[IPTABLES] Configuration
Configuration [IPTABLES] - Logiciels - Linux et OS Alternatifs
Marsh Posté le 26-05-2004 à 13:47:42
arf oui...
ya moyen que je puisse faire des ping à l'externe mais que l'externe ne puisse pas m'en faire?
---------------
http://www.boincstats.com/signature/user_664861.gif
Marsh Posté le 26-05-2004 à 13:49:28
Ben oui. Faut laisser sortir les echo-request et accepter les echo-reply.
Marsh Posté le 26-05-2004 à 13:52:24
merci
|
je repasserai surment pour d'autres problèmes dans les prochains jours 
---------------
http://www.boincstats.com/signature/user_664861.gif
Marsh Posté le 26-05-2004 à 18:08:02
hum je cherche aussi comment faire pour que je puisse me connecter à n'importe quel ftp, ainsi que de permettre l'accès à un éventuel serveur ftp
---------------
http://www.boincstats.com/signature/user_664861.gif
Marsh Posté le 26-05-2004 à 18:59:09
salut, perso je préfère utiliser sysctl pour les paramètres noyaux, comme ça, ils sont définis + tôt.
pour iptables, ce tuto est pas mal du tout (en particulier la dernière partie) :
http://christian.caleca.free.fr/netfilter/
---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Marsh Posté le 27-05-2004 à 20:41:22
salut tout le monde. voila j'essais de configurer iptables mais j'ai des petit soucis sur les port a ouvrir. j'aurais aimé savoir quels port je doit laissé ouvert pour le ftp, GAIM et AMSN.
pour le ftp j'avais ouvert le port 21 mais avec gFTP j'arrive pas a me connecter a mon compte sur multimania
#ftp |
puis voila pour http si vous voyé qu'il manque qq chose
# http |
d'avance merci pour votre aide
edit : je me rend compte que quake3 ne passe plus non plus donc il me faudrais aussi les port pour quake 3
Message édité par carot0 le 27-05-2004 à 20:47:43
---------------
In a world without walls and fences, who needs Windows and Gates
Marsh Posté le 27-05-2004 à 23:02:18
| carot0 a écrit : salut tout le monde. voila j'essais de configurer iptables mais j'ai des petit soucis sur les port a ouvrir. j'aurais aimé savoir quels port je doit laissé ouvert pour le ftp, GAIM et AMSN.
|
bon g reussi pour aim et quake 3
pour amsn je le force a passer par le port 80 si non ca marhce et pour gftp bas g tjrs pas reussi a le faire marche help please
---------------
In a world without walls and fences, who needs Windows and Gates
Marsh Posté le 28-05-2004 à 01:20:32
modprobe ip_conntrack_ftp
iptables -I OUTPUT -o ppp0 -m state --state NEW,ESTABLISHED -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -p tcp --sport 21 -j ACCEPT
sinon oublie les sport venant de l'exterieur comme tu faisais, ça sert à rien
avec ces règles, je pense que ça devrait marcher
---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Marsh Posté le 28-05-2004 à 11:44:54
| udok a écrit : modprobe ip_conntrack_ftp |
ok merci je vais essayer ca
---------------
In a world without walls and fences, who needs Windows and Gates
Marsh Posté le 28-05-2004 à 12:13:01
si je comprends donc, quand on veut donner accès à l'externe, faut utiliser -i et -o pour ppp0?
---------------
http://www.boincstats.com/signature/user_664861.gif
Marsh Posté le 28-05-2004 à 12:14:33
| Burgergold a écrit : si je comprends donc, quand on veut donner accès à l'externe, faut utiliser -i et -o pour ppp0? |
man iptables ! 
ppp0 c'est pour moi et carto mais c'est psa forcément pareil pour toi
il faut que tu saches quel est ton interface externe (mais en effet c'est souvent ppp0)
---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Marsh Posté le 28-05-2004 à 12:18:16
mon réseau c'est eth0 sur la machine, mais elle passe par un gateway internet
faut que j'utilise eth0?
---------------
http://www.boincstats.com/signature/user_664861.gif
Marsh Posté le 28-05-2004 à 12:20:24
| Burgergold a écrit : mon réseau c'est eth0 sur la machine, mais elle passe par un gateway internet |
ta gateway c'est du linux ? si oui c'est plus logique de foutre ton firewall dessus
sinon bah ton interface c'est sans doute eth0
m'enfin je vais pas te faire tout un cours sur iptables, y-aurait bcp de chose à dire, tu devrais lire un peu de doc
---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Marsh Posté le 28-05-2004 à 12:23:42
nah c'est une switch dlink qui route l'internet
j'ai lu la doc de lea, mais c'est quand même général
un petit man iptables serait surement bien
---------------
http://www.boincstats.com/signature/user_664861.gif
Marsh Posté le 28-05-2004 à 12:28:21
| Burgergold a écrit : nah c'est une switch dlink qui route l'internet |
un petit google iptables aussi ![[:dawa]](https://forum-images.hardware.fr/images/perso/dawa.gif "[:dawa]")
pour le swith, ça fait pas routeur, tu as un modem routeur ou quoi ??
enfin bref, j'appelle pas ça une gate moi
et dans ce cas en effet, y-a de grande chanse pour que ton interface externe soit eth0
---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Marsh Posté le 28-05-2004 à 18:52:36
mon script iptables des fois que cela puisse servir et si quelqu'un y vois des truc a ameliorer
#!/bin/bash |
---------------
In a world without walls and fences, who needs Windows and Gates
Marsh Posté le 29-05-2004 à 02:50:43
avec ca ton ftp fonctionne?
parce que je viens de tester sur ftp.gnu.org et jpeux pas faire de ls, le ftp bloque
# ftp
iptables -A INPUT -i eth0 -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
---------------
http://www.boincstats.com/signature/user_664861.gif
Marsh Posté le 29-05-2004 à 10:59:52
N'oublie pas le port 20; les data pr le ftp.
Je ne sais plus si ca comporte comme de nouvelle connexion ou comme des connexion préetablie. Par ailleur, il faut parfois activer ou désactiver le mode passif.
---------------
ΞvΞ online player | Topic hfr eve-online
Marsh Posté le 29-05-2004 à 11:22:38
| macfennec a écrit : N'oublie pas le port 20; les data pr le ftp. |
le port 20 c'est pour le mode actif mais les 3/4 des serveurs sont en mode passif et là pour passer il faut une règle avec ESTABLISHED,RELATED ...
---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Marsh Posté le 29-05-2004 à 11:31:22
Faut surtout utiliser le ftp conntrack et pas se prendre le choux avec autre chose.
Marsh Posté le 29-05-2004 à 11:35:26
| Burgergold a écrit : avec ca ton ftp fonctionne? |
en effet le ftp bloque chez moi aussi, pour que ca marche il faut le port 20 en plus et desactiver le mode passif.j'aurai voulu pouvoir me connecter en mode passif mais je n'y arrive pas
edit : ha bas non meme avec le port 20 il bloque pour LIST -aL
puis aussi g rajouté ca en debut de script
# pour autoriser les connexions ftp : |
Message édité par carot0 le 29-05-2004 à 11:42:27
---------------
In a world without walls and fences, who needs Windows and Gates
Marsh Posté le 29-05-2004 à 11:36:44
| AirbaT a écrit : Faut surtout utiliser le ftp conntrack et pas se prendre le choux avec autre chose. |
Marsh Posté le 29-05-2004 à 11:55:30
ha oui aussi g rajouté ces ligne a la fin de mon script :
|
mais je ne sais pas ou mes log sont ecrit
---------------
In a world without walls and fences, who needs Windows and Gates
Marsh Posté le 29-05-2004 à 11:59:48
| carot0 a écrit : ha oui aussi g rajouté ces ligne a la fin de mon script :
|
il utilise syslog
apres ça dépend de ta conf de syslog, mais y-a des chances pour que ça attérisse dans /var/log/syslog
---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Marsh Posté le 29-05-2004 à 12:54:11
| udok a écrit : il utilise syslog |
merci
---------------
In a world without walls and fences, who needs Windows and Gates
Sujets relatifs:
- Iptables et adresses MAC
- configuration de mon routeur
- Prob acces internet + iptables
- iptables et ports ouverts cachés !
- [LIRC] configuration /etc/sysconfig/lirc
- Configuration d'IPTABLES pour un reseau
- configuration IPTABLES
- Configuration Firewall, iptables, interfaces graphiques
- ma configuration iptables...
- [CONFIGURATION]iptables
Marsh Posté le 26-05-2004 à 13:40:39
voici mon script de IPTABLES
#!/bin/sh
# Begin $rc_base/init.d/firewall
# set a sane policy: everything not accepted > /dev/null
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# allow local-only connections
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# dns
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
# ping
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type echo-request -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type echo-reply -d 192.168.0.0/24 -j ACCEPT
# ssh
iptables -A INPUT -i eth0 -p tcp --dport 22 -s 192.168.0.100 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -d 192.168.0.100 -j ACCEPT
# samba
iptables -A INPUT -i eth0 -p tcp --dport 139 -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 139 -d 192.168.0.0/24 -j ACCEPT
# http
iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 443 -j ACCEPT
# be verbose on dynamic ip-addresses
echo 2 > /proc/sys/net/ipv4/ip_dynaddr
# enable syn cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# disable ExplicitCongestionNotification
echo 0 > /proc/sys/net/ipv4/tcp_ecn
# End $rc_base/init.d/firewall
je suis capable de faire un ping vers la machine, mais pas à partir de celle ci:
-bash-2.05b# ping www.google.ca
PING www.google.akadns.net (64.233.161.104): 56 data bytes
ping: sendto: Operation not permitted
---------------
http://www.boincstats.com/signature/user_664861.gif