J'y arrive po !!!!
 
Bon alors, le but : Partage de connexion sans filtrage + Filtrage sur serveur uniquement. Le serveur doit faire fonctionner Apache, MySQL, POP3, SMTP, FTP et COUNTER STRIKE.
 
Voilà ce ke je pensais faire (en oubliant Counter ds un premier tps) :
 
ipchains -P input ACCEPT (post modifié)
ipchains -P forward DENY
ipchains -P output ACCEPT
ipchains -A forward -s 192.168.0.0/24 -i ppp0 -j MASQ
 
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p tcp -i ppp0 -j DENY -y
 
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 80 -p tcp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 21 -p tcp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 53 -p tcp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 25 -p tcp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 110 -p tcp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 3306 -p tcp -i ppp0 -j ACCEPT
 
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 80 -p udp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 21 -p udp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 53 -p udp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 25 -p udp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 110 -p udp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 3306 -p udp -i ppp0 -j ACCEPT
 
 
Le partage marche nickel mais le serveur semle innaccessible depuis le web, la question est : k'est-ce qui va pas ? et y'a-t-il des ports inutilement ouverts ?

[edtdd]--Message édité par Snake Ultimate--[/edtdd]

si tu place la ligne "ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p tcp -i ppp0 -j DENY -y" a la fin ?

http, ftp, pop (110) et smtp(25) n'utilise que le protocol tcp
mysql aussi je pense - si tu n'utilises mysql que avec php, je te conseille de fermer ce port !
Pour le ftp le port data(20) doit être ouvert aussi.
 
Restreint les règles en spécifiant ton ip externe comme source ou destination.  Si elle est dynamique utilise
$MY_IP=`ifconfig ppp0 \grep inet \ cut -d : -f 2 \ cut -d \  -f 1`  
Cela t'oblige à relancer le firewall à chaque déconnexion, ajoute la ligne de commande dans /etc/ppp/ip-up.local
 
Essaye dans la mesure du possible d'avoir les police par défaut à DENY (ipchains -P input DENY, ipchains -P output DENY, ipchains -P forward DENY)
 
A consulter :
une bonne url http://www.linux-firewall-tools.com/linux/faq/
un script idéal de base à modifier : http://www.linux-firewall-tools.co [...] l.ipchains
 
Conseil : passe à iptables, c'est bien plus puissant !

Merci pour toutes ces infos !!! Trop cool toi

pour cs faut ouvrir (de tete) les ports 27010
et 27015 a 27065

active aussi au debut les protections du kernel  
 
masi si t juste au debut de la conception d un firewall passe a iptable  
 
et un conseil avant de le faire ecrit sur un bout de papier la structures logiques de ton firewall  avec ceux que tu veux ouvrir ou fermer

Ca apporte koi de + IPTABLES ? c plus simple à configurer ?

[mode Martinez and Ping ON]
 
CAI STATEFULL !!!!!!!!!!!!!!!!
 
[mode martinez and Ping OFF]
 
en gros, ca gère tt les status de connections, bien mieux qu'IP chains...
 
ca utilise aussi les fonctions rézo du kernel 2.4, qui sont plus rapides...
 
et y'a plus de syntaxe possible, vu que ca intègre le portmapping, chose que ipchains ne peut faire qu'avec IPmasqADM...

au fait, bien vu tes sites, c sympa, pour moi qui habite lyon...

j ai tjrs po bien compris ce qu etait le statefool m enfin  
 
iptable le truc le plus interressent est carrement le port mapping super pratique faut vraiment que je m y mette a iptable pour l instant je suis sous ipchains

 
le 27015 suffit pour cs

tous les servers sont po en 2015 y en a qui vont jusqu a 2065

iptables simplifie un peu les choses ...
Statefull = tu peux considérer que les connections établies sont de confiance par exemple.
Imagine que tu as une machine connectée à Internet et que tu permets à tout le monde d'accéder à certains services (web, ftp,...).  
Chaque fois qu'une personne se connecte (input), tu testes pleins de choses (pas de spoof, pas d'adresses interdites, connection sur certains ports...) et puis tu accèptes la connection si tout est ok.  
Pour renvoyer des infos à la personne connectée (output), tu peux considérer que si la connection a été établie tu acceptes de lui envoyer ces informations.
 
C'est assez pratique...
c'est ça le "statefull".

[edtdd]--Message édité par ethernal--[/edtdd]

GUG a écrit a écrit : tous les servers sont po en 2015 y en a qui vont jusqu a 2065

 
sauf que si il fait son propre serveur, il le fixe sur un port (le 27015 par défaut)  

je confirme : pour le client, c tjs 27015 ...si tu fais un server, t'a la plage [27000-31000]

 
sauf que tu peux changer aussi le client et utiliser un autre port que le 27015.
 
Par défaut, c le 27015 que ton serveur doit accepter en entrée.
Comme tout est accepté en sortie dans le cas présent, tu n'a pas a préciser la plage de sortie.

ethernal a écrit a écrit : iptables simplifie un peu les choses ... Statefull = tu peux considérer que les connections établies sont de confiance par exemple. Imagine que tu as une machine connectée à Internet et que tu permets à tout le monde d'accéder à certains services (web, ftp,...).   Chaque fois qu'une personne se connecte (input), tu testes pleins de choses (pas de spoof, pas d'adresses interdites, connection sur certains ports...) et puis tu accèptes la connection si tout est ok.   Pour renvoyer des infos à la personne connectée (output), tu peux considérer que si la connection a été établie tu acceptes de lui envoyer ces informations.   C'est assez pratique... c'est ça le "statefull".

 
merci

Ok, merci je v voir les howto sur IPTABLES pour voir...
Sinon, comme script de reconnexion automatique (et reboot du modem si possible) pour une connexion ADSL PPTP via Alcatel Ethernet Speed Touch Home, on trouve koi ?

iptables :  
- http://www.knowplace.org/netfilter/syntax.html
- http://www.linuxguruz.org/iptables/
- http://netfilter.filewatcher.org/
- http://people.unix-fu.org/andreasson/
 
connexion modem Speed Touch Home ethernet :
pppoe : http://www.roaringpenguin.com/pppoe/
(la configuration avec pppoe en plugin demande une configuration spéciale du firewall pour accéder à certains sites)
 
c'est quoi la défférence entre ppptp et pppoe ?
 
ADSL en général : http://linux.adsl-bc.org/

[edtdd]--Message édité par ethernal--[/edtdd]

pptp ou pppoe :  
pptp : point to point protocol : protocole propriétaire Microsoft, qui crée un réseau virtuel privé pour établir la connection...fermé et un poil plus lent que le pppoe, donc suxx
 
pppoe : ppp over ethernet : les paquets sont encapsulés dans des paquets IP : plus rapide, et norme libre
 
 
en gros, t'a le choix, tu peux demander à FT la migration....

thx