Regles iptables pour coyote linux (a du mal)

Regles iptables pour coyote linux (a du mal) - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 18-10-2004 à 17:56:51    

J'ai un routeur sous coyotelinux que j'administre depuis mon PC sous winXP par webamdin (enfin, si il faut je peux sortir pussySSH mais le webamdin fonctionne bien à priori)
 
Voila, j'ai depuis pas mal de temps poser des regles de port forwarding, mais j'aimerais bien mettre en place un ptit FW la dessus parsque c'est dommage quand meme de laisser la partie "Firewall Configuration File" toute vide :/
 
Pour ceux qui ne connaissent pas, Coyote Linux est une mini distro sur une disquette, qui se place dans la RAM au demarrage, elle fait du NAT, du DHCP, et iptables.
 
Le routeur est connecté par 2 cartes reseau, à une freebox d'un coté (eth1), et à un switch avec 3 PC sous winXP de l'autre (eth0), toutes les IP sont fixes (reseau local et freebox).
 
Donc, j'ai vu que sous Nux vous aviez un FWbuilder qui avait l'air bien sympa, est ce qu'un utilitaire un peu user friendly qui sorte juste les regles qu'il faut bien en texte existerais sous windows?
(et sinon, je peux m'y prendre comment?)
 
Merci beaucoup.


Message édité par WildGoose le 20-10-2004 à 02:24:17
Reply

Marsh Posté le 18-10-2004 à 17:56:51   

Reply

Marsh Posté le 19-10-2004 à 01:49:09    

bon, j'ai juste mis ça:
 


iptables -F
iptables -X  
 
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
iptables -t nat -F
iptables -t nat -X  
 
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
 
iptables -t mangle -F
iptables -t mangle -X  
 
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
 
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
 
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
 
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT


 
 
ça à l'air d'etre le minimum du classicisme mais j'ai aucune idée de si c'est bien ou suffisant :/


Message édité par WildGoose le 19-10-2004 à 01:49:30
Reply

Marsh Posté le 19-10-2004 à 02:12:51    

bon, vais demandez chez PAIPAICAI ils seront ptet plus zentils  oeufs

Reply

Marsh Posté le 20-10-2004 à 01:15:11    

Bon, ça m'a lair pas mal, sauf que malgres la regle de port forwarding, la mule reste low (sans le firewall juste avec le port forwarding j'etait en high)
la regle de port forwarding donne ça:
 
auto Y tcp 4662:4662 192.168.0.3
auto Y udp 4672:4672 192.168.0.3
 
 
est ce qu'en rajoutant simplement cette regle dans le FW ça passera? Si oui, est ce une bonne solution? et si non, il faut que je fasse comment ?
 
iptables -A FORWARD -i eth1 --protocol tcp --source-port 4662 -m state --state NEW -j ACCEPT
 
 
merci.


Message édité par WildGoose le 20-10-2004 à 01:16:02
Reply

Marsh Posté le 20-10-2004 à 01:19:58    

je suppose que les regles de port forwarding sont pas standards, donc je vous donne l'explication :p
 
# This file contains entries in the following format:
#
# type active <rule>
#
# type = auto or port
#  
# active = Y or N
#
# for "auto" rule =  
#  protocol port desination [dns]
#
# protocol = TCP or UDP
# port = port or port range in the format of "start:end"
# destination = destination IP address
# dns = flag to create pre-post-route for lan to wan ip (optional)
#
# for "port" rule:
#  destination [internet_ip] [protocol [port1 [port2] [dns]]]
#
# destination = destination IP address
# internet_ip = internet IP address (optional)
# protocol = protocol name or number (optional)
# port1 = the port to forward (optional)
# port2 = the port to forward to (optional)
# dns = flag to create pre-post-route for lan to wan ip
# (optional when used with the above 3 options)
 

Reply

Marsh Posté le 20-10-2004 à 05:16:03    

j'ai trouvé ça:
 
 


iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 4662 -j DNAT --to-dest 192.168.0.2:4662
 
iptables -A FORWARD -i eth1 -o eth0 -p tcp -s 0.0.0.0/0 -d 192.168.0.2 --dport 4662 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
iptables -t nat -A PREROUTING -p udp -i eth1 --dport 4672 -j DNAT --to-dest 192.168.0.2:4672
 
iptables -A FORWARD -i eth1 -o eth0 -p udp -s 0.0.0.0/0 -d 192.168.0.2 --dport 4672 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


 
Vous en pensez quoi?
 
ça ne fait pas double emplois avec les regles de portforwarding?


Message édité par WildGoose le 20-10-2004 à 05:20:41
Reply

Marsh Posté le 20-10-2004 à 15:18:25    

[:snake12]

Reply

Marsh Posté le 20-10-2004 à 17:05:47    

Finalement, j'ai elagué pas mal pour ne garder que le principal, considerant que le reste doit trainer quelque part dans les settings par defaut de Coyote Linux.
 
ça "à l'air" de fonctionner, mais comment vérifier que ça fonctionne effectivement?
 
 

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
 
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
 
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
 
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Regle pour ouvrir tcp et udp pour Emule
 
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 4662 -j DNAT --to-dest 192.168.0.2:4662
iptables -A FORWARD -i eth1 -o eth0 -p tcp -s 0.0.0.0/0 -d 192.168.0.2 --dport 4662 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -p udp -i eth1 --dport 4672 -j DNAT --to-dest 192.168.0.2:4672
iptables -A FORWARD -i eth1 -o eth0 -p udp -s 0.0.0.0/0 -d 192.168.0.2 --dport 4672 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


 
(bon, allé, arretez de me laisser tout seul :/ en galerien)
 

Reply

Marsh Posté le 20-10-2004 à 21:28:42    

perosnne ne peut me dire comment je peux tester que le firewall est efficace?

Reply

Marsh Posté le 20-10-2004 à 21:47:27    

rofl le mec qui parle seul depuis 2 jours
 
up de réconfort :P

Reply

Marsh Posté le 20-10-2004 à 21:47:27   

Reply

Marsh Posté le 20-10-2004 à 21:51:11    

:(  
merci [:angelfire]  
 
 
 :cry:

Reply

Marsh Posté le 21-10-2004 à 22:42:47    

rdr on $ext_if proto tcp from any to any port 4662 -> $pc_1
rdr on $ext_if proto udp from any to any port 4672 -> $pc_1
 
mais bon, si vous aimez iptable  :P

Reply

Marsh Posté le 07-11-2004 à 07:13:46    

Slt Wildgoose
 J' ai la même config que toi (freebox+coyote-linux+1PC/winXP) et j' avais la même galère (la mule tt le tps lowID).Alors voici la solution pour etre tjrs en high ID.Avec le WebAdmin tu vas dans Port Forwarding --> Create a new forward --> Single Port ; Dans le tableau tu fais : "Protocol"-TCP, "Internal IP Address"-celle de ton PC/winXP, "Internal Port Number (Optional)"-5662ou4662, "External Port Number (Optional)"-5662ou4662, "Enable LAN to use External IP ? (Recommended)"-yes .Ensuite tuvalides en cliquant sur "submit" et puis il faut faire "reload firewall".
Voili voilou, Chez moi ça marche nickel


---------------
Naître, mourir, renaître encore et progresser sans cesse, telle est la loi
Reply

Marsh Posté le 07-11-2004 à 08:58:24    

WildGoose a écrit :

Bon, ça m'a lair pas mal, sauf que malgres la regle de port forwarding, la mule reste low (sans le firewall juste avec le port forwarding j'etait en high)
la regle de port forwarding donne ça:
 
auto Y tcp 4662:4662 192.168.0.3
auto Y udp 4672:4672 192.168.0.3
 
 
est ce qu'en rajoutant simplement cette regle dans le FW ça passera? Si oui, est ce une bonne solution? et si non, il faut que je fasse comment ?
 
iptables -A FORWARD -i eth1 --protocol tcp --source-port 4662 -m state --state NEW -j ACCEPT
 
 
merci.


 
ça ne marche pas ça ? (avec les bonnes @)  
:  

iptables -A INPUT -p tcp --dport 4661 -j ACCEPT
iptables -A INPUT -p udp --dport 4665 -j ACCEPT
iptables -A INPUT -p udp --dport 4672 -j ACCEPT
iptables -t nat -A PREROUTING -j DNAT -i ppp0 -p TCP --dport 4661 --to-destination 192.168.1.1
iptables -t nat -A PREROUTING -j DNAT -i ppp0 -p UDP --dport 4665 --to-destination 192.168.1.1
iptables -t nat -A PREROUTING -j DNAT -i ppp0 -p UDP --dport 4672 --to-destination 192.168.1.1


---------------
CPU-Z | Timespy | Mes bd
Reply

Marsh Posté le 07-11-2004 à 09:00:55    

WildGoose a écrit :

Finalement, j'ai elagué pas mal pour ne garder que le principal, considerant que le reste doit trainer quelque part dans les settings par defaut de Coyote Linux.
 
ça "à l'air" de fonctionner, mais comment vérifier que ça fonctionne effectivement?
 
 

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
 
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
 
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
 
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Regle pour ouvrir tcp et udp pour Emule
 
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 4662 -j DNAT --to-dest 192.168.0.2:4662
iptables -A FORWARD -i eth1 -o eth0 -p tcp -s 0.0.0.0/0 -d 192.168.0.2 --dport 4662 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -p udp -i eth1 --dport 4672 -j DNAT --to-dest 192.168.0.2:4672
iptables -A FORWARD -i eth1 -o eth0 -p udp -s 0.0.0.0/0 -d 192.168.0.2 --dport 4672 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


 
(bon, allé, arretez de me laisser tout seul :/ en galerien)


 
Bigre, j'ai fait le bourrin moi a coté, j'ai bien plus de régles...


---------------
CPU-Z | Timespy | Mes bd
Reply

Marsh Posté le 07-11-2004 à 09:17:44    

Bin en fait j' ai essayè de mettre plein de règles différentes mais ça n' a jamais marché. j' ai trouvé comment forwardé mes ports sur le site de freenews ou ils donnaient ces explications pour la freebox


---------------
Naître, mourir, renaître encore et progresser sans cesse, telle est la loi
Reply

Marsh Posté le 07-11-2004 à 09:20:21    

Darkhann a écrit :

Bin en fait j' ai essayè de mettre plein de règles différentes mais ça n' a jamais marché. j' ai trouvé comment forwardé mes ports sur le site de freenews ou ils donnaient ces explications pour la freebox


 
Il faut les comprendres les regles quand meme ;) car pour faire du nat, un vulgere  
 
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
 
suffit :D
 
Et le pire, ça marche meme avec mon modem d-link 300t, et hop, un routeur gratis :D


---------------
CPU-Z | Timespy | Mes bd
Reply

Marsh Posté le 07-11-2004 à 09:44:32    

C' est a dire que je suis un peu novice dans ce genre de chose. Mais apparament tu as une conec PPP (" -o ppp0 " ) alors qu' avec free c' est du DHCP. les règles je ne les avais pas ecrites moi-même(j' en suis bien incapable -pour l' instant-), je les avais trouvees dans diférents forums.Mais bon avec ce que j' ai expliqué plus haut ça marche nickel


---------------
Naître, mourir, renaître encore et progresser sans cesse, telle est la loi
Reply

Marsh Posté le 07-11-2004 à 09:49:14    

Darkhann a écrit :

C' est a dire que je suis un peu novice dans ce genre de chose. Mais apparament tu as une conec PPP (" -o ppp0 " ) alors qu' avec free c' est du DHCP. les règles je ne les avais pas ecrites moi-même(j' en suis bien incapable -pour l' instant-), je les avais trouvees dans diférents forums.Mais bon avec ce que j' ai expliqué plus haut ça marche nickel


 
Avec la freebox ? pourquoi ne pas activer simplement son routeur interne ?  
 
et ensuite forwader les 2 ports UDP et le TCP.


---------------
CPU-Z | Timespy | Mes bd
Reply

Marsh Posté le 07-11-2004 à 09:57:40    

C.a.d. que j' ai acheter tout le cablage (1 droit de 2m. entre la FB et mon PC/coyote + 1 croisé de 10m. entre les deux PC -dans deux pieces dif.-) donc je passerais a la fonction routeur quand je recevrais la carte wifi PCMCIA qui va dedans.Ce sera plus simple ; en plus j' aime bien bidouiller, quand tout roule je m' ennuie


---------------
Naître, mourir, renaître encore et progresser sans cesse, telle est la loi
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed