Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1720 connectés 

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Problème des LowID

n°243493
pilou51
Posté le 01-04-2003 à 11:42:39  profilanswer
 

Salut,
 
Sans citer aucun programme qui puisse causer ce pb (oui il y en a plusieurs), j'aimerais savoir comment le résoudre svp...
J'ai un client winxp derrière une passerelle linux sous Mdk9.0... je dois forwarder les ports 4661-4662 TCP et 4665 en udp...  
J'ai rentré les lignes suivantes :  

iptables -t nat -A PREROUTING -i eth1 -p udp -m udp --dport 4665 -j DNAT --to-destination 192.168.0.95:4665
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 4661:4662 -j DNAT --to-destination 192.168.0.95:4661


Mais ça n'a rien changé...
 
Merci de m'aider, ou d'effacer le message s'il chatouille vraiment trop la charte du forum (auquel cas je m'en excuse, c'était pas le but)
 

mood
Publicité
Posté le 01-04-2003 à 11:42:39  profilanswer
 

n°243513
pilou51
Posté le 01-04-2003 à 12:07:56  profilanswer
 

Me faites pas croire que personne n'a eu ce pb... :)
 
J'ai essayé d'utiliser shorewall (http://www.shorewall.net) mais il m'a déglingué pas mal de trucs alors je préfère oublier ça...
avec iptables y'a pas moyen de forwarder ces fameux ports svp ?
 
Merci

n°243535
[Albator]
MDK un jour, MDK toujours !
Posté le 01-04-2003 à 12:37:13  profilanswer
 

pilou51 a écrit :

Salut,
 
Sans citer aucun programme qui puisse causer ce pb (oui il y en a plusieurs), j'aimerais savoir comment le résoudre svp...
J'ai un client winxp derrière une passerelle linux sous Mdk9.0... je dois forwarder les ports 4661-4662 TCP et 4665 en udp...  
J'ai rentré les lignes suivantes :  

iptables -t nat -A PREROUTING -i eth1 -p udp -m udp --dport 4665 -j DNAT --to-destination 192.168.0.95:4665
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 4661:4662 -j DNAT --to-destination 192.168.0.95:4661


Mais ça n'a rien changé...
 
Merci de m'aider, ou d'effacer le message s'il chatouille vraiment trop la charte du forum (auquel cas je m'en excuse, c'était pas le but)
 
 


 
Si tu forwardes 3 ports, tu devrais avoir 3 lignes non ?
 
Ta ligne pour 4661-4662 redirige les deux sur le 4661 => pas bon !

n°243542
pilou51
Posté le 01-04-2003 à 12:43:01  profilanswer
 

normalement ça marche, j'utilise les mm commandes pour forwarder d'autres ports udp (9000 à 9013) et ça prend qu'une seule ligne... et ça ça marche, alors je comprends pas  :cry:  
 

n°243546
Tomate
Posté le 01-04-2003 à 12:47:37  profilanswer
 

pilou51 a écrit :

normalement ça marche, j'utilise les mm commandes pour forwarder d'autres ports udp (9000 à 9013) et ça prend qu'une seule ligne... et ça ça marche, alors je comprends pas  :cry:  
 
 


 
bah la tu forward kan meme les port 4661 et 4662 sur le port 4661 !

n°243550
udok
La racaille des barbus ©clémen
Posté le 01-04-2003 à 12:52:05  profilanswer
 

faudrait arreter de lire les doc en diagonale :pfff:


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
n°243551
Tomate
Posté le 01-04-2003 à 12:53:54  profilanswer
 

udok a écrit :

faudrait arreter de lire les doc en diagonale :pfff:  

:jap:

n°243553
pilou51
Posté le 01-04-2003 à 12:59:31  profilanswer
 

quelles docs ? celles d'iptables ? ahah trouve moi une personne qui l'ait lue en entier...
 
Merci pour les réponses constructives qui font bien avancer...

n°243554
udok
La racaille des barbus ©clémen
Posté le 01-04-2003 à 13:00:49  profilanswer
 

pilou51 a écrit :

quelles docs ? celles d'iptables ? ahah trouve moi une personne qui l'ait lue en entier...
 
Merci pour les réponses constructives qui font bien avancer...


 
moi j'ai lu la table des matieres, je suis pas un génie et j'y suis arrivé en lisant juste ce dont j'avais besoin
si tu ne maitrises pas le principe du multiport sur une ligne, fait le sur plusieurs lignes
c'est assez constructif là ?   :o


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
n°243555
pilou51
Posté le 01-04-2003 à 13:02:30  profilanswer
 

sauf que sur une ligne ou sur plusieurs, ça ne change rien pour moi...
si tu y es arrivé, vu qu'on est sur un forum d'entraide, tu peux pas poster tes lignes ou qqchose de consistant, au lieu de jeter à tout va ?

mood
Publicité
Posté le 01-04-2003 à 13:02:30  profilanswer
 

n°243560
udok
La racaille des barbus ©clémen
Posté le 01-04-2003 à 13:10:19  profilanswer
 

pilou51 a écrit :

sauf que sur une ligne ou sur plusieurs, ça ne change rien pour moi...
si tu y es arrivé, vu qu'on est sur un forum d'entraide, tu peux pas poster tes lignes ou qqchose de consistant, au lieu de jeter à tout va ?


 
 

# edonkey
iptables -I PREROUTING -t nat -i ppp0 -p tcp --dport 4662 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i ppp0 -o eth0 -p tcp --dport 4662 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i ppp0 -p udp --dport 4662 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i ppp0 -o eth0 -p udp --dport 4662 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i ppp0 -p tcp --sport 4661 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i ppp0 -o eth0 -p tcp --sport 4661 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i ppp0 -p udp --sport 4665 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i ppp0 -o eth0 -p udp --sport 4665 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i ppp0 -p udp --dport 4666 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i ppp0 -o eth0 -p udp --dport 4666 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i ppp0 -p udp --dport $OVERNET_PORT -j DNAT --to 192.168.0.2
iptables -I FORWARD -i ppp0 -o eth0 -p udp --dport $OVERNET_PORT -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i ppp0 -p udp --sport $OVERNET_PORT -j DNAT --to 192.168.0.2
iptables -I FORWARD -i ppp0 -o eth0 -p udp --sport $OVERNET_PORT -d 192.168.0.2 -j ACCEPT


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
n°243562
pilou51
Posté le 01-04-2003 à 13:11:54  profilanswer
 

merci  :jap:

n°243564
udok
La racaille des barbus ©clémen
Posté le 01-04-2003 à 13:12:52  profilanswer
 
n°259956
Tranxen
Posté le 09-05-2003 à 00:50:37  profilanswer
 

Désolé de remonter un vieux thread, mais j'ai également ce problème de LowID et je ne parvient pas à le résoudre, même en appliquant pleins de script d'exemple qui ont l'air de marcher chez d'autres.
 
J'ai ça pour mon script iptables :
 


#!/bin/sh
# Vidage des chaînes
iptables -F
# Suppression des chaînes personnelles
iptables -X
 
# Les tables pointent par defaut sur DROP
 
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
# Reglage par defaut des autres tables : ACCEPT. Le bloquage est effectué par la table filter.
 
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
 
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
 
# On ouvre l'interface local
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
# On ouvre le réseau local
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
 
# Translation d'adresse pour tout ce qui traverse la passerelle en sortant par eth0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
 
# Toutes les connections qui vont du LAN vers le net sont acceptées
iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# Les connections déjà établies ou en relation avec des connections précédentes, du net vers le LAN sont acceptées
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
...(j'autorise quelques services)...
 
# Emule
iptables -I PREROUTING -t nat -i eth0 -p tcp --dport 4662 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i eth0 -o eth1 -p tcp --dport 4662 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i eth0 -p udp --dport 4662 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i eth0 -o eth1 -p udp --dport 4662 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i eth0 -p tcp --sport 4661 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i eth0 -o eth1 -p tcp --sport 4661 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i eth0 -p udp --sport 4665 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i eth0 -o eth1 -p udp --sport 4665 -d 192.168.0.2 -j ACCEPT
 
iptables -I PREROUTING -t nat -i eth0 -p udp --dport 4666 -j DNAT --to 192.168.0.2
iptables -I FORWARD -i eth0 -o eth1 -p udp --dport 4666 -d 192.168.0.2 -j ACCEPT
iptables.sh                                                             70,1 Bot


 
Merci.


Message édité par Tranxen le 09-05-2003 à 00:50:56
n°259963
le passant
Posté le 09-05-2003 à 04:09:38  profilanswer
 

Précise le port de destination de tes DNAT... Ca ne pourra que mieux marcher.
 
Inutile de préciser les règles pour les ports 4661, 4665 et 4666. Ces ports ne concernent que des connections depuis ton LAN vers le NET. Ta règle avec le NEW,RELATED,ESTABLISHED s'en charge déjà. Et e-mule n'a rien à faire du port 4666 !
 
Inutile de préciser la règle en udp pour le port 4662, il n'y a que le tcp d'utiliser sur ce port.
 
Et il te manque un petit truc sur le port 4672 (une règle du même type que pour le port 4662, mais en udp). Et ça devra bien mieux marcher.
 
Sinon, hormis ça, je ne vois rien d'autre à ajouter.
 
Bon courage !
 
Le passant.


Message édité par le passant le 09-05-2003 à 04:11:01
n°260103
Tranxen
Posté le 09-05-2003 à 14:00:36  profilanswer
 

Ca marche grâce à tes conseils et en rajoutant quand même :
 


iptables -A FORWARD -i eth0 -p tcp --dport 4662 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


 
Après quelques tests il se trouve que je suis obligé de mettre les lignes concernant le postrouting alors que j'ai ça au début de mon fichier de config :
 


iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT  


 
Je ne suis pas sûr de comprendre, mais au moins ça marche :)


Message édité par Tranxen le 09-05-2003 à 14:00:56
n°260195
le passant
Posté le 09-05-2003 à 17:52:40  profilanswer
 

Oui !!!
 
Bon, je vais essayer de me faire comprendre :
 
Pour la table Filter : elle entre en action en dernier ressort, une fois qu'un packet à été parfaitement identifié en provenance ET destination par les tables nat et mangle.
Une hiérarchie sur les caractéristiques de cheminement des packets existe donc déjà : on sait qu'un packets "matché" en INPUT est à destination de la passerelle, en OUTPUT, ça provient de la passerelle, et en FORWARD, ça concerne un transit de donnée "à travers" la passerelle entre les deux réseau qui discutent via la passerelle.
 
Pour la table nat et mangle : ces tables sont en relation avec des traitement qui s'effectue en amont (identification du packet, etc..).
Par défaut il faut les mettre en accept, sinon rien ne fonctionnera. Mais pour tout cas particulier, il faut ABSOLUMENT le préciser !!!
Les cas généraux fonctionnenet très bien, mais ils sont généraux et si tu veux faire un NAT efficace, il faut le dire à la machine. Celle-ci ne peut pas encore deviner tes intentions.
 
J'espère avoir été assez clair  :heink:  :whistle: .
Bon DL quand même  :D .
 
Le passant.

n°267639
ITM
Avatar peint à la main
Posté le 25-05-2003 à 18:47:41  profilanswer
 

Désolé de remonter ce topic, mais je ne comprends rien du tout alors je voulais savoir par ou commencer pour régler mon problème de lowid (avec lmule):
ordi sous mdk9.1 utilisant sur une passerelle winxp.


---------------
iteme.free.fr | Mon feedback
n°267656
perchut2
Hell, it's about time...
Posté le 25-05-2003 à 19:01:40  profilanswer
 

low id = ton port 4662 (a moins que tu ne l'aies changé) n'est pas joignable de l'extérieur.
 
a toi de voir comment faire un pour le forwarder depuis ta passerelle xp (quelle idee de mettre windows en passerelle.... j'aurais perso mis le donkey sur la passerelle, d'ailleurs)

n°267661
ITM
Avatar peint à la main
Posté le 25-05-2003 à 19:07:50  profilanswer
 

l'ordi passerelle c'est pas le mien, donc je peux rien y faire :D
Je ne comprends pas bien la manip qi'il faut faire?
elle doit être effctuée sur mon ordi ou sur la passerelle?


---------------
iteme.free.fr | Mon feedback
n°267665
parano
Time... to die...
Posté le 25-05-2003 à 19:12:46  profilanswer
 

Sur la passerelle. pour que tu puisses etre joignable facilement par les autres clients edonkey, il faut que ton port 4662 (sauf changement), soit ouvert et accessible sur ton pc. hors actuellement, les autres clients tombent sur le port 4662 de ta passerelle, pas sur le tiens, et donc ne trouve rien, d'ou ton lowid.  
 
Ce qu'il faut faire c rediriger le port 4662 de ta passerelle VERS ton pc, comme ca les autres clients ne bloqueront plus sur ta passerelle, et tomberont sur ton pc ;)

n°267676
ITM
Avatar peint à la main
Posté le 25-05-2003 à 19:28:31  profilanswer
 

ahah ok :D
Mais alors nouveau problème, comment rediriger ce port sur mon ordi, sachant que sur l'ordi passerelle, y'a un Zone Alarm qui traine?


---------------
iteme.free.fr | Mon feedback
n°267677
parano
Time... to die...
Posté le 25-05-2003 à 19:30:05  profilanswer
 

ca ca depend de comment est partagé ta connection (avec quel soft) :D et apres zone alarm il suffira de lui dire qu'on accepte tel connection quand il geulera je pense... direction s&r ? :D

n°267678
perchut2
Hell, it's about time...
Posté le 25-05-2003 à 19:30:53  profilanswer
 

parano a écrit :

Sur la passerelle. pour que tu puisses etre joignable facilement par les autres clients edonkey, il faut que ton port 4662 (sauf changement), soit ouvert et accessible sur ton pc. hors actuellement, les autres clients tombent sur le port 4662 de ta passerelle, pas sur le tiens, et donc ne trouve rien, d'ou ton lowid.  
 
Ce qu'il faut faire c rediriger le port 4662 de ta passerelle VERS ton pc, comme ca les autres clients ne bloqueront plus sur ta passerelle, et tomberont sur ton pc ;)


 
 
ouah.... tu m'apprendras à expliquer aussi bien ? moi on comprend rien, apparemment  :o

n°269831
ITM
Avatar peint à la main
Posté le 29-05-2003 à 11:09:42  profilanswer
 

parano a écrit :

ca ca depend de comment est partagé ta connection (avec quel soft) :D et apres zone alarm il suffira de lui dire qu'on accepte tel connection quand il geulera je pense... direction s&r ? :D  


En desactivant complètement ZoneAlarm sur la passerelle XP, il me dit toujours lowID. Ca viendrait donc de mon nux qui bloque le port par défaut?


---------------
iteme.free.fr | Mon feedback
n°269834
HuGoBioS
Posté le 29-05-2003 à 11:14:00  profilanswer
 

ITM a écrit :


En desactivant complètement ZoneAlarm sur la passerelle XP, il me dit toujours lowID. Ca viendrait donc de mon nux qui bloque le port par défaut?

:non: il faut maintenant rediriger les connections qui vont vers le 4662 de la paserelle vers TON 4662


---------------
-= In Kik00 101 I trust :o =-
n°269851
ITM
Avatar peint à la main
Posté le 29-05-2003 à 11:32:46  profilanswer
 

Mais comment on fait ça  :??:


---------------
iteme.free.fr | Mon feedback
n°269863
HuGoBioS
Posté le 29-05-2003 à 11:45:08  profilanswer
 

sous windows je sais pas ...
essaye de poster sur Soft & Reseau, celà dit je rapelel qu'il est interdit de traité de P2P sur ladite section


---------------
-= In Kik00 101 I trust :o =-
n°276357
ITM
Avatar peint à la main
Posté le 11-06-2003 à 22:31:02  profilanswer
 

Dégouté, j'ai testé eMule sous Win
Aucun problème de LowID sur mon ordi...
C'est bien Linux qui bloque le port...
une idée?


---------------
iteme.free.fr | Mon feedback
n°276360
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 11-06-2003 à 22:32:41  profilanswer
 

pilou51 a écrit :

quelles docs ? celles d'iptables ? ahah trouve moi une personne qui l'ait lue en entier...
 
Merci pour les réponses constructives qui font bien avancer...


On m'appelle ?
 [:zerod]

n°276388
tron20
Posté le 11-06-2003 à 22:57:06  profilanswer
 

tout est dit ds le dernier :
 
Linux LOader.
 
 
et puis pour ceux qui se prennent encore la tete sur la synthaxe Iptable .. y'a firewall builder (Fwbuilder) ou il est juste necessaire de savoir ce qu'on veut faire en ip pour appliquer n'importe quel policy en 4 clics et 1 : sh script_generer ...
 
y'en a qui aime se faire mal sur ce forum.,  ;)


---------------
Asrock conroe 945g-dvi
n°276878
ITM
Avatar peint à la main
Posté le 12-06-2003 à 18:47:38  profilanswer
 

personne n'a d'idée pour mon prob?


---------------
iteme.free.fr | Mon feedback
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
 

Sujets relatifs
probleme squidProblème de cloture de session en xinerama
Probleme pour installer mplayer rc4[ Mandrake 9.1 ] Probleme a l'install ( incompatible Radeon900pro ?? )
Probleme au boot[RESOLU] Problème pour se déconnecter ou pour arreter la machine ...
[apache] petit probleme de conf[MacOS X] Gros problème de navigateur
Problème entre bewan ADSL PCI ST et le serveur DHCP de mandrake 9.0 
Plus de sujets relatifs à : Problème des LowID


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR