
#iptables -A INPUT -i ppp0 -p TCP --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o ppp0 -p TCP --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
 
#SSH autorisé depuis internet
#iptables -A INPUT -i ppp0 -p tcp --dport 22 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o ppp0 -p tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT
 
#pour accepter le FTP sur mon rezo local
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
 
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
 
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
 
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m  state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 
LOG_FLOOD="2/s"
 
#regle qui log les packets et les drop
iptables -N LDROP
iptables -A LDROP -p tcp --dport 137:139 -j DROP
iptables -A LDROP -p udp --dport 137:139 -j DROP
iptables -A LDROP -p tcp -m limit --limit $LOG_FLOOD -j LOG --log-level 6 --log-prefix '[IPTABLES TCP Dropped] '
iptables -A LDROP -p udp -m limit --limit $LOG_FLOOD -j LOG --log-level 6 --log-prefix '[IPTABLES UDP Dropped] '
iptables -A LDROP -p icmp -m limit --limit $LOG_FLOOD -j LOG --log-level 6 --log-prefix '[IPTABLES ICMP Dropped] '
iptables -A LDROP -f -m limit --limit $LOG_FLOOD -j LOG --log-level 6 --log-prefix '[IPTABLES FRAGMENT Dropped] '
iptables -A LDROP -j DROP
 
#activer les log
iptables -A FORWARD -j LDROP
iptables -A INPUT -j LDROP
iptables -A OUTPUT -j LDROP
 
echo "régle appliqué"
}


Message édité par stef_dobermann le 02-05-2003 à 14:18:07

---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 02-05-2003 à 14:08:22    

He coco ! si tu ne met pas la regle que je t'ai donner + haut pour le ping ca ne marchera pas :p
 

Citation :


Sinon pour le ping depuis ton ton serv :
$IPTABLES -A OUTPUT -o ppp0 -p icmp --icmp-type ping -j ACCEPT

 
 
A+


Message édité par Aragorn_1er le 02-05-2003 à 14:08:47
Reply

Marsh Posté le 02-05-2003 à 14:16:47    

dsl me suit trompé dans mon copié collé !


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 02-05-2003 à 14:50:57    

il faudrais lui définir une interface réseau ?


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 02-05-2003 à 15:03:00    

ben en faite j'ai trouvé, étant donné que je DROP tout par defaut en plus d'accepter la sortie, il faut aussi accepter l'entré !
 
iptables -A INPUT -i ppp0 -p icmp -j ACCEPT
iptables -A OUTPUT -o ppp0 -p icmp --icmp-type ping -j ACCEPT
 
merci Aragorn_1er pour ton aide et ta patience :jap:


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 02-05-2003 à 15:07:46    

Je n'avais pas qu'il n'y avait pas le suivis des connexions ...
Bon c juste pour chipoter mais un :
 
iptables -A INPUT -i ppp0 -m state --state RELATED -p icmp -j ACCEPT  
 
serait + indiqué, ca te permettra de recevoir les echos de ping, sans etre obliger d'accepter les pings entrant.
 
A+

Reply

Marsh Posté le 02-05-2003 à 15:12:55    

je voudrais faire un truc maitenant, c'est fermé tout les ports et n'ouvrir que ceux ke je veux pour faire un server web (port 80) faire un serveur FTP (port personnel different du 21) SSH (port 22), le PC étant un serveur ya rien d'autre dessus !
 
mais je voudrais que le restant du réseau local puisse encore faire ce qu'il faisant avant ! ftp, client web, irc, jeux en reseau ...
 
voila si vous avez des suggestions, critique afin d'améliorer mon script firewall, je suis preneur :D


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 02-05-2003 à 15:13:42    

Aragorn_1er a écrit :

Je n'avais pas qu'il n'y avait pas le suivis des connexions ...
Bon c juste pour chipoter mais un :
 
iptables -A INPUT -i ppp0 -m state --state RELATED -p icmp -j ACCEPT  
 
serait + indiqué, ca te permettra de recevoir les echos de ping, sans etre obliger d'accepter les pings entrant.
 
A+


 
oué, c encore mieu ca :) mais la ping ne fonctionne plus :lol: par contre ca :
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -p icmp -j ACCEPT
 
ca fonctionne !


Message édité par stef_dobermann le 02-05-2003 à 15:16:34

---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 02-05-2003 à 19:41:18    

zut, je n'ai pas acces à ce site !
http://www.fwbuilder.org/
 
j'ai demandé à des potes de tester, il apparement ca marche nikel !


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le 02-05-2003 à 19:55:12    

SteF_DOBERMANN a écrit :

zut, je n'ai pas acces à ce site !
http://www.fwbuilder.org/
 
j'ai demandé à des potes de tester, il apparement ca marche nikel !


va lentement !!!!
 
mais en place juste le masquerading et ensuite tu va batir .. mais la c deja fourni... la preuve tu peux meme pas surfer ou  tu veux !!


---------------
FFFF
Reply

Marsh Posté le 02-05-2003 à 21:19:30    

mais c bizzard quand meme ce meme script fonctionnait parfaitement quand - t il executé sous mandrake 9 !!


---------------
Tout à commencé par un rêve...
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed