[Résolu] Partage de connexion ne fonctionne pas

Partage de connexion ne fonctionne pas [Résolu] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 11-02-2007 à 13:09:20    

Bonjour,
 
J'ai un petit problème avec ma passerelle Debian :??:. Ce serait au niveau des DNS car si je ping "google.fr" je n'ai pas de réponse, alors que quand je fais ping 66.249.93.104, il me répond :).
 
Pourtant /etc/resolv.conf est bon et idem pour /etc/network/interfaces
 
 
Aidez moi s'il vous plaît


Message édité par Gavrinis le 12-01-2009 à 17:08:10
Reply

Marsh Posté le 11-02-2007 à 13:09:20   

Reply

Marsh Posté le 11-02-2007 à 13:43:04    

ping ton serveur DNS


---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
Reply

Marsh Posté le 11-02-2007 à 13:51:06    

ils me répondent

Reply

Marsh Posté le 11-02-2007 à 13:52:31    

mais après recherche le problème ne vient des DNS mais d'IPtables car quand je le désactive ça passe :( comment puis-je faire pour qu'il me laisse passer Google ?

Reply

Marsh Posté le 11-02-2007 à 14:02:32    

perso je n'utilise plus iptables directement, j'utilise shorewall  (ou autre) que je trouve plus simple à gérer.


---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
Reply

Marsh Posté le 11-02-2007 à 14:45:36    

il faudrait nous donner tes règles iptables ( iptables -L ) et ton script pour générer ses règles.


---------------
Intermittent du GNU
Reply

Marsh Posté le 11-02-2007 à 15:56:35    

d'accord je vais chercher ça de suite

Reply

Marsh Posté le 11-02-2007 à 16:17:24    

Code :
  1. #!/bin/sh
  2. # /etc/network/if-pre-up.d/iptables-start
  5. # REMISE à ZERO des règles de filtrage
  6. iptables -F
  7. iptables -t nat -F
  10. # DEBUT des "politiques par défaut"
  12. # Je veux que les connexions entrantes soient bloquées par défaut
  13. iptables -P INPUT DROP
  15. # Je veux que les connexions destinées à être forwardées
  16. # soient acceptées par défaut
  17. iptables -P FORWARD ACCEPT
  19. # Je veux que les connexions sortantes soient acceptées par défaut
  20. iptables -P OUTPUT ACCEPT
  22. # FIN des "politiques par défaut"
  25. # DEBUT des règles de filtrage
  27. # Pas de filtrage sur l'interface de "loopback"
  28. iptables -A INPUT -i lo -j ACCEPT
  30. # J'accepte le protocole ICMP (i.e. le "ping" )
  31. iptables -A INPUT -p icmp -j ACCEPT
  33. # J'accepte le protocole IGMP (pour le multicast)
  34. iptables -A INPUT -p igmp -j ACCEPT
  36. # J'accepte les packets entrants relatifs à des connexions déjà établies
  37. iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  39. # Décommentez les deux lignes suivantes pour que le serveur FTP éventuel
  40. # soit joignable de l'extérieur
  41. #iptables -A INPUT -p tcp --dport 20 -j ACCEPT
  42. #iptables -A INPUT -p tcp --dport 21 -j ACCEPT
  44. # Décommentez la ligne suivante pour que le serveur SSH éventuel
  45. # soit joignable de l'extérieur
  46. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  48. # Décommentez la ligne suivante pour que le serveur de mail éventuel
  49. # soit joignable de l'extérieur
  50. #iptables -A INPUT -p tcp --dport 25 -j ACCEPT
  52. # Décommentez les deux lignes suivantes pour que le serveur de DNS éventuel
  53. # soit joignable de l'extérieur
  54. #iptables -A INPUT -p tcp --dport 53 -j ACCEPT
  55. #iptables -A INPUT -p udp --dport 53 -j ACCEPT
  57. # Décommentez la ligne suivante pour que le serveur Web éventuel
  58. # soit joignable de l'extérieur
  59. iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  61. # Décommentez les deux lignes suivantes pour que le serveur CUPS éventuel
  62. # soit joignable de l'extérieur
  63. #iptables -A INPUT -p tcp --dport 631 -j ACCEPT
  64. #iptables -A INPUT -p udp --dport 631 -j ACCEPT
  66. # Décommentez les deux lignes suivantes pour que le serveur Samba éventuel
  67. # soit joignable de l'extérieur
  68. #iptables -A INPUT -p tcp --dport 139 -j ACCEPT
  69. #iptables -A INPUT -p udp --dport 139 -j ACCEPT
  71. # Décommentez la ligne suivante pour que des clients puissent se connecter
  72. # à l'ordinateur par XDMCP)
  73. #iptables -A INPUT -p udp --dport 177 -j ACCEPT
  75. # Décommentez la ligne suivante pour que l'odinateur puisse se connecter
  76. # par XDMCP à une machine distante)
  77. #iptables -A INPUT -p tcp --dport 6001 -j ACCEPT
  79. # Décommentez la ligne suivante pour que le serveur CVS éventuel
  80. # soit joignable de l'extérieur via le mécanisme de "pserver"
  81. # (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,
  82. # seule la ligne concernant le serveur SSH doit être décommentée)
  83. #iptables -A INPUT -p tcp --dport 2401 -j ACCEPT
  85. # Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoLAN
  86. # (ce sont des flux UDP entrants sur le port 1234)
  87. #iptables -A INPUT -p udp --dport 1234 -j ACCEPT
  89. # Décommentez la ligne suivante pour pouvoir reçevoir des annonces SAP
  90. # (ce sont des annonces de session multicast)
  91. #iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT
  93. # Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
  94. #iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
  95. #iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
  96. #iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT
  98. # La règle par défaut pour la chaine INPUT devient "REJECT"
  99. # (il n'est pas possible de mettre REJECT comme politique par défaut)
  100. iptables -A INPUT -j REJECT
  102. # FIN des règles de filtrage
  105. # DEBUT des règles pour le partage de connexion (i.e. le NAT)
  107. # Décommentez la ligne suivante pour que le système fasse office de
  108. # "serveur NAT" et remplaçez "eth0" par le nom de l'interface connectée
  109. # à Internet
  110. iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
  112. # Si la connexion que vous partagez est une connexion ADSL, vous
  113. # serez probablement confronté au fameux problème du MTU. En résumé,
  114. # le problème vient du fait que le MTU de la liaison entre votre
  115. # fournisseur d'accès et le serveur NAT est un petit peu inférieur au
  116. # MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
  117. # sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
  118. # suivante et remplaçez "eth0" par le nom de l'interface connectée à
  119. # Internet.
  120. iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth2 --clamp-mss-to-pmtu
  122. # FIN des règles pour le partage de connexion (i.e. le NAT)
  125. # DEBUT des règles de "port forwarding"
  127. # Décommentez la ligne suivante pour que les requêtes TCP reçues sur
  128. # le port 80 de l'interface eth0 soient forwardées à la machine dont
  129. # l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête sera
  130. # forwardée au client)
  131. #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:80
  133. # FIN des règles de "port forwarding"


 
IPtables -L :

Code :
  1. Chain INPUT (policy DROP)
  2. target          prot     opt     source          destination
  3. ACCEPT          all      --      anywhere        anywhere
  4. ACCEPT          icmp     --      anywhere        anywhere
  5. ACCEPT          igmp     --      anywhere        anywhere
  6. ACCEPT          tcp      --      anywhere        anywhere          tcp dpt:ssh
  7. ACCEPT          tcp      --      anywhere        anywhere          tcp dpt:www
  8. REJECT          all      --      anywhere        awywhere          reject-with icmp-port-unreachable
  10. Chain FORWARD (policy ACCEPT)
  11. target          prot     opt     source          destination
  12. TCPMSS          tcp      --      anywhere        anywhere          tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
  14. Chain OUTPUT (policy ACCEPT)
  15. target          prot     opt     source          destination

Reply

Marsh Posté le 11-02-2007 à 19:38:59    

a aucun moment tu laisses passer les requetes DNS ...
Je pense que le prob est evident ...

Reply

Marsh Posté le 11-02-2007 à 20:06:17    

mais comment faire pour les accepter ?

Reply

Marsh Posté le 11-02-2007 à 20:06:17   

Reply

Marsh Posté le 11-02-2007 à 20:07:52    

Heu sans faire mon chieur : en input :
Ligne 3 : ACCEPT          all      --      anywhere        anywhere
en output policy : ACCEPT
C'est une passoire ton truc ? [:opus dei]


Message édité par l0ky le 11-02-2007 à 20:08:33
Reply

Marsh Posté le 11-02-2007 à 21:20:29    

shorewall  :ange:


---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
Reply

Marsh Posté le 12-02-2007 à 13:32:26    

Citation :

IPtables bloque Google


 
[mode sarcastique]
IPtable a compris que Google était une intrusion majeure dans ta vie privée  :D  
[/mode sarcastique]

Reply

Marsh Posté le 12-02-2007 à 19:24:57    

j'ai pas trop compris ta fainte monsieur :) sinon je testerai un nouveau script ce soir et je vous dirai quoi demain

Reply

Marsh Posté le 13-02-2007 à 13:31:37    

Je n'aurai peut être pas le temps d'essayer aujourd'hui mais dès que je sais, je dis quoi

Reply

Marsh Posté le 16-02-2007 à 16:01:45    

ça n'a pas trop fonctionné pour ne pas dire rien changé :(

Reply

Marsh Posté le 18-02-2007 à 07:50:04    

monthmota for the win pour les script iptables


---------------
For he who makes a beast of himself gets rid of the pain of being a man.
Reply

Marsh Posté le 18-02-2007 à 14:50:12    

il fonctionne très bien :D mais que sur la passerelle et contrairement au précédent il bloque quasi tout. Seulement les clients n'ont toujours pas la connexion.
 
Pouvez-vous encore m'aider ?
 
 
Voici le script :

Code :
  1. ###############################################################################
  2. # NOM: iptable.sh
  3. #
  4. # COMMENTAIRE : Synthèse d'utilisation de ce qui a été vu dans le document
  5. #               (chapitre III-10-3)
  6. #
  7. # Ce script fait partie du document :
  8. #        "Firewall et sécurité d'un réseau personnel sous Linux"
  9. #        http://olivieraj.free.fr/fr/linux/ [...] /firewall/
  10. #
  11. # Auteur: Olivier ALLARD-JACQUIN (http://olivieraj.free.fr/)
  12. # Créé le : 2003/07/09                    Dernière modification le : 2003/07/09
  13. #
  14. ###############################################################################
  17. #
  18. # Variables locales
  19. #---------------------
  21. # Paramètrage du réseau local (LAN)
  22. LAN_INTERFACE=br0             ; # Interface réseau interne
  23. LAN_IP=10.0.0.254             ; # Adresse réseau interne
  24. LAN_NETWORK=10.0.0.0/24       ; # Réseau interne
  25. LAN_BROADCAST=10.0.0.255      ; # Adresse de broadcast interne
  27. # Paramètrage de la connexion Internet (WAN)
  28. WAN_INTERFACE=eth2            ; # Interface modem
  29. WAN_NETWORK=0.0.0.0/0
  32. # Paramètrage de l'IP masquerading
  33. #   NAT=0   <=> Le NAT N'est PAS autorisé
  34. #   NAT=1   <=> Le NAT est autorisé
  35. NAT=1
  39. #==============================================================================
  40. # A PARTIR DE CE POINT, VOUS N'AVEZ PLUS BESOIN DE CONFIGURER CE SCRIPT!!!
  41. #==============================================================================
  44. # Initialisation de Netfilter
  45. #----------------------------
  47. # Initialise la table Filter (par défaut tout les échanges sont refusés)
  48. echo "+ Initialisation de la table Filter"
  49. iptables -t filter -F
  50. iptables -t filter -X
  51. iptables -t filter -P INPUT   DROP
  52. iptables -t filter -P FORWARD DROP
  53. iptables -t filter -P OUTPUT  DROP
  55. # Initialise la table NAT (par défaut tout les échanges sont activés)
  56. echo "+ Initialisation de la table NAT"
  57. iptables -t nat -F
  58. iptables -t nat -X
  59. iptables -t nat -P PREROUTING  ACCEPT
  60. iptables -t nat -P OUTPUT      ACCEPT
  61. iptables -t nat -P POSTROUTING ACCEPT
  63. # Initialise la table Mangle (par défaut tout les échanges sont activés)
  64. echo "+ Initialisation de la table Mangle"
  65. iptables -t mangle -F
  66. iptables -t mangle -X
  67. iptables -t mangle -P PREROUTING  ACCEPT
  68. iptables -t mangle -P INPUT       ACCEPT
  69. iptables -t mangle -P FORWARD     ACCEPT
  70. iptables -t mangle -P OUTPUT      ACCEPT
  71. iptables -t mangle -P POSTROUTING ACCEPT
  73. echo "+ Désactivation du NAT"
  74. echo 0 > /proc/sys/net/ipv4/ip_forward
  77. # Règles du localhost
  78. # On NE fait PAS de restriction aux adresses IP source / destination 127.0.0.0
  79. #---------------------------------------------------------------------------------------
  81. echo "+ Règles du localhost"
  82. iptables -t filter -A OUTPUT -o lo -p all -j ACCEPT
  83. iptables -t filter -A INPUT  -i lo -p all -j ACCEPT
  87. # Règles de connexion au reseau local
  88. # Tout est autorisé
  89. #-------------------------------------------
  91. echo "+ Règles du réseau local ($LAN_INTERFACE - $LAN_IP - $LAN_NETWORK)"
  92. # Connexions firewall <-> réseau
  93. iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $LAN_IP -d $LAN_NETWORK -p all -j ACCEPT
  94. iptables -t filter -A INPUT  -i $LAN_INTERFACE -s $LAN_NETWORK -d $LAN_IP -p all -j ACCEPT
  96. # Connexions firewall <-> broadcast réseau
  97. iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $LAN_IP -d $LAN_BROADCAST -p all -j ACCEPT
  98. iptables -t filter -A INPUT  -i $LAN_INTERFACE -s $LAN_BROADCAST -d $LAN_IP -p all -j ACCEPT
  101. #
  102. # Règles de connexion à Internet
  103. # Seul les connexions initialisés par la machine sont autorisées
  104. # C'est le suivit de connexion
  105. #-----------------------------------------------------------------------
  107. # Chargement des modules pour le suivit de connexion
  108. modprobe ip_conntrack
  109. modprobe ip_conntrack_ftp
  110. modprobe ip_conntrack_irc
  113. echo "+ Règles pour Internet ($WAN_INTERFACE - $WAN_NETWORK) [ip $WAN_INTERFACE inconnue]"
  114. echo "+ port 80 ouvert !!!"
  115. iptables -t filter -A OUTPUT -o $WAN_INTERFACE -d $WAN_NETWORK -p all -m state --state ! INVALID -j ACCEPT
  116. iptables -t filter -A INPUT  -i $WAN_INTERFACE -s $WAN_NETWORK -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
  118. # on autorise les connexion sur le port 80 (si on a un serveur web, enlever le commentaire)
  119. iptables -A INPUT  -i $WAN_INTERFACE -s $WAN_NETWORK -p tcp --sport  1024:65535  --dport 80 -m state --state NEW -j ACCEPT
  121. # Décommentez la ligne suivante pour que le serveur SSH éventuel soit joignable de l'extérieur
  122. iptables -A INPUT  -i $WAN_INTERFACE -s $WAN_NETWORK -p tcp --sport  1024:65535  --dport 22 -m state --state NEW -j ACCEPT
  124. # Evite le problème du MTU
  125. iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0 --clamp-mss-to-pmtu
  128. #
  129. # Règles pour l'IP masquerading
  130. # Pour que le IP masquerading soit activé, il faut la variable "$NAT" soit à "1"
  131. #--------------------------------------------------------------------------------------
  133. if [ "$NAT" == "1" ]; then
  134.   # Chargement des modules pour l'IP masquerading
  135.   modprobe iptable_nat
  136.   modprobe ip_nat_ftp
  137.   modprobe ip_nat_irc
  139.   echo "+ Autorise l'IP masquerading de $LAN_NETWORK -> $WAN_NETWORK"
  140.   iptables -t filter -A FORWARD -i $LAN_INTERFACE -o $WAN_INTERFACE -s $LAN_NETWORK -d $WAN_NETWORK -p all -m state --state ! INVALID           -j ACCEPT
  141.   iptables -t filter -A FORWARD -i $WAN_INTERFACE -o $LAN_INTERFACE -s $WAN_NETWORK -d $LAN_NETWORK -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
  143.   iptables -t nat    -A POSTROUTING               -o $WAN_INTERFACE -s $LAN_NETWORK -d $WAN_NETWORK -p all -j MASQUERADE
  145.   echo 1 > /proc/sys/net/ipv4/ip_forward
  147. else
  148.   echo "+ L'IP masquerading N'est PAS autorisé"
  149.   echo 0 > /proc/sys/net/ipv4/ip_forward
  150. fi

Reply

Marsh Posté le 20-02-2007 à 13:57:25    

up
 
ne me laissez pas tomber

Reply

Marsh Posté le 21-02-2007 à 14:24:54    

y a quelqu'un ? je suis sûr que certains connaissent la réponse :(

Reply

Marsh Posté le 21-02-2007 à 14:27:33    

ouvre voir ton port 53 comme tu 'las fait avec ton 80 et 22.

Message cité 1 fois
Message édité par memaster le 21-02-2007 à 14:28:43
Reply

Marsh Posté le 21-02-2007 à 14:27:56    

memaster a écrit :

ouvre voir ton port 53 comme tu 'las fait avec ton 80 et 22 <== dangereux qd même le 22 (c'est telnet)


non 22 ssh

Message cité 1 fois
Message édité par l0ky le 21-02-2007 à 14:28:22
Reply

Marsh Posté le 21-02-2007 à 14:29:14    

l0ky a écrit :

non 22 ssh


oueh je viens de verifier, c'est parce que je n'utilise plus ce port la pour mes ssh [:psywalk]

Reply

Marsh Posté le 21-02-2007 à 14:51:31    

ok regarde tout de suite :)
 
Telnet c'est 23 ;)

Reply

Marsh Posté le 21-02-2007 à 15:51:02    

non ça ne change rien :( de toute façon les requètes DNS passaient déjà avant car mes "ping google.fr" et "lynx google.fr" allaient

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed