regles iptables, vous en pensez koi ? (script...)

regles iptables, vous en pensez koi ? (script...) - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 09-01-2003 à 23:29:57    

EDIT: C BON PLUS DE PROBLEME :D
 

Chain INPUT (policy DROP)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere           state NEW,ESTABLISHED tcp dpt:www  
ACCEPT     tcp  --  anywhere             anywhere           state NEW,ESTABLISHED tcp dpt:ssh  
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere           tcp spts:1024:65535 dpt:ssh  
 
Chain FORWARD (policy DROP)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  192.168.0.0/24       anywhere            
ACCEPT     all  --  anywhere             anywhere            
 
Chain OUTPUT (policy DROP)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere           state NEW,ESTABLISHED tcp dpt:www  
ACCEPT     tcp  --  anywhere             anywhere           state NEW,ESTABLISHED tcp dpt:ssh  
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            


 
Je viens de decouvrir iptables, pour moi tt fonctionne le nat & co, reste plus qu'a configurer mon serveur ssh....
Bon seulement, ces regles,j'ai l'impression que c'est pas tres tres secure tt ça :/
 
Help pliz  :hello:
 
 
edit: en fait le ssh est bloque :(


Message édité par disconect le 10-01-2003 à 22:12:06
Reply

Marsh Posté le 09-01-2003 à 23:29:57   

Reply

Marsh Posté le 09-01-2003 à 23:45:05    

ça m'a pas l'air terrible tout ça [:joce]
tu as plein de truc redondant
tu as fait comment pour obtenir ça ? un fichier script ?
montre le le cas échéant

Reply

Marsh Posté le 10-01-2003 à 01:28:28    

disconect a écrit :

Chain INPUT (policy DROP)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere           state NEW,ESTABLISHED tcp dpt:www  
ACCEPT     tcp  --  anywhere             anywhere           state NEW,ESTABLISHED tcp dpt:ssh  
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere           tcp spts:1024:65535 dpt:ssh  
 
Chain FORWARD (policy DROP)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  192.168.0.0/24       anywhere            
ACCEPT     all  --  anywhere             anywhere            
 
Chain OUTPUT (policy DROP)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere           state NEW,ESTABLISHED tcp dpt:www  
ACCEPT     tcp  --  anywhere             anywhere           state NEW,ESTABLISHED tcp dpt:ssh  
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            


 
Je viens de decouvrir iptables, pour moi tt fonctionne le nat & co, reste plus qu'a configurer mon serveur ssh....
Bon seulement, ces regles,j'ai l'impression que c'est pas tres tres secure tt ça :/
 
Help pliz  :hello:
 
 
edit: en fait le ssh est bloque :(


 
 
Salut,
 
Pour ceux qui ne ci connaisse pas trop en iptables ( j'en fait partis :) ) y a un super script : http://monmotha.mplug.org/firewall/index.php
 
facile a configurerai et tu peux faire tout les trucs de base, sans te prendre la tête, mais bon c + instructif de faire son script soi même.
 
A+

Reply

Marsh Posté le 10-01-2003 à 07:34:58    

udok a écrit :

ça m'a pas l'air terrible tout ça [:joce]
tu as plein de truc redondant
tu as fait comment pour obtenir ça ? un fichier script ?
montre le le cas échéant

bah j'ai mate plusieurs tutorial so....j'ai refait plusieurs fois la meme chose.....bon....koi donc j'enleve, etc..?  [:twixy]  :jap:

Reply

Marsh Posté le 10-01-2003 à 08:45:04    

Aragorn_1er a écrit :


 
 
Salut,
 
Pour ceux qui ne ci connaisse pas trop en iptables ( j'en fait partis :) ) y a un super script : http://monmotha.mplug.org/firewall/index.php
 
facile a configurerai et tu peux faire tout les trucs de base, sans te prendre la tête, mais bon c + instructif de faire son script soi même.
 
A+
 


 :jap: J'essairais ça ce soir, tu te sers de ce script ?
Si oui, pourrais tu faire un test de securite chez securityspace.com (gratuit, y a juste une chtite inscription qui dure 3 sec.) et me dire combien t'obtient ?
 
Merci bcp d'avance  :jap:  :hello:

Reply

Marsh Posté le 10-01-2003 à 09:47:20    

Euh, ton script est une véritable passoire...
 
Met le en clair ici et on pourra plus facilement t'aider.
 
Le passant.

Reply

Marsh Posté le 10-01-2003 à 11:33:11    

Le passant a écrit :

Euh, ton script est une véritable passoire...
 
Met le en clair ici et on pourra plus facilement t'aider.
 
Le passant.

j'ai pas de script, j'ai juste fait ça à l'arrche hier soir [:dawa]. De tte maniere, la passerelle est eteinte actuellement , tant que ce sera pas secure :D
Ce soir vais essayer le script qui est sur l'url donnée plus haut, t'en pense koi ?
 

Reply

Marsh Posté le 10-01-2003 à 11:46:00    

disconect a écrit :


 :jap: J'essairais ça ce soir, tu te sers de ce script ?
Si oui, pourrais tu faire un test de securite chez securityspace.com (gratuit, y a juste une chtite inscription qui dure 3 sec.) et me dire combien t'obtient ?
 
Merci bcp d'avance  :jap:  :hello:  


 
Bien sur que c sécuriser pas comme ton hum hum de script :), j'ai quand même essayer le test de ton site et il ne m a rien trouver ...

Reply

Marsh Posté le 10-01-2003 à 11:52:00    

Aragorn_1er a écrit :


 
Bien sur que c sécuriser pas comme ton hum hum de script :), j'ai quand même essayer le test de ton site et il ne m a rien trouver ...
 

il t'a rien trouve ? cad:
- qu'a tu comme serveur qui tourne ?
et combien en pourcentage il t'as mis ?
et surtout quelle version du script t'utilises,  
je pense que je vais utiliser la derniere (beta) car la stable date d'un an :/
 
Merci encore pr l'url  :jap:

Reply

Marsh Posté le 10-01-2003 à 12:00:10    

disconect a écrit :

il t'a rien trouve ? cad:
- qu'a tu comme serveur qui tourne ?
et combien en pourcentage il t'as mis ?
et surtout quelle version du script t'utilises,  
je pense que je vais utiliser la derniere (beta) car la stable date d'un an :/
 
Merci encore pr l'url  :jap:  


 
Rien de rien, a par les 2 ,3 services que j'ai ouvert sur ma machine en me disant vous avez un serveur web patati patata ....
Mais tu peux utiliser sans pbs la dernier version du script ( c celle que j utilise )
Prochainement ( le dev du script n est po tres rapide ) sera releasé la version 2.4 du script si ca peux te rassurer ...
 
A+

Reply

Marsh Posté le 10-01-2003 à 12:00:10   

Reply

Marsh Posté le 10-01-2003 à 12:06:45    

Aragorn_1er a écrit :


 
Rien de rien, a par les 2 ,3 services que j'ai ouvert sur ma machine en me disant vous avez un serveur web patati patata ....
Mais tu peux utiliser sans pbs la dernier version du script ( c celle que j utilise )
Prochainement ( le dev du script n est po tres rapide ) sera releasé la version 2.4 du script si ca peux te rassurer ...
 
A+

oki :)
suis en train de lire le mode d'emploi, vraiment EXCELLENT comme script   :hello:

Reply

Marsh Posté le 10-01-2003 à 12:14:34    

disconect a écrit :

j'ai pas de script, j'ai juste fait ça à l'arrche hier soir [:dawa]. De tte maniere, la passerelle est eteinte actuellement , tant que ce sera pas secure :D
Ce soir vais essayer le script qui est sur l'url donnée plus haut, t'en pense koi ?


 
Il semble très bien, un poil compliqué pour essayer de comprendre ce qui s'y passe, mais très complet.
Même si certaine choses peuvent être mieux faites (dans le cas particulier de l'utilisation que j'en ferait, mais comme c'est quelquechose de perso...).
 
Vas-y, lances-toi, tu pourra apprendre à le comprendre, tout en surfant secure, avant de poser un script plus... enfin mieux que ce que tu as fait hier soir  :D .
 
Le passant.

Reply

Marsh Posté le 10-01-2003 à 12:22:43    

Pour apprendre il suffit o debut du script de rajoute : "set -x"
apres tu matte le resultat sur la sortie erreur puis tu fait un grep /sbin/iptables
 
ca te permet de voir toutes les commandes iptables que le script generes, y a pu k faire un man apres pour voir a koi correspondent chaque lignes !
 
A+

Reply

Marsh Posté le 10-01-2003 à 19:44:14    

heu....j'ai configurer mon script etc...,
je fais un

chmod +x iptabscript


puis un  

bash iptabscript


 
et


: command not found74:
: command not found84:
: command not found08:
: command not found13:
: command not found19:
: command not found30:
: command not found33:
: command not found34:
: command not found42:
: command not found49:
: command not found53:
: command not found58:
Loading iptables firewall:
: command not found61:
: command not found64:
'ptabscript: line 522: syntax error near unexpected token 'do
'ptabscript: line 522:'          for dev in ${LAN_IFACE} ; do
 


 
idem si je ne le configure pas .....
heu.....c'est pas avec

bash lenomduscript


qu'on execute un script ?  [:quannum] (ça fait pareil avec sh).
 
Version de Bash 2.05b.0(1)-release


Message édité par disconect le 10-01-2003 à 19:44:39
Reply

Marsh Posté le 10-01-2003 à 19:47:48    

Question bete tu as bien iptables d'installer? -> apt-get install iptables , et tout les modules iptables dans le noyau compiler ?
 
y a pas d'autres messages d'erreur ?
t sur d avoir remplie correctement le script ?
 
A+

Reply

Marsh Posté le 10-01-2003 à 19:55:09    

Aragorn_1er a écrit :

Question bete tu as bien iptables d'installer? -> apt-get install iptables , et tout les modules iptables dans le noyau compiler ?
 
y a pas d'autres messages d'erreur ?
t sur d avoir remplie correctement le script ?
 
A+

heu oui  [:ddr555]  
alors les differentes etapes:
apt-get install kernel-imagemachine 2.4.20
 
puis j'ai mater iptables, pas de pb,
j'ai loader des modules de iptables donc je pense avoir fait ce qu'il fallait  :??:

Reply

Marsh Posté le 10-01-2003 à 19:58:26    

disconect a écrit :

heu oui  [:ddr555]  
alors les differentes etapes:
apt-get install kernel-imagemachine 2.4.20
 
puis j'ai mater iptables, pas de pb,
j'ai loader des modules de iptables donc je pense avoir fait ce qu'il fallait  :??:  


 
bah balance la partie config du script alors , car je pense que t a plutot mis un espace a un mauvais endroit ou quelque chose comme ca!
 
A+

Reply

Marsh Posté le 10-01-2003 à 20:35:26    

Aragorn_1er a écrit :


 
bah balance la partie config du script alors , car je pense que t a plutot mis un espace a un mauvais endroit ou quelque chose comme ca!
 
A+

heu...ça fait exactement la meme chose si je ne modifie pas le script enfin je balance qd meme
 


# Main Options
IPTABLES="/usr/sbin/iptables"
TCP_ALLOW="22"
UDP_ALLOW=""
INET_IFACE="ppp0"
LAN_IFACE="eth1"
INTERNAL_LAN="192.168.0.0/24"
MASQ_LAN="192.168.0.0/24"
SNAT_LAN=""
DROP="TREJECT"
DENY_ALL=""
DENY_HOSTWISE_TCP=""
DENY_HOSTWISE_UDP=""
BLACKHOLE=""
BLACKHOLE_DROP="DROP"
ALLOW_HOSTWISE_TCP=""
ALLOW_HOSTWISE_UDP=""
TCP_FW=""
UDP_FW=""
MANGLE_TOS_OPTIMIZE="FALSE"
DHCP_SERVER="FALSE"
BAD_ICMP="5 9 10 15 16 17 18"
ENABLE="Y"


 
 [:spamafote]
 
voici un lsmod aussi:

Module                  Size  Used by    Not tainted
ipt_MASQUERADE          1272   2  (autoclean)
ipt_state                568   0  (autoclean)
iptable_mangle          2224   0  (unused)
ip_conntrack_irc        2992   1  (autoclean)
ip_nat_irc              2288   0  (unused)
ip_conntrack_ftp        3760   1  (autoclean)
ip_nat_ftp              2864   0  (unused)
iptable_nat            14552   3  [ipt_MASQUERADE ip_nat_irc ip_nat_ftp]
ip_conntrack           16672   4  [ipt_MASQUERADE ipt_state ip_conntrack_irc ip_nat_irc ip_conntrack_ftp ip_nat_ftp iptable_nat]
iptable_filter          1668   0  (autoclean)
ip_tables              10616   7  [ipt_MASQUERADE ipt_state iptable_mangle iptable_nat iptable_filter]
ppp_deflate             2904   0  (autoclean)
zlib_deflate           17688   0  (autoclean) [ppp_deflate]
bsd_comp                4024   0  (autoclean)
eepro100               17940   1  
mii                     2352   0  [eepro100]
3c509                  10420   1  
isa-pnp                28164   0  [3c509]
af_packet              11720   3  (autoclean)
ppp_async               6432   1  (autoclean)
ppp_generic            19360   3  (autoclean) [ppp_deflate bsd_comp ppp_async]
slhc                    4560   0  (autoclean) [ppp_generic]
smbfs                  32592   1  
rtc                     5884   0  (autoclean)
ext2                   31520   1  (autoclean)
ext3                   57440   0  (autoclean)
jbd                    36136   0  (autoclean) [ext3]
ide-disk                9376   2  (autoclean)
ide-probe-mod           8656   0  (autoclean)
ide-mod               151624   2  (autoclean) [ide-disk ide-probe-mod]
unix                   13512   6  (autoclean)


Message édité par disconect le 10-01-2003 à 20:37:11
Reply

Marsh Posté le 10-01-2003 à 20:55:02    

Ah effectivement le script a l'air d'etre bugger, prends la version precedente alors !
il doit y avoir un pbs au niveau du retour a la ligne sur certaines commandes, genre la ligne qui depasse une ligne ce mes sur deux lignes et ca pause des pbs ...

Reply

Marsh Posté le 10-01-2003 à 20:57:57    

Aragorn_1er a écrit :

Ah effectivement le script a l'air d'etre bugger, prends la version precedente alors !
il doit y avoir un pbs au niveau du retour a la ligne sur certaines commandes, genre la ligne qui depasse une ligne ce mes sur deux lignes et ca pause des pbs ...
 

ça te le fait aussi ?

Reply

Marsh Posté le 10-01-2003 à 21:01:42    

oui , probleme de transfert de fichier peut etre !

Reply

Marsh Posté le 10-01-2003 à 21:06:46    

yep c'etait le transfert de fichier, là je l'ai directement sauver à partir de lynx, et now, il me dit juste
"error, could not find /usr/bin/iptables" [:dawa]
 
reste qu'a trouver le chemin de iptables :D

Reply

Marsh Posté le 10-01-2003 à 21:18:23    

a y est, firewall loade :)
bon now, configuration du serveur ssh et go to security space :D

Reply

Marsh Posté le 10-01-2003 à 21:57:36    

je connais iptables, peux-tu mettre la sortie de ton :
iptables-save

Reply

Marsh Posté le 10-01-2003 à 22:11:32    

yewsef a écrit :

je connais iptables, peux-tu mettre la sortie de ton :
iptables-save

:jap: merci mais je viens d'utiliser un pure-script , tt est nikel now  :hello:

Reply

Marsh Posté le 10-01-2003 à 22:19:06    

ok j'espere pour toi que tu nas pas laissé dans les chaines des lignes telles ecrites ds ton 1er post :  
ACCEPT     all  --  anywhere             anywhere
 
...

Reply

Marsh Posté le 10-01-2003 à 22:47:57    

yewsef a écrit :

ok j'espere pour toi que tu nas pas laissé dans les chaines des lignes telles ecrites ds ton 1er post :  
ACCEPT     all  --  anywhere             anywhere
 
...
 


 [:ddr555]  
voilà ce qu'il m'a genere le script:

Chain INPUT (policy DROP)
target     prot opt source               destination          
INETIN     all  --  anywhere             anywhere            
ACCEPT     all  --  192.168.0.0/24       anywhere            
ACCEPT     all  --  anywhere             anywhere            
 
Chain FORWARD (policy DROP)
target     prot opt source               destination          
INETIN     all  --  anywhere             anywhere            
INETOUT    all  --  anywhere             anywhere            
ACCEPT     all  --  192.168.0.0/24       anywhere            
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination          
INETOUT    all  --  anywhere             anywhere            
 
Chain DMZIN (0 references)
target     prot opt source               destination          
 
Chain DMZOUT (0 references)
target     prot opt source               destination          
 
Chain INETIN (2 references)
target     prot opt source               destination          
TREJECT    all  --  anywhere             anywhere           state INVALID  
TREJECT    icmp --  anywhere             anywhere           icmp redirect  
TREJECT    icmp --  anywhere             anywhere           icmp router-advertisement  
TREJECT    icmp --  anywhere             anywhere           icmp router-solicitation  
TREJECT    icmp --  anywhere             anywhere           icmp type 15  
TREJECT    icmp --  anywhere             anywhere           icmp type 16  
TREJECT    icmp --  anywhere             anywhere           icmp address-mask-request  
TREJECT    icmp --  anywhere             anywhere           icmp address-mask-reply  
ACCEPT     icmp --  anywhere             anywhere           icmp echo-request limit: avg 1/sec burst 5  
TREJECT    icmp --  anywhere             anywhere           icmp echo-request  
ACCEPT     icmp --  anywhere             anywhere           icmp !echo-request  
TCPACCEPT  tcp  --  anywhere             anywhere           tcp dpt:ssh  
ACCEPT     all  --  anywhere             anywhere           state ESTABLISHED  
TCPACCEPT  tcp  --  anywhere             anywhere           tcp dpts:1024:65535 state RELATED  
UDPACCEPT  udp  --  anywhere             anywhere           udp dpts:1024:65535 state RELATED  
TREJECT    all  --  anywhere             anywhere            
 
Chain INETOUT (2 references)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere            
 
Chain LDROP (0 references)
target     prot opt source               destination          
LOG        tcp  --  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level info prefix `TCP Dropped '  
LOG        udp  --  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level info prefix `UDP Dropped '  
LOG        icmp --  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level info prefix `ICMP Dropped '  
LOG        all  -f  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level warning prefix `FRAGMENT Dropped '  
DROP       all  --  anywhere             anywhere            
 
Chain LREJECTLTREJECT (0 references)
target     prot opt source               destination          
 
Chain TCPACCEPT (2 references)
target     prot opt source               destination          
ACCEPT     tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN limit: avg 20/sec burst 5  
LOG        tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN limit: avg 2/sec burst 5 LOG level warning prefix `Possible SynFlood '  
TREJECT    tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN  
ACCEPT     tcp  --  anywhere             anywhere           tcp flags:!SYN,RST,ACK/SYN  
LOG        all  --  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level warning prefix `Mismatch in TCPACCEPT '  
TREJECT    all  --  anywhere             anywhere            
 
Chain TREJECT (13 references)
target     prot opt source               destination          
REJECT     tcp  --  anywhere             anywhere           reject-with tcp-reset  
REJECT     udp  --  anywhere             anywhere           reject-with icmp-port-unreachable  
DROP       icmp --  anywhere             anywhere            
REJECT     all  --  anywhere             anywhere           reject-with icmp-port-unreachable  
 
Chain UDPACCEPT (1 references)
target     prot opt source               destination          
ACCEPT     udp  --  anywhere             anywhere            
LOG        all  --  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level warning prefix `Mismatch on UDPACCEPT '  
TREJECT    all  --  anywhere             anywhere            
 
Chain ULDROP (0 references)
target     prot opt source               destination          
ULOG       tcp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_TCP' queue_threshold 1  
ULOG       udp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_UDP' queue_threshold 1  
ULOG       icmp --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_ICMP' queue_threshold 1  
ULOG       all  -f  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_FRAG' queue_threshold 1  
DROP       all  --  anywhere             anywhere            
 
Chain ULREJECT (0 references)
target     prot opt source               destination          
ULOG       tcp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_TCP' queue_threshold 1  
ULOG       udp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_UDP' queue_threshold 1  
ULOG       icmp --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_UDP' queue_threshold 1  
ULOG       all  -f  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_FRAG' queue_threshold 1  
REJECT     all  --  anywhere             anywhere           reject-with icmp-port-unreachable  
 
Chain ULTREJECT (0 references)
target     prot opt source               destination          
ULOG       tcp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_TCP' queue_threshold 1  
ULOG       udp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_UDP' queue_threshold 1  
ULOG       icmp --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_ICMP' queue_threshold 1  
ULOG       all  -f  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_FRAG' queue_threshold 1  
REJECT     tcp  --  anywhere             anywhere           reject-with tcp-reset  
REJECT     udp  --  anywhere             anywhere           reject-with icmp-port-unreachable  
DROP       icmp --  anywhere             anywhere            
REJECT     all  --  anywhere             anywhere           reject-with icmp-port-unreachable  

Reply

Marsh Posté le 12-02-2003 à 10:24:44    

Juste une chtite question puisqu'on parle¨d'iptables..
 
Voilà, je voudrait m'en servir pour partager ma connexion adsl surmon reseau mais ca marche pas....
 
Ma config : poste sous linux (Xandrso, noyau 2.4.x) connecté à l'adsl par un speedtouch...L'adresse de se poste est 192.168.0.1/24.  
 
Les autres poste du réseaux son sous Win XP avec comme @ IP 192.168.0.2/24 et un autre en 192.168.0.3/24. Pour c deux postes la passerelle est 192.168.0.1 et le dns primaire 192.168.0.1.
 
Donc du coté client la configuration est bonne (enfin selon moi)
 
pour activer le partage de connection par iptables j'ai tapper en tant que root
 

Citation :

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE


 
Et après ca nemarche pas :??: pourtant pas de message d'erreur...
 
Si je ping d'un client une IP publique celle de yahoo par exemple, je n'obtient pas de réponse.....
 
est ce que j'ai configuré qqchose de travers ou est ce que j'ai oublié qqchose :??:


---------------
Linux n'est pas un OS alternatif,  Windows est un OS alternatif!!!!
Reply

Marsh Posté le 12-02-2003 à 11:18:59    

yewsef a écrit :

ok j'espere pour toi que tu nas pas laissé dans les chaines des lignes telles ecrites ds ton 1er post :  
ACCEPT     all  --  anywhere             anywhere
 
...
 


 
faut arreter de psychoter sur ce genre de ligne. Suffit que tu rajoutes une entrée iptables du style
 
iptables -A INPUT -i lo -j ACCEPT
 
pour que ACCEPT     all  --  anywhere             anywhere apparaissent dans la sortie de iptables -L INPUT
 
et pourtant ça n'a pas compromis la securité sur les autres interfaces, genre ppp0


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 12-02-2003 à 12:19:33    

djmacou > Quelles sont tes autres règles ???
C'est peut-être de la que provient ton problème.
 
Sinon, tu as essayé sans préciser le -s (même si je n'imagine pas du tout pourquoi ceci poserai un soucis).
 
Le passant.

Reply

Marsh Posté le 12-02-2003 à 13:21:57    

Le passant====> Je n'ai pas établis d'autres règle  :whistle:  
En fait je suis un débutant sous Linux. Je viens de virer windows et je me casse à essayer de faire tourner Linux....
 
J'ai choper cette commande sur le site toolinux.com et je penssait que pour activer le partage c'était suffisant apparement je me suis tromper..non?
 
Non je n'ai pas essayer sans le "-s" ( je sais meme pas ce qu'il veut dire). Bon j'ai compris ce que en gros voulais dire la ligne que j'ai tapé quand meme, mais les -s, -j etc.. je sais pas ce que sais.....
 

Reply

Marsh Posté le 12-02-2003 à 16:57:44    

Bon, cette règle toute seule ne peut pas fonctionner.
Elle doit faire partie de tout un ensemble cohérant.
 
Chez toi, il est possible que tes policy soient à DROP (règles par défaut). Dans ce cas, rien ne peu fonctionner.
Ton  nat est ok, mais après les packets sont droppés, donc soucis...
 
Je ne saurais trop te conseiller de regarder tous les topics qui existent sur le sujet ici (fait une recherche sur mon nick, j'ai fait comme toi aussi :) ).
Ainsi qu'a aller chercher de l'aide sur les divers How-to sur le net (un très bon que j'adore : http://www.netfilter.org/documenta [...] html#INTRO , mais bon c'est en anglais aussi).
 
Quitte à revenir plus tard si tu n'es toujours pas sûr et on pourra affiner tout ça à ce moment (moi ou un autre...).
 
Ta question me semble un peu "prématuré" pour l'instant (vu l'état de tes connaissances et sans être méchant, si on ne parle pas le même langage, comment ce comprendre ???).
 
Et puis pense à créer ton petit topic, ce sera un peu plus simple ainsi  :) !
 
Le passant.


Message édité par le passant le 12-02-2003 à 16:58:19
Reply

Marsh Posté le 12-02-2003 à 20:09:48    

Le passant merci beaucoup pour tous tes conseils..... :jap:
 
C sur il faut parler le même langage ( je vais bosser la dessus)
 
J'ai hesiter à creer un topic pour mon pb mais comme il y en a dejà bcp sur iptables je voulais pas pourrir le forum de mes petit pb (y en a d'autre   :D )

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed