Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1451 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  regles iptables, vous en pensez koi ? (script...)

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

regles iptables, vous en pensez koi ? (script...)

n°209340
disconect
Posté le 09-01-2003 à 23:29:57  profilanswer
 

EDIT: C BON PLUS DE PROBLEME :D
 

Chain INPUT (policy DROP)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere           state NEW,ESTABLISHED tcp dpt:www  
ACCEPT     tcp  --  anywhere             anywhere           state NEW,ESTABLISHED tcp dpt:ssh  
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere           tcp spts:1024:65535 dpt:ssh  
 
Chain FORWARD (policy DROP)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  192.168.0.0/24       anywhere            
ACCEPT     all  --  anywhere             anywhere            
 
Chain OUTPUT (policy DROP)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere           state NEW,ESTABLISHED tcp dpt:www  
ACCEPT     tcp  --  anywhere             anywhere           state NEW,ESTABLISHED tcp dpt:ssh  
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            


 
Je viens de decouvrir iptables, pour moi tt fonctionne le nat & co, reste plus qu'a configurer mon serveur ssh....
Bon seulement, ces regles,j'ai l'impression que c'est pas tres tres secure tt ça :/
 
Help pliz  :hello:
 
 
edit: en fait le ssh est bloque :(


Message édité par disconect le 10-01-2003 à 22:12:06
mood
Publicité
Posté le 09-01-2003 à 23:29:57  profilanswer
 

n°209342
udok
La racaille des barbus ©clémen
Posté le 09-01-2003 à 23:45:05  profilanswer
 

ça m'a pas l'air terrible tout ça [:joce]
tu as plein de truc redondant
tu as fait comment pour obtenir ça ? un fichier script ?
montre le le cas échéant

n°209361
Aragorn_1e​r
Le jihad butlérian est proche
Posté le 10-01-2003 à 01:28:28  profilanswer
 

disconect a écrit :

Chain INPUT (policy DROP)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere           state NEW,ESTABLISHED tcp dpt:www  
ACCEPT     tcp  --  anywhere             anywhere           state NEW,ESTABLISHED tcp dpt:ssh  
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere           tcp spts:1024:65535 dpt:ssh  
 
Chain FORWARD (policy DROP)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  192.168.0.0/24       anywhere            
ACCEPT     all  --  anywhere             anywhere            
 
Chain OUTPUT (policy DROP)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere           state NEW,ESTABLISHED tcp dpt:www  
ACCEPT     tcp  --  anywhere             anywhere           state NEW,ESTABLISHED tcp dpt:ssh  
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            


 
Je viens de decouvrir iptables, pour moi tt fonctionne le nat & co, reste plus qu'a configurer mon serveur ssh....
Bon seulement, ces regles,j'ai l'impression que c'est pas tres tres secure tt ça :/
 
Help pliz  :hello:
 
 
edit: en fait le ssh est bloque :(


 
 
Salut,
 
Pour ceux qui ne ci connaisse pas trop en iptables ( j'en fait partis :) ) y a un super script : http://monmotha.mplug.org/firewall/index.php
 
facile a configurerai et tu peux faire tout les trucs de base, sans te prendre la tête, mais bon c + instructif de faire son script soi même.
 
A+

n°209389
disconect
Posté le 10-01-2003 à 07:34:58  profilanswer
 

udok a écrit :

ça m'a pas l'air terrible tout ça [:joce]
tu as plein de truc redondant
tu as fait comment pour obtenir ça ? un fichier script ?
montre le le cas échéant

bah j'ai mate plusieurs tutorial so....j'ai refait plusieurs fois la meme chose.....bon....koi donc j'enleve, etc..?  [:twixy]  :jap:

n°209393
disconect
Posté le 10-01-2003 à 08:45:04  profilanswer
 

Aragorn_1er a écrit :


 
 
Salut,
 
Pour ceux qui ne ci connaisse pas trop en iptables ( j'en fait partis :) ) y a un super script : http://monmotha.mplug.org/firewall/index.php
 
facile a configurerai et tu peux faire tout les trucs de base, sans te prendre la tête, mais bon c + instructif de faire son script soi même.
 
A+
 


 :jap: J'essairais ça ce soir, tu te sers de ce script ?
Si oui, pourrais tu faire un test de securite chez securityspace.com (gratuit, y a juste une chtite inscription qui dure 3 sec.) et me dire combien t'obtient ?
 
Merci bcp d'avance  :jap:  :hello:

n°209399
le passant
Posté le 10-01-2003 à 09:47:20  profilanswer
 

Euh, ton script est une véritable passoire...
 
Met le en clair ici et on pourra plus facilement t'aider.
 
Le passant.

n°209433
disconect
Posté le 10-01-2003 à 11:33:11  profilanswer
 

Le passant a écrit :

Euh, ton script est une véritable passoire...
 
Met le en clair ici et on pourra plus facilement t'aider.
 
Le passant.

j'ai pas de script, j'ai juste fait ça à l'arrche hier soir [:dawa]. De tte maniere, la passerelle est eteinte actuellement , tant que ce sera pas secure :D
Ce soir vais essayer le script qui est sur l'url donnée plus haut, t'en pense koi ?
 

n°209445
Aragorn_1e​r
Le jihad butlérian est proche
Posté le 10-01-2003 à 11:46:00  profilanswer
 

disconect a écrit :


 :jap: J'essairais ça ce soir, tu te sers de ce script ?
Si oui, pourrais tu faire un test de securite chez securityspace.com (gratuit, y a juste une chtite inscription qui dure 3 sec.) et me dire combien t'obtient ?
 
Merci bcp d'avance  :jap:  :hello:  


 
Bien sur que c sécuriser pas comme ton hum hum de script :), j'ai quand même essayer le test de ton site et il ne m a rien trouver ...

n°209448
disconect
Posté le 10-01-2003 à 11:52:00  profilanswer
 

Aragorn_1er a écrit :


 
Bien sur que c sécuriser pas comme ton hum hum de script :), j'ai quand même essayer le test de ton site et il ne m a rien trouver ...
 

il t'a rien trouve ? cad:
- qu'a tu comme serveur qui tourne ?
et combien en pourcentage il t'as mis ?
et surtout quelle version du script t'utilises,  
je pense que je vais utiliser la derniere (beta) car la stable date d'un an :/
 
Merci encore pr l'url  :jap:

n°209454
Aragorn_1e​r
Le jihad butlérian est proche
Posté le 10-01-2003 à 12:00:10  profilanswer
 

disconect a écrit :

il t'a rien trouve ? cad:
- qu'a tu comme serveur qui tourne ?
et combien en pourcentage il t'as mis ?
et surtout quelle version du script t'utilises,  
je pense que je vais utiliser la derniere (beta) car la stable date d'un an :/
 
Merci encore pr l'url  :jap:  


 
Rien de rien, a par les 2 ,3 services que j'ai ouvert sur ma machine en me disant vous avez un serveur web patati patata ....
Mais tu peux utiliser sans pbs la dernier version du script ( c celle que j utilise )
Prochainement ( le dev du script n est po tres rapide ) sera releasé la version 2.4 du script si ca peux te rassurer ...
 
A+

mood
Publicité
Posté le 10-01-2003 à 12:00:10  profilanswer
 

n°209459
disconect
Posté le 10-01-2003 à 12:06:45  profilanswer
 

Aragorn_1er a écrit :


 
Rien de rien, a par les 2 ,3 services que j'ai ouvert sur ma machine en me disant vous avez un serveur web patati patata ....
Mais tu peux utiliser sans pbs la dernier version du script ( c celle que j utilise )
Prochainement ( le dev du script n est po tres rapide ) sera releasé la version 2.4 du script si ca peux te rassurer ...
 
A+

oki :)
suis en train de lire le mode d'emploi, vraiment EXCELLENT comme script   :hello:

n°209463
le passant
Posté le 10-01-2003 à 12:14:34  profilanswer
 

disconect a écrit :

j'ai pas de script, j'ai juste fait ça à l'arrche hier soir [:dawa]. De tte maniere, la passerelle est eteinte actuellement , tant que ce sera pas secure :D
Ce soir vais essayer le script qui est sur l'url donnée plus haut, t'en pense koi ?


 
Il semble très bien, un poil compliqué pour essayer de comprendre ce qui s'y passe, mais très complet.
Même si certaine choses peuvent être mieux faites (dans le cas particulier de l'utilisation que j'en ferait, mais comme c'est quelquechose de perso...).
 
Vas-y, lances-toi, tu pourra apprendre à le comprendre, tout en surfant secure, avant de poser un script plus... enfin mieux que ce que tu as fait hier soir  :D .
 
Le passant.

n°209470
Aragorn_1e​r
Le jihad butlérian est proche
Posté le 10-01-2003 à 12:22:43  profilanswer
 

Pour apprendre il suffit o debut du script de rajoute : "set -x"
apres tu matte le resultat sur la sortie erreur puis tu fait un grep /sbin/iptables
 
ca te permet de voir toutes les commandes iptables que le script generes, y a pu k faire un man apres pour voir a koi correspondent chaque lignes !
 
A+

n°209709
disconect
Posté le 10-01-2003 à 19:44:14  profilanswer
 

heu....j'ai configurer mon script etc...,
je fais un

chmod +x iptabscript


puis un  

bash iptabscript


 
et


: command not found74:
: command not found84:
: command not found08:
: command not found13:
: command not found19:
: command not found30:
: command not found33:
: command not found34:
: command not found42:
: command not found49:
: command not found53:
: command not found58:
Loading iptables firewall:
: command not found61:
: command not found64:
'ptabscript: line 522: syntax error near unexpected token 'do
'ptabscript: line 522:'          for dev in ${LAN_IFACE} ; do
 


 
idem si je ne le configure pas .....
heu.....c'est pas avec

bash lenomduscript


qu'on execute un script ?  [:quannum] (ça fait pareil avec sh).
 
Version de Bash 2.05b.0(1)-release


Message édité par disconect le 10-01-2003 à 19:44:39
n°209712
Aragorn_1e​r
Le jihad butlérian est proche
Posté le 10-01-2003 à 19:47:48  profilanswer
 

Question bete tu as bien iptables d'installer? -> apt-get install iptables , et tout les modules iptables dans le noyau compiler ?
 
y a pas d'autres messages d'erreur ?
t sur d avoir remplie correctement le script ?
 
A+

n°209719
disconect
Posté le 10-01-2003 à 19:55:09  profilanswer
 

Aragorn_1er a écrit :

Question bete tu as bien iptables d'installer? -> apt-get install iptables , et tout les modules iptables dans le noyau compiler ?
 
y a pas d'autres messages d'erreur ?
t sur d avoir remplie correctement le script ?
 
A+

heu oui  [:ddr555]  
alors les differentes etapes:
apt-get install kernel-imagemachine 2.4.20
 
puis j'ai mater iptables, pas de pb,
j'ai loader des modules de iptables donc je pense avoir fait ce qu'il fallait  :??:

n°209723
Aragorn_1e​r
Le jihad butlérian est proche
Posté le 10-01-2003 à 19:58:26  profilanswer
 

disconect a écrit :

heu oui  [:ddr555]  
alors les differentes etapes:
apt-get install kernel-imagemachine 2.4.20
 
puis j'ai mater iptables, pas de pb,
j'ai loader des modules de iptables donc je pense avoir fait ce qu'il fallait  :??:  


 
bah balance la partie config du script alors , car je pense que t a plutot mis un espace a un mauvais endroit ou quelque chose comme ca!
 
A+

n°209742
disconect
Posté le 10-01-2003 à 20:35:26  profilanswer
 

Aragorn_1er a écrit :


 
bah balance la partie config du script alors , car je pense que t a plutot mis un espace a un mauvais endroit ou quelque chose comme ca!
 
A+

heu...ça fait exactement la meme chose si je ne modifie pas le script enfin je balance qd meme
 


# Main Options
IPTABLES="/usr/sbin/iptables"
TCP_ALLOW="22"
UDP_ALLOW=""
INET_IFACE="ppp0"
LAN_IFACE="eth1"
INTERNAL_LAN="192.168.0.0/24"
MASQ_LAN="192.168.0.0/24"
SNAT_LAN=""
DROP="TREJECT"
DENY_ALL=""
DENY_HOSTWISE_TCP=""
DENY_HOSTWISE_UDP=""
BLACKHOLE=""
BLACKHOLE_DROP="DROP"
ALLOW_HOSTWISE_TCP=""
ALLOW_HOSTWISE_UDP=""
TCP_FW=""
UDP_FW=""
MANGLE_TOS_OPTIMIZE="FALSE"
DHCP_SERVER="FALSE"
BAD_ICMP="5 9 10 15 16 17 18"
ENABLE="Y"


 
 [:spamafote]
 
voici un lsmod aussi:

Module                  Size  Used by    Not tainted
ipt_MASQUERADE          1272   2  (autoclean)
ipt_state                568   0  (autoclean)
iptable_mangle          2224   0  (unused)
ip_conntrack_irc        2992   1  (autoclean)
ip_nat_irc              2288   0  (unused)
ip_conntrack_ftp        3760   1  (autoclean)
ip_nat_ftp              2864   0  (unused)
iptable_nat            14552   3  [ipt_MASQUERADE ip_nat_irc ip_nat_ftp]
ip_conntrack           16672   4  [ipt_MASQUERADE ipt_state ip_conntrack_irc ip_nat_irc ip_conntrack_ftp ip_nat_ftp iptable_nat]
iptable_filter          1668   0  (autoclean)
ip_tables              10616   7  [ipt_MASQUERADE ipt_state iptable_mangle iptable_nat iptable_filter]
ppp_deflate             2904   0  (autoclean)
zlib_deflate           17688   0  (autoclean) [ppp_deflate]
bsd_comp                4024   0  (autoclean)
eepro100               17940   1  
mii                     2352   0  [eepro100]
3c509                  10420   1  
isa-pnp                28164   0  [3c509]
af_packet              11720   3  (autoclean)
ppp_async               6432   1  (autoclean)
ppp_generic            19360   3  (autoclean) [ppp_deflate bsd_comp ppp_async]
slhc                    4560   0  (autoclean) [ppp_generic]
smbfs                  32592   1  
rtc                     5884   0  (autoclean)
ext2                   31520   1  (autoclean)
ext3                   57440   0  (autoclean)
jbd                    36136   0  (autoclean) [ext3]
ide-disk                9376   2  (autoclean)
ide-probe-mod           8656   0  (autoclean)
ide-mod               151624   2  (autoclean) [ide-disk ide-probe-mod]
unix                   13512   6  (autoclean)


Message édité par disconect le 10-01-2003 à 20:37:11
n°209757
Aragorn_1e​r
Le jihad butlérian est proche
Posté le 10-01-2003 à 20:55:02  profilanswer
 

Ah effectivement le script a l'air d'etre bugger, prends la version precedente alors !
il doit y avoir un pbs au niveau du retour a la ligne sur certaines commandes, genre la ligne qui depasse une ligne ce mes sur deux lignes et ca pause des pbs ...

n°209762
disconect
Posté le 10-01-2003 à 20:57:57  profilanswer
 

Aragorn_1er a écrit :

Ah effectivement le script a l'air d'etre bugger, prends la version precedente alors !
il doit y avoir un pbs au niveau du retour a la ligne sur certaines commandes, genre la ligne qui depasse une ligne ce mes sur deux lignes et ca pause des pbs ...
 

ça te le fait aussi ?

n°209768
Aragorn_1e​r
Le jihad butlérian est proche
Posté le 10-01-2003 à 21:01:42  profilanswer
 

oui , probleme de transfert de fichier peut etre !

n°209771
disconect
Posté le 10-01-2003 à 21:06:46  profilanswer
 

yep c'etait le transfert de fichier, là je l'ai directement sauver à partir de lynx, et now, il me dit juste
"error, could not find /usr/bin/iptables" [:dawa]
 
reste qu'a trouver le chemin de iptables :D

n°209777
disconect
Posté le 10-01-2003 à 21:18:23  profilanswer
 

a y est, firewall loade :)
bon now, configuration du serveur ssh et go to security space :D

n°209801
Profil sup​primé
Posté le 10-01-2003 à 21:57:36  answer
 

je connais iptables, peux-tu mettre la sortie de ton :
iptables-save

n°209808
disconect
Posté le 10-01-2003 à 22:11:32  profilanswer
 

yewsef a écrit :

je connais iptables, peux-tu mettre la sortie de ton :
iptables-save

:jap: merci mais je viens d'utiliser un pure-script , tt est nikel now  :hello:

n°209814
Profil sup​primé
Posté le 10-01-2003 à 22:19:06  answer
 

ok j'espere pour toi que tu nas pas laissé dans les chaines des lignes telles ecrites ds ton 1er post :  
ACCEPT     all  --  anywhere             anywhere
 
...

n°209829
disconect
Posté le 10-01-2003 à 22:47:57  profilanswer
 

yewsef a écrit :

ok j'espere pour toi que tu nas pas laissé dans les chaines des lignes telles ecrites ds ton 1er post :  
ACCEPT     all  --  anywhere             anywhere
 
...
 


 [:ddr555]  
voilà ce qu'il m'a genere le script:

Chain INPUT (policy DROP)
target     prot opt source               destination          
INETIN     all  --  anywhere             anywhere            
ACCEPT     all  --  192.168.0.0/24       anywhere            
ACCEPT     all  --  anywhere             anywhere            
 
Chain FORWARD (policy DROP)
target     prot opt source               destination          
INETIN     all  --  anywhere             anywhere            
INETOUT    all  --  anywhere             anywhere            
ACCEPT     all  --  192.168.0.0/24       anywhere            
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination          
INETOUT    all  --  anywhere             anywhere            
 
Chain DMZIN (0 references)
target     prot opt source               destination          
 
Chain DMZOUT (0 references)
target     prot opt source               destination          
 
Chain INETIN (2 references)
target     prot opt source               destination          
TREJECT    all  --  anywhere             anywhere           state INVALID  
TREJECT    icmp --  anywhere             anywhere           icmp redirect  
TREJECT    icmp --  anywhere             anywhere           icmp router-advertisement  
TREJECT    icmp --  anywhere             anywhere           icmp router-solicitation  
TREJECT    icmp --  anywhere             anywhere           icmp type 15  
TREJECT    icmp --  anywhere             anywhere           icmp type 16  
TREJECT    icmp --  anywhere             anywhere           icmp address-mask-request  
TREJECT    icmp --  anywhere             anywhere           icmp address-mask-reply  
ACCEPT     icmp --  anywhere             anywhere           icmp echo-request limit: avg 1/sec burst 5  
TREJECT    icmp --  anywhere             anywhere           icmp echo-request  
ACCEPT     icmp --  anywhere             anywhere           icmp !echo-request  
TCPACCEPT  tcp  --  anywhere             anywhere           tcp dpt:ssh  
ACCEPT     all  --  anywhere             anywhere           state ESTABLISHED  
TCPACCEPT  tcp  --  anywhere             anywhere           tcp dpts:1024:65535 state RELATED  
UDPACCEPT  udp  --  anywhere             anywhere           udp dpts:1024:65535 state RELATED  
TREJECT    all  --  anywhere             anywhere            
 
Chain INETOUT (2 references)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere            
 
Chain LDROP (0 references)
target     prot opt source               destination          
LOG        tcp  --  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level info prefix `TCP Dropped '  
LOG        udp  --  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level info prefix `UDP Dropped '  
LOG        icmp --  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level info prefix `ICMP Dropped '  
LOG        all  -f  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level warning prefix `FRAGMENT Dropped '  
DROP       all  --  anywhere             anywhere            
 
Chain LREJECTLTREJECT (0 references)
target     prot opt source               destination          
 
Chain TCPACCEPT (2 references)
target     prot opt source               destination          
ACCEPT     tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN limit: avg 20/sec burst 5  
LOG        tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN limit: avg 2/sec burst 5 LOG level warning prefix `Possible SynFlood '  
TREJECT    tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN  
ACCEPT     tcp  --  anywhere             anywhere           tcp flags:!SYN,RST,ACK/SYN  
LOG        all  --  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level warning prefix `Mismatch in TCPACCEPT '  
TREJECT    all  --  anywhere             anywhere            
 
Chain TREJECT (13 references)
target     prot opt source               destination          
REJECT     tcp  --  anywhere             anywhere           reject-with tcp-reset  
REJECT     udp  --  anywhere             anywhere           reject-with icmp-port-unreachable  
DROP       icmp --  anywhere             anywhere            
REJECT     all  --  anywhere             anywhere           reject-with icmp-port-unreachable  
 
Chain UDPACCEPT (1 references)
target     prot opt source               destination          
ACCEPT     udp  --  anywhere             anywhere            
LOG        all  --  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level warning prefix `Mismatch on UDPACCEPT '  
TREJECT    all  --  anywhere             anywhere            
 
Chain ULDROP (0 references)
target     prot opt source               destination          
ULOG       tcp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_TCP' queue_threshold 1  
ULOG       udp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_UDP' queue_threshold 1  
ULOG       icmp --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_ICMP' queue_threshold 1  
ULOG       all  -f  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_FRAG' queue_threshold 1  
DROP       all  --  anywhere             anywhere            
 
Chain ULREJECT (0 references)
target     prot opt source               destination          
ULOG       tcp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_TCP' queue_threshold 1  
ULOG       udp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_UDP' queue_threshold 1  
ULOG       icmp --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_UDP' queue_threshold 1  
ULOG       all  -f  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_FRAG' queue_threshold 1  
REJECT     all  --  anywhere             anywhere           reject-with icmp-port-unreachable  
 
Chain ULTREJECT (0 references)
target     prot opt source               destination          
ULOG       tcp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_TCP' queue_threshold 1  
ULOG       udp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_UDP' queue_threshold 1  
ULOG       icmp --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_ICMP' queue_threshold 1  
ULOG       all  -f  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_FRAG' queue_threshold 1  
REJECT     tcp  --  anywhere             anywhere           reject-with tcp-reset  
REJECT     udp  --  anywhere             anywhere           reject-with icmp-port-unreachable  
DROP       icmp --  anywhere             anywhere            
REJECT     all  --  anywhere             anywhere           reject-with icmp-port-unreachable  

n°222832
djmacou
Posté le 12-02-2003 à 10:24:44  profilanswer
 

Juste une chtite question puisqu'on parle¨d'iptables..
 
Voilà, je voudrait m'en servir pour partager ma connexion adsl surmon reseau mais ca marche pas....
 
Ma config : poste sous linux (Xandrso, noyau 2.4.x) connecté à l'adsl par un speedtouch...L'adresse de se poste est 192.168.0.1/24.  
 
Les autres poste du réseaux son sous Win XP avec comme @ IP 192.168.0.2/24 et un autre en 192.168.0.3/24. Pour c deux postes la passerelle est 192.168.0.1 et le dns primaire 192.168.0.1.
 
Donc du coté client la configuration est bonne (enfin selon moi)
 
pour activer le partage de connection par iptables j'ai tapper en tant que root
 

Citation :

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE


 
Et après ca nemarche pas :??: pourtant pas de message d'erreur...
 
Si je ping d'un client une IP publique celle de yahoo par exemple, je n'obtient pas de réponse.....
 
est ce que j'ai configuré qqchose de travers ou est ce que j'ai oublié qqchose :??:


---------------
Linux n'est pas un OS alternatif,  Windows est un OS alternatif!!!!
n°222842
the_fireba​ll
I have fucking failed
Posté le 12-02-2003 à 11:18:59  profilanswer
 

yewsef a écrit :

ok j'espere pour toi que tu nas pas laissé dans les chaines des lignes telles ecrites ds ton 1er post :  
ACCEPT     all  --  anywhere             anywhere
 
...
 


 
faut arreter de psychoter sur ce genre de ligne. Suffit que tu rajoutes une entrée iptables du style
 
iptables -A INPUT -i lo -j ACCEPT
 
pour que ACCEPT     all  --  anywhere             anywhere apparaissent dans la sortie de iptables -L INPUT
 
et pourtant ça n'a pas compromis la securité sur les autres interfaces, genre ppp0


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
n°222904
le passant
Posté le 12-02-2003 à 12:19:33  profilanswer
 

djmacou > Quelles sont tes autres règles ???
C'est peut-être de la que provient ton problème.
 
Sinon, tu as essayé sans préciser le -s (même si je n'imagine pas du tout pourquoi ceci poserai un soucis).
 
Le passant.

n°222939
djmacou
Posté le 12-02-2003 à 13:21:57  profilanswer
 

Le passant====> Je n'ai pas établis d'autres règle  :whistle:  
En fait je suis un débutant sous Linux. Je viens de virer windows et je me casse à essayer de faire tourner Linux....
 
J'ai choper cette commande sur le site toolinux.com et je penssait que pour activer le partage c'était suffisant apparement je me suis tromper..non?
 
Non je n'ai pas essayer sans le "-s" ( je sais meme pas ce qu'il veut dire). Bon j'ai compris ce que en gros voulais dire la ligne que j'ai tapé quand meme, mais les -s, -j etc.. je sais pas ce que sais.....
 

n°223145
le passant
Posté le 12-02-2003 à 16:57:44  profilanswer
 

Bon, cette règle toute seule ne peut pas fonctionner.
Elle doit faire partie de tout un ensemble cohérant.
 
Chez toi, il est possible que tes policy soient à DROP (règles par défaut). Dans ce cas, rien ne peu fonctionner.
Ton  nat est ok, mais après les packets sont droppés, donc soucis...
 
Je ne saurais trop te conseiller de regarder tous les topics qui existent sur le sujet ici (fait une recherche sur mon nick, j'ai fait comme toi aussi :) ).
Ainsi qu'a aller chercher de l'aide sur les divers How-to sur le net (un très bon que j'adore : http://www.netfilter.org/documenta [...] html#INTRO , mais bon c'est en anglais aussi).
 
Quitte à revenir plus tard si tu n'es toujours pas sûr et on pourra affiner tout ça à ce moment (moi ou un autre...).
 
Ta question me semble un peu "prématuré" pour l'instant (vu l'état de tes connaissances et sans être méchant, si on ne parle pas le même langage, comment ce comprendre ???).
 
Et puis pense à créer ton petit topic, ce sera un peu plus simple ainsi  :) !
 
Le passant.


Message édité par le passant le 12-02-2003 à 16:58:19
n°223231
djmacou
Posté le 12-02-2003 à 20:09:48  profilanswer
 

Le passant merci beaucoup pour tous tes conseils..... :jap:
 
C sur il faut parler le même langage ( je vais bosser la dessus)
 
J'ai hesiter à creer un topic pour mon pb mais comme il y en a dejà bcp sur iptables je voulais pas pourrir le forum de mes petit pb (y en a d'autre   :D )

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  regles iptables, vous en pensez koi ? (script...)

 

Sujets relatifs
[IPTABLES] discard daytime smtp time, à fermer ?[aide pour ptit script en bash!]
configurer un firewall avec iptablesprobleme de partage de connection avec iptables
un peu d'aide : iptables !Petite question sur une règle Iptables...
cherche :un script qui me mailerai mon ip a chaque reconnexionQuestion de stratégie Iptables ....
make xconfig & red hat 8 : pas de règles ...Alerte iptables sur ip de la classe 10.X.X.X
Plus de sujets relatifs à : regles iptables, vous en pensez koi ? (script...)


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR