Problème des LowID

Problème des LowID - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 01-04-2003 à 11:42:39    

Salut,
 
Sans citer aucun programme qui puisse causer ce pb (oui il y en a plusieurs), j'aimerais savoir comment le résoudre svp...
J'ai un client winxp derrière une passerelle linux sous Mdk9.0... je dois forwarder les ports 4661-4662 TCP et 4665 en udp...  
J'ai rentré les lignes suivantes :  

iptables -t nat -A PREROUTING -i eth1 -p udp -m udp --dport 4665 -j DNAT --to-destination 192.168.0.95:4665
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 4661:4662 -j DNAT --to-destination 192.168.0.95:4661


Mais ça n'a rien changé...
 
Merci de m'aider, ou d'effacer le message s'il chatouille vraiment trop la charte du forum (auquel cas je m'en excuse, c'était pas le but)
 

Reply

Marsh Posté le 01-04-2003 à 11:42:39   

Reply

Marsh Posté le 01-04-2003 à 12:07:56    

Me faites pas croire que personne n'a eu ce pb... :)
 
J'ai essayé d'utiliser shorewall (http://www.shorewall.net) mais il m'a déglingué pas mal de trucs alors je préfère oublier ça...
avec iptables y'a pas moyen de forwarder ces fameux ports svp ?
 
Merci

Reply

Marsh Posté le 01-04-2003 à 12:37:13    

pilou51 a écrit :

Salut,
 
Sans citer aucun programme qui puisse causer ce pb (oui il y en a plusieurs), j'aimerais savoir comment le résoudre svp...
J'ai un client winxp derrière une passerelle linux sous Mdk9.0... je dois forwarder les ports 4661-4662 TCP et 4665 en udp...  
J'ai rentré les lignes suivantes :  

iptables -t nat -A PREROUTING -i eth1 -p udp -m udp --dport 4665 -j DNAT --to-destination 192.168.0.95:4665
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 4661:4662 -j DNAT --to-destination 192.168.0.95:4661


Mais ça n'a rien changé...
 
Merci de m'aider, ou d'effacer le message s'il chatouille vraiment trop la charte du forum (auquel cas je m'en excuse, c'était pas le but)
 
 


 
Si tu forwardes 3 ports, tu devrais avoir 3 lignes non ?
 
Ta ligne pour 4661-4662 redirige les deux sur le 4661 => pas bon !

Reply

Marsh Posté le 01-04-2003 à 12:43:01    

normalement ça marche, j'utilise les mm commandes pour forwarder d'autres ports udp (9000 à 9013) et ça prend qu'une seule ligne... et ça ça marche, alors je comprends pas  :cry:  
 

Reply

Marsh Posté le 01-04-2003 à 12:47:37    

pilou51 a écrit :

normalement ça marche, j'utilise les mm commandes pour forwarder d'autres ports udp (9000 à 9013) et ça prend qu'une seule ligne... et ça ça marche, alors je comprends pas  :cry:  
 
 


 
bah la tu forward kan meme les port 4661 et 4662 sur le port 4661 !

Reply

Marsh Posté le 01-04-2003 à 12:52:05    

faudrait arreter de lire les doc en diagonale :pfff:


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 01-04-2003 à 12:53:54    

udok a écrit :

faudrait arreter de lire les doc en diagonale :pfff:  

:jap:

Reply

Marsh Posté le 01-04-2003 à 12:59:31    

quelles docs ? celles d'iptables ? ahah trouve moi une personne qui l'ait lue en entier...
 
Merci pour les réponses constructives qui font bien avancer...

Reply

Marsh Posté le 01-04-2003 à 13:00:49    

pilou51 a écrit :

quelles docs ? celles d'iptables ? ahah trouve moi une personne qui l'ait lue en entier...
 
Merci pour les réponses constructives qui font bien avancer...


 
moi j'ai lu la table des matieres, je suis pas un génie et j'y suis arrivé en lisant juste ce dont j'avais besoin
si tu ne maitrises pas le principe du multiport sur une ligne, fait le sur plusieurs lignes
c'est assez constructif là ?   :o


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 01-04-2003 à 13:02:30    

sauf que sur une ligne ou sur plusieurs, ça ne change rien pour moi...
si tu y es arrivé, vu qu'on est sur un forum d'entraide, tu peux pas poster tes lignes ou qqchose de consistant, au lieu de jeter à tout va ?

Reply

Marsh Posté le 01-04-2003 à 13:02:30   

Reply

Marsh Posté le 01-04-2003 à 13:10:19    

pilou51 a écrit :

sauf que sur une ligne ou sur plusieurs, ça ne change rien pour moi...
si tu y es arrivé, vu qu'on est sur un forum d'entraide, tu peux pas poster tes lignes ou qqchose de consistant, au lieu de jeter à tout va ?


 
 

# edonkey
iptables -I PREROUTING -t nat -i ppp0 -p tcp --dport 4662 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i ppp0 -o eth0 -p tcp --dport 4662 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i ppp0 -p udp --dport 4662 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i ppp0 -o eth0 -p udp --dport 4662 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i ppp0 -p tcp --sport 4661 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i ppp0 -o eth0 -p tcp --sport 4661 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i ppp0 -p udp --sport 4665 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i ppp0 -o eth0 -p udp --sport 4665 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i ppp0 -p udp --dport 4666 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i ppp0 -o eth0 -p udp --dport 4666 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i ppp0 -p udp --dport $OVERNET_PORT -j DNAT --to 192.168.0.2
iptables -I FORWARD -i ppp0 -o eth0 -p udp --dport $OVERNET_PORT -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i ppp0 -p udp --sport $OVERNET_PORT -j DNAT --to 192.168.0.2
iptables -I FORWARD -i ppp0 -o eth0 -p udp --sport $OVERNET_PORT -d 192.168.0.2 -j ACCEPT


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 01-04-2003 à 13:11:54    

merci  :jap:

Reply

Marsh Posté le 01-04-2003 à 13:12:52    

Reply

Marsh Posté le 09-05-2003 à 00:50:37    

Désolé de remonter un vieux thread, mais j'ai également ce problème de LowID et je ne parvient pas à le résoudre, même en appliquant pleins de script d'exemple qui ont l'air de marcher chez d'autres.
 
J'ai ça pour mon script iptables :
 


#!/bin/sh
# Vidage des chaînes
iptables -F
# Suppression des chaînes personnelles
iptables -X
 
# Les tables pointent par defaut sur DROP
 
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
# Reglage par defaut des autres tables : ACCEPT. Le bloquage est effectué par la table filter.
 
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
 
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
 
# On ouvre l'interface local
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
# On ouvre le réseau local
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
 
# Translation d'adresse pour tout ce qui traverse la passerelle en sortant par eth0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
 
# Toutes les connections qui vont du LAN vers le net sont acceptées
iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# Les connections déjà établies ou en relation avec des connections précédentes, du net vers le LAN sont acceptées
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
...(j'autorise quelques services)...
 
# Emule
iptables -I PREROUTING -t nat -i eth0 -p tcp --dport 4662 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i eth0 -o eth1 -p tcp --dport 4662 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i eth0 -p udp --dport 4662 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i eth0 -o eth1 -p udp --dport 4662 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i eth0 -p tcp --sport 4661 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i eth0 -o eth1 -p tcp --sport 4661 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i eth0 -p udp --sport 4665 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i eth0 -o eth1 -p udp --sport 4665 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i eth0 -p udp --dport 4666 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i eth0 -o eth1 -p udp --dport 4666 -d 192.168.0.2 -j ACCEPT
iptables.sh                                                             70,1 Bot


 
Merci.


Message édité par Tranxen le 09-05-2003 à 00:50:56
Reply

Marsh Posté le 09-05-2003 à 04:09:38    

Précise le port de destination de tes DNAT... Ca ne pourra que mieux marcher.
 
Inutile de préciser les règles pour les ports 4661, 4665 et 4666. Ces ports ne concernent que des connections depuis ton LAN vers le NET. Ta règle avec le NEW,RELATED,ESTABLISHED s'en charge déjà. Et e-mule n'a rien à faire du port 4666 !
 
Inutile de préciser la règle en udp pour le port 4662, il n'y a que le tcp d'utiliser sur ce port.
 
Et il te manque un petit truc sur le port 4672 (une règle du même type que pour le port 4662, mais en udp). Et ça devra bien mieux marcher.
 
Sinon, hormis ça, je ne vois rien d'autre à ajouter.
 
Bon courage !
 
Le passant.


Message édité par le passant le 09-05-2003 à 04:11:01
Reply

Marsh Posté le 09-05-2003 à 14:00:36    

Ca marche grâce à tes conseils et en rajoutant quand même :
 


iptables -A FORWARD -i eth0 -p tcp --dport 4662 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


 
Après quelques tests il se trouve que je suis obligé de mettre les lignes concernant le postrouting alors que j'ai ça au début de mon fichier de config :
 


iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT  


 
Je ne suis pas sûr de comprendre, mais au moins ça marche :)


Message édité par Tranxen le 09-05-2003 à 14:00:56
Reply

Marsh Posté le 09-05-2003 à 17:52:40    

Oui !!!
 
Bon, je vais essayer de me faire comprendre :
 
Pour la table Filter : elle entre en action en dernier ressort, une fois qu'un packet à été parfaitement identifié en provenance ET destination par les tables nat et mangle.
Une hiérarchie sur les caractéristiques de cheminement des packets existe donc déjà : on sait qu'un packets "matché" en INPUT est à destination de la passerelle, en OUTPUT, ça provient de la passerelle, et en FORWARD, ça concerne un transit de donnée "à travers" la passerelle entre les deux réseau qui discutent via la passerelle.
 
Pour la table nat et mangle : ces tables sont en relation avec des traitement qui s'effectue en amont (identification du packet, etc..).
Par défaut il faut les mettre en accept, sinon rien ne fonctionnera. Mais pour tout cas particulier, il faut ABSOLUMENT le préciser !!!
Les cas généraux fonctionnenet très bien, mais ils sont généraux et si tu veux faire un NAT efficace, il faut le dire à la machine. Celle-ci ne peut pas encore deviner tes intentions.
 
J'espère avoir été assez clair  :heink:  :whistle: .
Bon DL quand même  :D .
 
Le passant.

Reply

Marsh Posté le 25-05-2003 à 18:47:41    

Désolé de remonter ce topic, mais je ne comprends rien du tout alors je voulais savoir par ou commencer pour régler mon problème de lowid (avec lmule):
ordi sous mdk9.1 utilisant sur une passerelle winxp.


---------------
iteme.free.fr | Mon feedback
Reply

Marsh Posté le 25-05-2003 à 19:01:40    

low id = ton port 4662 (a moins que tu ne l'aies changé) n'est pas joignable de l'extérieur.
 
a toi de voir comment faire un pour le forwarder depuis ta passerelle xp (quelle idee de mettre windows en passerelle.... j'aurais perso mis le donkey sur la passerelle, d'ailleurs)

Reply

Marsh Posté le 25-05-2003 à 19:07:50    

l'ordi passerelle c'est pas le mien, donc je peux rien y faire :D
Je ne comprends pas bien la manip qi'il faut faire?
elle doit être effctuée sur mon ordi ou sur la passerelle?


---------------
iteme.free.fr | Mon feedback
Reply

Marsh Posté le 25-05-2003 à 19:12:46    

Sur la passerelle. pour que tu puisses etre joignable facilement par les autres clients edonkey, il faut que ton port 4662 (sauf changement), soit ouvert et accessible sur ton pc. hors actuellement, les autres clients tombent sur le port 4662 de ta passerelle, pas sur le tiens, et donc ne trouve rien, d'ou ton lowid.  
 
Ce qu'il faut faire c rediriger le port 4662 de ta passerelle VERS ton pc, comme ca les autres clients ne bloqueront plus sur ta passerelle, et tomberont sur ton pc ;)

Reply

Marsh Posté le 25-05-2003 à 19:28:31    

ahah ok :D
Mais alors nouveau problème, comment rediriger ce port sur mon ordi, sachant que sur l'ordi passerelle, y'a un Zone Alarm qui traine?


---------------
iteme.free.fr | Mon feedback
Reply

Marsh Posté le 25-05-2003 à 19:30:05    

ca ca depend de comment est partagé ta connection (avec quel soft) :D et apres zone alarm il suffira de lui dire qu'on accepte tel connection quand il geulera je pense... direction s&r ? :D

Reply

Marsh Posté le 25-05-2003 à 19:30:53    

parano a écrit :

Sur la passerelle. pour que tu puisses etre joignable facilement par les autres clients edonkey, il faut que ton port 4662 (sauf changement), soit ouvert et accessible sur ton pc. hors actuellement, les autres clients tombent sur le port 4662 de ta passerelle, pas sur le tiens, et donc ne trouve rien, d'ou ton lowid.  
 
Ce qu'il faut faire c rediriger le port 4662 de ta passerelle VERS ton pc, comme ca les autres clients ne bloqueront plus sur ta passerelle, et tomberont sur ton pc ;)


 
 
ouah.... tu m'apprendras à expliquer aussi bien ? moi on comprend rien, apparemment  :o

Reply

Marsh Posté le 29-05-2003 à 11:09:42    

parano a écrit :

ca ca depend de comment est partagé ta connection (avec quel soft) :D et apres zone alarm il suffira de lui dire qu'on accepte tel connection quand il geulera je pense... direction s&r ? :D  


En desactivant complètement ZoneAlarm sur la passerelle XP, il me dit toujours lowID. Ca viendrait donc de mon nux qui bloque le port par défaut?


---------------
iteme.free.fr | Mon feedback
Reply

Marsh Posté le 29-05-2003 à 11:14:00    

ITM a écrit :


En desactivant complètement ZoneAlarm sur la passerelle XP, il me dit toujours lowID. Ca viendrait donc de mon nux qui bloque le port par défaut?

:non: il faut maintenant rediriger les connections qui vont vers le 4662 de la paserelle vers TON 4662


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 29-05-2003 à 11:32:46    

Mais comment on fait ça  :??:


---------------
iteme.free.fr | Mon feedback
Reply

Marsh Posté le 29-05-2003 à 11:45:08    

sous windows je sais pas ...
essaye de poster sur Soft & Reseau, celà dit je rapelel qu'il est interdit de traité de P2P sur ladite section


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 11-06-2003 à 22:31:02    

Dégouté, j'ai testé eMule sous Win
Aucun problème de LowID sur mon ordi...
C'est bien Linux qui bloque le port...
une idée?


---------------
iteme.free.fr | Mon feedback
Reply

Marsh Posté le 11-06-2003 à 22:32:41    

pilou51 a écrit :

quelles docs ? celles d'iptables ? ahah trouve moi une personne qui l'ait lue en entier...
 
Merci pour les réponses constructives qui font bien avancer...


On m'appelle ?
 [:zerod]

Reply

Marsh Posté le 11-06-2003 à 22:57:06    

tout est dit ds le dernier :
 
Linux LOader.
 
 
et puis pour ceux qui se prennent encore la tete sur la synthaxe Iptable .. y'a firewall builder (Fwbuilder) ou il est juste necessaire de savoir ce qu'on veut faire en ip pour appliquer n'importe quel policy en 4 clics et 1 : sh script_generer ...
 
y'en a qui aime se faire mal sur ce forum.,  ;)


---------------
Asrock conroe 945g-dvi
Reply

Marsh Posté le 12-06-2003 à 18:47:38    

personne n'a d'idée pour mon prob?


---------------
iteme.free.fr | Mon feedback
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed