problème forwarding mandrake 10.1 [RESOLU] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 11-02-2006 à 20:18:11
bon d'après ce que j'ai pu découvrir, la solution qui me conviendrait ressemblerais à de l'IP masquering ou TCP forwarding. Si une personne pouvait m'aider et m'expliquer comment faire sous Mandrake ce serait sympa !
Marsh Posté le 11-02-2006 à 22:40:50
aucun rapport, tes services sont sur ta passerelle et ton partage de connexion fonctionne. Pas besoin de toucher au forward ou au masquage d'IP.
t'es sur ques tes services sont lancés ?
Marsh Posté le 11-02-2006 à 22:50:00
Mjules a écrit : aucun rapport, tes services sont sur ta passerelle et ton partage de connexion fonctionne. Pas besoin de toucher au forward ou au masquage d'IP. |
Encore edit: en fait peut etre que si....
Moi je comprend que le monsieur dit que ses trucs (ftp et vnc server) sont sur le client
donc il faut faire forwarder les ports sur le clients pour se connecter depuis internet
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to-destination adresse_server |
pour un serveur web
Marsh Posté le 11-02-2006 à 23:00:59
merci de vos réponses. lOky c'est une bonne idée mais je suis en DHCP. Comment faire pour désigner la machine client ?
Marsh Posté le 11-02-2006 à 23:06:48
tu peux pas... il faut un adressage fixe ou alors etre sur que ton client a toujours cette adresse IP.
Normalement, enfin dans tout serveur dhcp correct tu peux spécifier cela (association adresse MAC/adresse IP)
Pour le ftp, c'est un peu plus compliquer, le protocole est un peu plus complexe que du vnc ou du web.
Il te faut charger différent module :
ip_conntrack_ftp ip_nat_ftp et ca devrait fonctionner
Marsh Posté le 11-02-2006 à 23:10:11
ReplyMarsh Posté le 11-02-2006 à 23:11:24
l0ky a écrit : tu peux pas... il faut un adressage fixe ou alors etre sur que ton client a toujours cette adresse IP. |
oui mais malheureusement je ne peux pas être en static sinon il refuse de partager la connexion internet. Ou alors il y a une astuce ?
Marsh Posté le 11-02-2006 à 23:33:06
Bon je crois que je vais expliquer l'architecture du réseau, enfin au moins la partie qui nous interesse, cela sera peut être plus clair pour vous.
modem cable --> carte réseau eth0 sur pc linux
carte réseau eth1 internet sharing sur pc linux 192.168.1.1 --> pc client avec serveurs (vnc, ftp)
Le but étant, comme l'as dit lOky, de pouvoir se connecter depuis internet sur le pc client.
Je ne peux pas mettre le pc client en static sinon il coupe net internet, je ne sais pas pourquoi. Quelles sont les différentes solutions s'offrant à moi ?
Merci de votre aide !
Marsh Posté le 11-02-2006 à 23:38:44
sinon j'ai trouvé ça mais bon je ne comprends pas grand chose...
http://tldp.org/HOWTO/IP-Masquerad [...] mples.html
et ça :
http://www.funix.org/fr/linux/ipmasq.htm
Marsh Posté le 12-02-2006 à 10:23:48
C'est qu'il doit y avoir des regles filtrant l'acces seulement au equipement du range d'adresse DHCP.
Que l'adressage soit en static ou en dynamic n'influe en aucune maniere sur le partage de connection.
Chez moi j'ai une partie en dhcp, l'autre en fixe. Et ca marche nickel
Vérifie tes regles.
Fait un iptables -L -v -n
et un iptables -t -nat -L -v -n
Tu colles le tout dans des balises fixed pour que ce soit lisible.
Marsh Posté le 12-02-2006 à 13:46:44
l0ky a écrit : C'est qu'il doit y avoir des regles filtrant l'acces seulement au equipement du range d'adresse DHCP. |
l'ennui c'est que je ne sais pas quelles régles mettre, ni ou ni comment !
Quand je tape iptables -t -nat -L -v -n il me marque : "can't initialize iptables -nat : table does not exist"
perhaps iptables or kernel need to be upgraded
Marsh Posté le 12-02-2006 à 13:48:08
ReplyMarsh Posté le 12-02-2006 à 14:17:31
l0ky a écrit : nat pas -nat |
pas de quoi ;-) merci de prendre le temps de m'aider.
Voici le résultat de cette dernière commande :
Chain PREROUTING (policy ACCEPT 36798 packets, 2738K bytes)
pkts bytes target prot opt in out source destination
31913 1540K loc_dnat all -- eth1 * 0.0.0.0/0 0.0.0.0/0
Chain POSTROUTING (policy ACCEPT 1273 packets, 92211 bytes)
pkts bytes target prot opt in out source destination
32642 1603K eth0_masq all -- * eth0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 1273 packets, 92211 bytes)
pkts bytes target prot opt in out source destination
Chain eth0_masq (1 references)
pkts bytes target prot opt in out source destination
31379 1513K MASQUERADE all -- * * 192.168.1.0/24 0.0.0.0/0
Chain loc_dnat (1 references)
pkts bytes target prot opt in out source destination
529 25296 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
Marsh Posté le 12-02-2006 à 14:24:59
Il n'y a aucune regle pour tes forwards de port.
Ensuite si tu mets des équipements en adressage fixe, assures toi que:
- leur adresse soit dans 192.168.1.0/24
- que tu renseignes la route par défaut sur ces équipement (vers ta passerelle)
Je t'ai donné un exemple précédement pour le port 80.
A toi apres d'adapter cet exemple a tes besoin
Marsh Posté le 12-02-2006 à 14:34:12
Alors :
- je n'ai aucun équipement en adressage fixe car sinon je n'ai plus d'internet; ils s'attribuent tout seul une adresse sur le réseau 192.168.1.0
-la route par défaut est bien définie je suppose sinon je n'aurais pas internet sur le poste client.
-l'ennui avec la commande que tu m'as donné c'est que je peux pas l'utiliser puisque je suis en dhcp ! Comment faire pour que le poste client accepte un adressage statique ?
Marsh Posté le 12-02-2006 à 14:38:30
Je te dis que l'adressage statique ou dynamique n'a rien a voir la dedans
- Soit tu n'as pas renseigné la passerelle quand tu as passé les équipements en fixe
- Soit tu as des règles de filtrage sur ta passerelle concernant ces adresses
Vérifie
Marsh Posté le 12-02-2006 à 15:17:18
- rien à faire du côté des clients : firewall et antivirus désactivés, je passe en static et hop plus d'internet il ne veut rien savoir. Mais j'ai peut être mal interprêté ce que "veut" linux. Sur le pc client donc en ip j'ai mis 192.168.1.2, en masque de sous réseau 255.255.255.0, et en passerelle et dns 192.168.1.1 qui désigne l'ip de eth1. D'ailleurs lorsque je suis en dhcp et que je fais un ipconfig cela m'es confirmé.
- firewall désactivé donc pas de régles de filtrage. Peut être du côté de la Mandrake. Comment le savoir ?
Marsh Posté le 12-02-2006 à 15:19:59
l0ky a écrit : |
Marsh Posté le 12-02-2006 à 15:28:41
ReplyMarsh Posté le 12-02-2006 à 15:29:58
"Tu colles le tout dans des balises fixed pour que ce soit lisible."
je ne sais pas ce qu'est une balise fixed...
Marsh Posté le 12-02-2006 à 15:32:00
ReplyMarsh Posté le 12-02-2006 à 15:32:06
voici tout de même ce que donne la commande :
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
1 76 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 DROP !icmp -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
581 160K eth0_in all -- eth0 * 0.0.0.0/0 0.0.0.0/0
160 14525 eth1_in all -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 Reject all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:INPUT:REJECT:'
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 1 packets, 85 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP !icmp -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
393 19990 eth0_fwd all -- eth0 * 0.0.0.0/0 0.0.0.0/0
373 278K eth1_fwd all -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 Reject all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:FORWARD:REJECT:'
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
1 76 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 DROP !icmp -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
551 84077 fw2net all -- * eth0 0.0.0.0/0 0.0.0.0/0
150 23864 fw2loc all -- * eth1 0.0.0.0/0 0.0.0.0/0
0 0 Reject all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:OUTPUT:REJECT:'
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0
Chain Drop (1 references)
pkts bytes target prot opt in out source destination
137 18898 RejectAuth all -- * * 0.0.0.0/0 0.0.0.0/0
137 18898 dropBcast all -- * * 0.0.0.0/0 0.0.0.0/0
95 4878 dropInvalid all -- * * 0.0.0.0/0 0.0.0.0/0
95 4878 DropSMB all -- * * 0.0.0.0/0 0.0.0.0/0
42 2058 DropUPnP all -- * * 0.0.0.0/0 0.0.0.0/0
42 2058 dropNotSyn all -- * * 0.0.0.0/0 0.0.0.0/0
35 1748 DropDNSrep all -- * * 0.0.0.0/0 0.0.0.0/0
Chain DropDNSrep (2 references)
pkts bytes target prot opt in out source destination
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53
Chain DropSMB (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:135
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:445
25 1268 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:135
11 560 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
17 992 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
Chain DropUPnP (2 references)
pkts bytes target prot opt in out source destination
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1900
Chain Reject (4 references)
pkts bytes target prot opt in out source destination
117 8800 RejectAuth all -- * * 0.0.0.0/0 0.0.0.0/0
117 8800 dropBcast all -- * * 0.0.0.0/0 0.0.0.0/0
111 6816 dropInvalid all -- * * 0.0.0.0/0 0.0.0.0/0
111 6816 RejectSMB all -- * * 0.0.0.0/0 0.0.0.0/0
111 6816 DropUPnP all -- * * 0.0.0.0/0 0.0.0.0/0
111 6816 dropNotSyn all -- * * 0.0.0.0/0 0.0.0.0/0
111 6816 DropDNSrep all -- * * 0.0.0.0/0 0.0.0.0/0
Chain RejectAuth (2 references)
pkts bytes target prot opt in out source destination
0 0 reject tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113
Chain RejectSMB (1 references)
pkts bytes target prot opt in out source destination
0 0 reject udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:135
0 0 reject udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139
0 0 reject udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:445
0 0 reject tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:135
0 0 reject tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
0 0 reject tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
Chain all2all (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
117 8800 Reject all -- * * 0.0.0.0/0 0.0.0.0/0
111 6816 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:all2all:REJECT:'
111 6816 reject all -- * * 0.0.0.0/0 0.0.0.0/0
Chain dropBcast (2 references)
pkts bytes target prot opt in out source destination
48 16004 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast
Chain dropInvalid (2 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
Chain dropNotSyn (2 references)
pkts bytes target prot opt in out source destination
7 310 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x16/0x02
Chain dynamic (4 references)
pkts bytes target prot opt in out source destination
Chain eth0_fwd (1 references)
pkts bytes target prot opt in out source destination
0 0 dynamic all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW
393 19990 net2all all -- * eth1 0.0.0.0/0 0.0.0.0/0
Chain eth0_in (1 references)
pkts bytes target prot opt in out source destination
137 18898 dynamic all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW
581 160K net2all all -- * * 0.0.0.0/0 0.0.0.0/0
Chain eth1_fwd (1 references)
pkts bytes target prot opt in out source destination
18 887 dynamic all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW
373 278K loc2net all -- * eth0 0.0.0.0/0 0.0.0.0/0
Chain eth1_in (1 references)
pkts bytes target prot opt in out source destination
124 9136 dynamic all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW
160 14525 loc2fw all -- * * 0.0.0.0/0 0.0.0.0/0
Chain fw2loc (1 references)
pkts bytes target prot opt in out source destination
148 23488 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 376 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain fw2net (1 references)
pkts bytes target prot opt in out source destination
440 77000 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
50 3000 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
61 4077 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain icmpdef (0 references)
pkts bytes target prot opt in out source destination
Chain loc2fw (1 references)
pkts bytes target prot opt in out source destination
36 5389 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
7 336 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
117 8800 all2all all -- * * 0.0.0.0/0 0.0.0.0/0
Chain loc2net (1 references)
pkts bytes target prot opt in out source destination
355 277K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
18 887 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain net2all (2 references)
pkts bytes target prot opt in out source destination
837 161K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
137 18898 Drop all -- * * 0.0.0.0/0 0.0.0.0/0
35 1748 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:net2all:DROP:'
35 1748 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain reject (11 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast
0 0 DROP all -- * * 255.255.255.255 0.0.0.0/0
0 0 DROP all -- * * 192.168.1.255 0.0.0.0/0
0 0 DROP all -- * * 255.255.255.255 0.0.0.0/0
0 0 DROP all -- * * 224.0.0.0/4 0.0.0.0/0
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
93 5736 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
18 1080 REJECT icmp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain shorewall (0 references)
pkts bytes target prot opt in out source destination
Chain smurfs (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 255.255.255.255 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
0 0 DROP all -- * * 255.255.255.255 0.0.0.0/0
0 0 LOG all -- * * 192.168.1.255 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
0 0 DROP all -- * * 192.168.1.255 0.0.0.0/0
0 0 LOG all -- * * 255.255.255.255 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
0 0 DROP all -- * * 255.255.255.255 0.0.0.0/0
0 0 LOG all -- * * 224.0.0.0/4 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
0 0 DROP all -- * * 224.0.0.0/4 0.0.0.0/0
Marsh Posté le 12-02-2006 à 15:50:20
l0ky a écrit : [ fixed] [ /fixed] |
je suis désolé d'être lourd mais je capte pas là... Que dois-je faire avec ces balises ? Comment faire ?
Marsh Posté le 12-02-2006 à 16:35:22
je pense que le problème du static address vient du fait que lorsque Linux partage la connexion il le fait avec le réseau 192.168.1.1 alors que mon réseau windows est 192.168.0.1. Hors je ne peux changer ni l'un ni l'autre sinon le partage de la connexion disparaît. Une astuce ?
Marsh Posté le 12-02-2006 à 16:55:52
Heu
Comment ca...
Il y a une truc que je captes pas...
Pourquoi tu veux mettre un réseau différent pour windows et linux
Sur un meme brin réseau tu ne dois avoir qu'un seul adressage
Ta mandrake qui "partage" sa connection a une patte sur internet et une patte sur ton LAN.
la patte sur ton lan a l'adresse 192.168.1.1 (mask: 255.255.255.0)
Donc les équipements qui sont relié à ta mandrake via un switch/hub doivent avoir une adresse en 192.168.1.0/24.
Tu aurais put dire ca plus tot...
Marsh Posté le 12-02-2006 à 17:00:05
Pour faire simple, un équipement 192.168.1.1 (masque 255.255.255.0) ne peux pas communiquer avec un équipement 192.168.0.1 (maque 255.255.255.0) sauf rajout supplémentaire de route et réciproquement.
Si tu dis à un équipement 192.168.0.1 (255.255.255.0) d'utiliser une passerelle 192.168.1.1 il ne pourra jamais sortir de son réseau. Et normalement le systeme devrait gueuler des que tu lui essaye de le configurer...
Revoit ton adressage.
Si c'est le serveur dhcp qui fait chier, s'il fournit des adresses du range 192.168.1.0/24 en entier (minus 192.168.1.1) réduit son range. Tu n'as certainement pas besoin d'un /24 en entier en dhcp
Marsh Posté le 12-02-2006 à 18:01:18
Effectivement, je me suis rendu compte de ça et j'ai reconfiguré mon réseau. Pour l'instant je fais simple :
- Le pc Linux partage internet sur le réseau 192.168.1.0
- Il y a un pc client relié au pc linux
Ca marche très bien en DHCP, mais PAS en static ! C'est comme si sur Linux il y avait un serveur DHCP obligatoire. Comment désactive t-on le DHCP sur le partage internet ?
Marsh Posté le 13-02-2006 à 12:48:48
l0ky j'ai quelquechose qui pourra peut être t'interesser. Lorsquer je me mets en static la connexion existe puisque je peux pinger une adresse ip distante. Par contre impossible d'afficher une page web... Donc j'en déduis que c'est un problème de dns.
De plus, en dhcp sur le client et en faisant un ipconfig, j'obtiens un suffixe dns propre à la connexion : x1-6-00-20-18-3b-ba-ce.
Et ce suffixe disparaît lorsque je suis en static. Qu'est-ce que cela signifie ?
Marsh Posté le 13-02-2006 à 12:52:19
que tu n'as pas renseigner les bon dns sur tes clients
Pour le suffixe tu t'en fous. C'est juste pour dire de chercher d'abord dans un domaine particulier quand tu donnes juste le nom de machine et pas le fqdn.
Aucun lien avec ton probleme.
Si tu mets 192.168.1.1 en serveur dns sur tes clients, assures toi bien que tu as un service DNS qui fonctionne correctement sur ta mandrake
Marsh Posté le 13-02-2006 à 13:22:40
ah ça c'est interessant ! Comment s'assurer sur la mandrake que le service dns fonctionne ? [super newbie inside]
Marsh Posté le 13-02-2006 à 13:33:01
Pour voir s'il marche correctement tu vas sur ta mandrake et tu tapes dans une console:
host www.google.fr 127.0.0.1 |
(note: la j'ai mis des balises fixed autour de la commande )
si tu as une réponse qui te donne les adresses de www.google.fr c'est qui fonctionne. Apres faut voir dans les regles iptables si les équipements de ton LAN ont droit d'interroger le service.
sinon tu mets sur tes clients les adresses DNS de ton FAI (encore une fois faut vérifier si les regles iptables te le permettent).
Marsh Posté le 13-02-2006 à 13:46:34
- alors pour google il trouve bien les adresses pas de problèmes.
- "Apres faut voir dans les regles iptables si les équipements de ton LAN ont droit d'interroger le service" : désolé je ne comprends rien. Tu es super sympa de m'aider mais imagines que je ne connaisse que les commandes su, ls et man. Je fais des recherches pour me documenter mais j'avance tout doucement. C'est comme si une personne apprenait à manier la souris sous windows toi tu lui demande de vérifier que le service dns est bien actif. Moi j'en suis là mais sous linux...
- sur mes clients effectivement si je mets les dns de mon fai ça marche. Après tout si les dns du fai ne changent pas je vais peut être rester à cette config.
Merci de ton aide
Marsh Posté le 13-02-2006 à 13:53:53
Désolé si je suis pas clair, ca m'arrive souvent... enfin bon...
j'ai regardé vite faire les regles que tu m'as copié plus haut, personellement j'aime pas shorewall, ca part un peu dans tous les sens... efin bref, il faudrait que tu ouvres le port 53 UDP pour ton LAN pour que les équipements de ton puisses utiliser ce service.
Mais pour l'instant si ca marche avec ceux de ton FAI je te conseilles de les garder. Quand tu auras plus de notion sur Linux et sur les LANs tu pourras mettre en place ce genre de service.
Marsh Posté le 13-02-2006 à 14:03:46
ok merci ! j'avance... Et en fait ce n'est pas du tout que tu n'es pas clair, c'est moi qui suis un newbie ! N'inverse pas les rôles ;-)
Maintenant j'ai donc mon pc linux qui partage internet, je passe par un hub et j'ai deux pc clients.
Maintenant que je suis en static sur mes deux clients j'ai donc essayé ta ligne de commande iptables. L'ennui c'est que ça ne fait absolument rien quand je vérifie... J'ai rentré exactement cette ligne là :
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5800 -j DNAT --to-destination 192.168.1.3 |
et celle-ci
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5900 -j DNAT --to-destination 192.168.1.3 |
c'est pour vnc serveur...
Marsh Posté le 13-02-2006 à 14:09:12
oui mais en plus il faut autoriser le flux a traverser le firewall.
Ces lignes ne font que la redirection.
pour autoriser il faut faire en plus
iptables -t filter -A FORWARD -i ppp0 -p tcp --dport 5800 -d 192.168.1.3 -j ACCEPT |
Marsh Posté le 13-02-2006 à 14:10:32
Site tres bien fait pour comprendre les bases de netfilter/iptables
http://christian.caleca.free.fr/netfilter/
Marsh Posté le 13-02-2006 à 14:22:24
ReplyMarsh Posté le 13-02-2006 à 14:25:20
Enfin juste comme ca, mélanger des règles de shorewall et des règles faites à la main ca rique de ne pas etre terrible.
Soit tu utilises shorewall et tu mets les regles de nat et d'ouverture pour shorewall. Il y a une tres bonne doc de shorewall il me semble.
Soit tu fais tes propres regles de filtrage en entier
Marsh Posté le 11-02-2006 à 19:26:09
Bonjour,
j'ai actuellement un pc linux qui partage une connexion internet avec un autre poste. Concrètement j'ai un serveur ftp et vnc server installé sur le poste client et je ne peux plus me connecter. Même si j'ouvre les ports dans le firewall de la Mandrake cela ne fait aucune différence. Par contre le partage de la connexion internet marche très bien. Comment faire ? Merci !
Je précise que je suis un ultra débutant sous linux.
MAJ du 17.02.2006 : le titre a été renommé afin de mieux correspondre au problème réel.
Message édité par ramkiller le 21-02-2006 à 01:02:29
---------------
Mon feedback