bonjour,
voila, j'ai un serveur 2000 (
) ) sur mon lan et des clients en XP (
) )
par contre, j'ai un routeur en linux (2.4.19)
Mon script de firewall iptables fonctionne bien, tellement bien que j'avais prevu un blocage du spoofing.
je met les passages du script important :
$IPT -P INPUT DROP # drop
$IPT -P FORWARD ACCEPT #drop
$IPT -P OUTPUT ACCEPT #accept
...
$IPT -A INPUT -i $WAN_NIC -s 192.168.0.0/16 -j spoofing
$IPT -A FORWARD -i $WAN_NIC -s 192.168.0.0/16 -j spoofing
$IPT -A OUTPUT -o $WAN_NIC -d 192.168.0.0/16 -j spoofing
...
$IPT -t nat -A POSTROUTING -s $LAN -j MASQUERADE
$IPT -A FORWARD -i $LAN_NIC -s $LAN -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
...
echo "port 1723 accept"
$IPT -A FORWARD -j ACCEPT -p tcp --dport 1723 #pptp
$IPT -A INPUT -j ACCEPT -i $WAN_NIC -p tcp --dport 1723 #pptp
$IPT -A PREROUTING -t nat -i $WAN_NIC -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.1:1723 # forward port vnc
#routage GRE
$IPT -A FORWARD -p gre -j ACCEPT
$IPT -t nat -A POSTROUTING -p gre -j ACCEPT
$IPT -t nat -A PREROUTING -p gre -j ACCEPT
$IPT -A PREROUTING -t nat -i $WAN_NIC -p gre -j DNAT --to 192.168.0.1
...
et quand je lance une connexion pptp depuis client XP, j'ai des messages de spoofing venant de l'adresse ip locale de mon pc distant (connecté derriere 9box donc 192.168.1.2 Mon lan (avec le serveur 2000) est en 192.168.0.0/24
A savoir :
Sep 2 10:05:15 routeur kernel: martian source aa.bb.cc.dd from 192.168.1.2, on dev ppp0
Sep 2 10:05:15 routeur kernel: ll header: 45:08:00:28:19:7d:40:00
Sep 2 10:05:57 routeur kernel: martian source aa.bb.cc.dd from 192.168.1.2, on dev ppp0
Sep 2 10:05:57 routeur kernel: ll header: 45:08:00:28:1b:d8:40:00
(aa.bb.cc.dd = mon ip publique coté serveur)
PS :
PC client XP > 9BOX__________> Internet >_________Routeur linux > Serveur 2000
192.168.1.2 > 192.168.1.1 / ee.ff.gg.hh > aa.bb.cc.dd / 192.168.0.10 > 192.168.0.1
Erreur pptp : erreur 800. il se connecte mais verification du passwd marche pas;
J'aimerais savoir ce qu'il me manque; ce que je dois faire au niveau de mon script de firewall.
Merci beaucoup
--- Stéphane ---
Poste le Saturday 2 September 2006 11:29:53