Conversation
precedente ou
suivante
piti pb de partage
Envoyé par:
lululaglue
bonjour,
J'ai 2 pc en reseau, l'un sous knoppix et l'autre sous win2k. Sur mon pc sous knoppix j'ai un modem alcatel speedtouch, m'a connection internet fonction bien,j'ai voulu la partager en suivant la methode de lea-linux.org j'ai donc créer 2 fichiers
/usr/bin/startfirewall
Code:
#! /bin/sh
IPTABLES=/sbin/iptables
EXTERNAL_IF="ppp0"
INTERNAL_IF="eth0"
# modprobe ip_conntrack_ftp
# modprobe ip_conntrack_irc
# DefaultPolicy
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
# Traffic loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A FORWARD -i lo -j ACCEPT
$IPTABLES -A FORWARD -o lo -j ACCEPT
# Traffic reseau local
$IPTABLES -A INPUT -i $INTERNAL_IF -j ACCEPT
$IPTABLES -A OUTPUT -o $INTERNAL_IF -j ACCEPT
$IPTABLES -A FORWARD -i $INTERNAL_IF -j ACCEPT
$IPTABLES -A FORWARD -o $INTERNAL_IF -j ACCEPT
# Log des paquets droppés
$IPTABLES -A LOG_DROP -j LOG --log-prefix "[IPT] "
$IPTABLES -A LOG_DROP -j DROP
# Partage de la connection
echo 1 > /proc/sys/net/ipv4/ip_forward
# Activation du NAT
$IPTABLES -A POSTROUTING -t nat -o $EXTERNAL_IF -j MASQUERADE
# Régles de filtrage du firewall
$IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
/usr/bin/stopfirewall
Code:
#! /bin/sh
# Arret du pare feu
IPTABLES=/sbin/iptables
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -t nat -F postrouting
$IPTABLES -F LOG_DROP
$IPTABLES -X
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
rmmod 'lsmod | grep -E "^ip" | cut -d" " -f 1'
si j'execute le fichier startfirewall ma connection est bien partagée, et mon poste sous windows à accés à internet, mais a acces à tout ??? (ping, web, cs, ...) alors ke normallement il devrait avoir accces que au web et dns, par contre mon pc son nunux lui n'a plus accès à rien...
suite à ca si j'execute le fichier stopfirewall, tout rentre dans l'ordre, mon pc sous nunux à de nouveau accès à internet (web, amsn, xmule, ...) et le poste windows ni à plus accés (logique)
ou ais je fais une erreur dans mes fichiers de config ou qu'est ce que j'ai oublier ???
merci pour tout
J'ai 2 pc en reseau, l'un sous knoppix et l'autre sous win2k. Sur mon pc sous knoppix j'ai un modem alcatel speedtouch, m'a connection internet fonction bien,j'ai voulu la partager en suivant la methode de lea-linux.org j'ai donc créer 2 fichiers
/usr/bin/startfirewall
Code:
#! /bin/sh
IPTABLES=/sbin/iptables
EXTERNAL_IF="ppp0"
INTERNAL_IF="eth0"
# modprobe ip_conntrack_ftp
# modprobe ip_conntrack_irc
# DefaultPolicy
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
# Traffic loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A FORWARD -i lo -j ACCEPT
$IPTABLES -A FORWARD -o lo -j ACCEPT
# Traffic reseau local
$IPTABLES -A INPUT -i $INTERNAL_IF -j ACCEPT
$IPTABLES -A OUTPUT -o $INTERNAL_IF -j ACCEPT
$IPTABLES -A FORWARD -i $INTERNAL_IF -j ACCEPT
$IPTABLES -A FORWARD -o $INTERNAL_IF -j ACCEPT
# Log des paquets droppés
$IPTABLES -A LOG_DROP -j LOG --log-prefix "[IPT] "
$IPTABLES -A LOG_DROP -j DROP
# Partage de la connection
echo 1 > /proc/sys/net/ipv4/ip_forward
# Activation du NAT
$IPTABLES -A POSTROUTING -t nat -o $EXTERNAL_IF -j MASQUERADE
# Régles de filtrage du firewall
$IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
/usr/bin/stopfirewall
Code:
#! /bin/sh
# Arret du pare feu
IPTABLES=/sbin/iptables
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -t nat -F postrouting
$IPTABLES -F LOG_DROP
$IPTABLES -X
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
rmmod 'lsmod | grep -E "^ip" | cut -d" " -f 1'
si j'execute le fichier startfirewall ma connection est bien partagée, et mon poste sous windows à accés à internet, mais a acces à tout ??? (ping, web, cs, ...) alors ke normallement il devrait avoir accces que au web et dns, par contre mon pc son nunux lui n'a plus accès à rien...
suite à ca si j'execute le fichier stopfirewall, tout rentre dans l'ordre, mon pc sous nunux à de nouveau accès à internet (web, amsn, xmule, ...) et le poste windows ni à plus accés (logique)
ou ais je fais une erreur dans mes fichiers de config ou qu'est ce que j'ai oublier ???
merci pour tout
Poste le Tuesday 28 October 2003 18:03:24
Re: piti pb de partage
Envoyé par:
Philippe
dans l'ordre.
Ton pc windows a accés à tout puisqu'il n'y a pas de filtrage ni pour le forward, ni pour le nat.
Personnellement je mettrais à la place de :
$IPTABLES -A POSTROUTING -t nat -o $EXTERNAL_IF -j MASQUERADE
ceci:
$IPTABLES -A POSTROUTING -t nat -o $EXTERNAL_IF -p tcp --dport 80-j MASQUERADE
$IPTABLES -A POSTROUTING -t nat -o $EXTERNAL_IF -p udp --dport 53 -j MASQUERADE
Deuxième problème:
ton pc nunux n'a accés à rien car il n'a pas accés aux DNS qui sont en protocole UDP !!!
remplacer les lignes:
$IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
par
$IPTABLES -A INPUT -i $EXTERNAL_IF -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTERNAL_IF -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
En théorie il faudrait aussi accepter le tcp pour ces ports.. puisque le DNS utilise le tcp pour des requêtes longues. En pratique, J'utilise ce filtrage uniquement avec udp sans aucun problèmes depuis bien longtemps.
Ton pc windows a accés à tout puisqu'il n'y a pas de filtrage ni pour le forward, ni pour le nat.
Personnellement je mettrais à la place de :
$IPTABLES -A POSTROUTING -t nat -o $EXTERNAL_IF -j MASQUERADE
ceci:
$IPTABLES -A POSTROUTING -t nat -o $EXTERNAL_IF -p tcp --dport 80-j MASQUERADE
$IPTABLES -A POSTROUTING -t nat -o $EXTERNAL_IF -p udp --dport 53 -j MASQUERADE
Deuxième problème:
ton pc nunux n'a accés à rien car il n'a pas accés aux DNS qui sont en protocole UDP !!!
remplacer les lignes:
$IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
par
$IPTABLES -A INPUT -i $EXTERNAL_IF -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTERNAL_IF -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
En théorie il faudrait aussi accepter le tcp pour ces ports.. puisque le DNS utilise le tcp pour des requêtes longues. En pratique, J'utilise ce filtrage uniquement avec udp sans aucun problèmes depuis bien longtemps.
Poste le Wednesday 29 October 2003 03:59:45
Ce forum !
piti pb de partage
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons