Reprise du message précédent :

 
Lequel ??

c'est pas grave tu est un bon à coté de moi je ne comprends pourquoi le ping ne marche pas

193.51.200.1 c'est quelle adresse? L'adresse externe de ton routeur?
 
peux-tu poster le résultat de "iptables-save"?
 

si je fais ping www.hardware.fr depuis mon routeur j'ai pas de reponse on dirais que ça marche pas mais dès que je fais service iptables stop alors là ça ping

iptables-save et post le résultat

 
       
 
C'est quoi cette commande ?
 
Elle est spécifique à Red Hat ? ou c'est une aide bien précieuse qui m'aurait échappé ?
 
Le passant.

ça liste toutes les règles iptables réélement configurées. Car je suis assez étonné qu'il n'y ait aucun ping entre les machines. Je me demande si les règles iptables sont effectivement lancées.
Et je ne suis pas sous redhat mais sous gentoo  

il n'arrive plus à aller sur le net  

Ah, c'est donc une commade précieuse qui m'a échappé jusque là... cool !
 
Ch'ui sous Slack moi, donc comme c'est du tout bon pour tout le monde, c'trop bien !
 
Le passant.

salck! et t'as pas envie de passer sous gentoo      

pat_testa_mora : flush toute tes tables et mets tes policy à ACCEPT pour voir si c'est bien une règle qui merdouille ou autre chose.
 
Quoique pour les règles, je doute, m'enfin...
 
Le passant.

G pas 3 semaines devant moi pour tout compiler sur mon P200MMX, donc :
 
Slack c bien       !
 
Le passant.

je suis de retourt je suis planté avec mon serveur linux j'ai eu une coupure de courrant et il ne veux plus redemarer il fait plein de bip j'ai déja eu ça une fois je vous écris de mon portable qui lui marche ou moins, car du coup tout est planté
je vous remercie pour m'avoir aidé je suis creuvé je bosse demain et je ne peux plus ce fichut pentium 133 ma mémoire doit avoir un blem je remets tout en place pour demain et si vous voulez bien m'aider je serais très content
bonne nuit

c'est la prochaine étape effectivement.
 
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
 
mais je me demande s'il n'a pas foutu en l'air sa config et s'il arrive encore à nous lire  

Bonne nuit, à +.
 
Le passant.

 
A ces messages qui se croisent quand on tape les siens....   !
 
Regarde au dessus !  
 
Le passant.

 
c'est à toi de voir si tu veux progresser  

Je progresse... Je progresse...
 
Quand j'ai commencé Nux, je ne suis pas arrivé à la fin de l'install d'une Red Hat.
 
Là, j'ai monté ma Slack tout seul... enfin presque, le net à fait des bon de géant depuis   !
 
Quand à Gentoo, je pensais plutôt taper dans le *BSD, mais bon, si je me trouve une nouvelle machine, pourquoi pas.
 
Le passant.

Salut à tous je suis de retour j'ai réinstallé une RedHat 8.0 sur un PII 400 c'est mieux que ma vielle machine
j'ai remis mon script de firwall que j'ai un peu modifié
 
je vous le mets pour que vous puissiez regarder ce qui ne vas pas
 
mon ifconfig
 
eth0      Lien encap:Ethernet  HWaddr 00:50:FC:86:8E:0A
          inet adr:192.168.0.2  Bcast:192.168.0.255  Masque:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:619 errors:0 dropped:0 overruns:0 frame:0
          TX packets:829 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:100
          RX bytes:352879 (344.6 Kb)  TX bytes:140213 (136.9 Kb)
          Interruption:5 Adresse de base:0x5000
 
eth1      Lien encap:Ethernet  HWaddr 00:50:FC:86:5F:06
          inet adr:192.168.1.1  Bcast:192.168.1.255  Masque:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:117 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:100
          RX bytes:55561 (54.2 Kb)  TX bytes:420 (420.0 b)
          Interruption:11 Adresse de base:0x7000
 
lo        Lien encap:Boucle locale
          inet adr:127.0.0.1  Masque:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:81 errors:0 dropped:0 overruns:0 frame:0
          TX packets:81 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:5406 (5.2 Kb)  TX bytes:5406 (5.2 Kb)
 
 
mon route -n
 
root@firewall root]# route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0
 
mon script firewall
 
#!/bin/bash
 
#Activation du routage IP
echo 1 >/proc/sys/net/ipv4/ip_forward
 
# Chargement des modules
modprobe ip_tables
modprobe ip_nat_ftp
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
 
# Effacement des anciennes règles et chaines
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
 
# Politique par defaut
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
 
# Pour tout accepter sur la boucle locale
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
# Pour Masquer le poste Windows en faisant du Masquerading
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
 
# Pour avoir la résolution DNS sur le firewall
iptables -A INPUT -i eth0 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -i eth0 --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT
 
# pour que je puisse surfer avec le firewall
iptables -A INPUT -i eth0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
 
# Pour donner l'acces a internet sur mon poste Windows
iptables -A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dport 80,443,21 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp -m multiport --sport 80,443,21 -j ACCEPT
 
# Pour la resolution DNS sur mon poste Windows
iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 53 -j ACCEPT
 
Voila c'est tout et cela ne marche pas encore je craque

j'ai fait un tomic surt iptables
c'est pas dit que c'est parfait, mais ca devrait t'aider je pense ...

ça y est c'est bon ça marche
le script est bon sauf pour le ftp ça marche pas ça me dit quand j'essaie que je n'ai pas le droit alors que j'autorise le port 21 à sortir  
 
est ce que quelqu'un aurait des infos

regarde mon script le ftp marhce snas pb
tu as bien activé ce qu'il faut dans le boyau pour autoriser le ftp ?

faut rajouter
iptables -A FORWARD -i eth0 -o eth1 ---protocol tcp -m state --state RELATED,ESTABLISHED -j ACCEPT  
 
En fait tu peux limiter sur les ports 1024 à 65535
 
Et configure ton ftp en mode passif sur ton windows.
 
Ca c'est pour le poste windows. Fait pareil en input pour ton poste linux.
 

et poas besoin d'ouvrir tes ports 53 en tcp!!!

 
et qu'est-ce qui n'allait pas? On était sur la bonne voie non?

salut à tous c'est good mais le cas tu ftp est un pru confut pourquoi on est obliger d'ouvrir des ports compris entre 1024 et 65535 du coup pas de protection sur ces ports !!!  
 
iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT  
 
iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT  
 
 
copier sur http://lea-linux.org/reseau/iptables.php3

encore une chose c'est bon presque tout marche mais j'aimerais un peu comprendre ce que je tape par exemple
quelle diffirence il y a t'il entre ces deux règles
 
iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 80 -m state --state -j ACCEPT  
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -m state --state -j ACCEPT  
 
pourquoi des fois "sport" ou "dport"

sport: source port (par exemple 80 vers 1024)
dport: dest port (1068 vers 80)
 
les softs communiquent rarement sur le même port, notamment en cas de téléchargement (streaming, ftp...).
 
pour le ftp, avec related et established, tes ports de sont pas ouverts...

ok donc si je veux accepter une connexion ssh il faut que je tape:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
 
dans ce cas je dis sur la première règle que j'acceptre les connexion à destionation du port 22  
et pour la deuxième règle je j'établie la connexion vers un port source 22 de l'emetteur de la requète  
 
est ce que j'ai bien compris ??

est ce que je procède de la même manière si je veux héberger moi même mes propres DNS dans le cas ou j'aurais la possiblité d'avoir des IP publiques ??

si tu as un serveur DNS sur ton serveur, tu n'as plus besoin de forwarder tes ports 53 du client, mais d'ouvrir le port 53 sur le serveur.

je voudrais héberger mes dns sur un autre serveur

ce que je ne comprends ppas c'est pourquoi si je mets 3 interfaces sur mon firewall
eth0 192.168.0.2
eth1 192.168.1.1
eth2 81.140.130.10
 
en connectant mon firewall à mon routeur via l'interface eth0
en connectant mon Lan sur l'interface eth1
en connectant mon serveur DNS sur l'interface eth2
 
je n'arrive pas à pinger mon serveur 81.140.130.11 depuis un poste de mon LAN
 
est ce que quelqu'un peut m'aider

il faut que tu ouvres le ICMP (protocole comme tcp, udp mùais pour le ping en particulier)
 
iptables -A FORWARD -p icmp -j ACCEPT