masquage classique

par **gregos** » 14 Avr 2004 09:40

Boujour a tous

Nouvo avec MNF depuis ce WE, voila ma question qui va parraitre tres recurente mais bon, j'ai besoin de savoir.
Ma connection fonctionne sur le net de mes deux postes clients par contre seulement avec un proxy manuel. Si je passe en transparent, il faut quand mm que je configure mon navigateur.
Il semble que le probleme vient de squid Voila ce que j'ai comme masquage :

1
réseau masqué: 192.168.0.0/24
à travers l'interface: ppp+
réseau/masque optionel: 0.0.0.0/0
SNAT: rien

j'ai pu lire dans le forum que parfois comme ca ca marche (mais pas - encore - chez moi) , d'autre source sur ce mm forum mette deux regles pour ppp+ et d'autre encore a travers eth1 (ie red ou encore fw to wan)

Ma MNF est en 192.168.0.1, mes clients en 192.168.0.2 et 192.168.0.3
passerelle des clients en 192.168.0.1, DNS cache activé
rien a niveau du NAT
=> regle
lan all REJECT info
dmz all REJECT info
fw all REJECT info
wan all DROP info
all all DROP info
lan wan ACCEPT info

=>regle d'exception
de base

Pouvez vous m'aider SVP...et pui sbien m'expliquer parck j'suis un peu bebete
Merci par avance
Gregos

par **svart** » 14 Avr 2004 10:00

Salut

Moi j'ai eu un souci identique, tout fonctionne à présent.

Attention dans policy tu as

lan wan ACCEPT info

Ca c'est mal (ça autorise tout transfert initié depuis le LAN vers le WAN : si un virus te chope, il pourra ouvrir). Lis bien les posts sur ce forum, tout se règle dans les règles d'exception.

Le proxy transparent aussi : voici les lignes du fichier rules qui le font fonctionner :

ACCEPT lan fw::3328 tcp 80 - all
ACCEPT fw wan tcp 80 -

par **gregos** » 15 Avr 2004 10:03

Merci pour cette reponse....

mais j'ai testé hier et j'ai tout cassé

Voila mes regles :
1 ACCEPT fw wan tcp+udp 53
2 ACCEPT dmz wan udp 53
3 ACCEPT lan wan udp 53
4 REJECT wan fw tcp 113
5 ACCEPT lan fw tcp 22
6 ACCEPT lan fw tcp 8443
7 ACCEPT fw lan icmp 8
8 ACCEPT lan fw icmp 8
9 ACCEPT lan dmz icmp 8
10 ACCEPT dmz lan icmp 8
11 ACCEPT dmz fw icmp 8
12 ACCEPT fw dmz icmp 8
13 ACCEPT lan wan tcp pop3
14 ACCEPT lan wan tcp smtp
15 ACCEPT lan wan tcp http
16 ACCEPT lan wan tcp https
17 ACCEPT lan wan tcp ssh
18 ACCEPT lan wan tcp ftp
19 ACCEPT lan wan tcp nntp
20 ACCEPT fw wan udp ntp
21 ACCEPT lan wan tcp imap
22 ACCEPT fw wan:20022 tcp ftp
23 ACCEPT lan fw:3328 tcp www all
24 ACCEPT fw wan tcp www

23 et 24 ne font elles pas le mm office que celle que tu me proposes ?? a savoir

25 ACCEPT lan fw:3328 tcp 80 - all
26 ACCEPT fw wan tcp 80 -

quand je recopie exactement ca dans MNF il semble que la regle 23 lui pose probleme puisk shorewall restart me renvoit un message d'erreur....
alors je supprime 25 et 26...puis shorewall restart
toujours message d'erreur sur le regle 23...qui je supprime pui shorewall restart
et la...plus rien mm plus de net avec un proxy manuel....

Au secours j'ai plus rien qui marche te j'avoue etre tres tres desemparé...
J'espere que vous allez pouvoir m'aider !
Gregos

par **svart** » 15 Avr 2004 11:15

C'est pour cela que j'ai ces règles précisement, celles avec 'www' ne passant pas le

#shorewall check

La règle 4 est inutile (puisque après avoir passé en revue toutes les rules shorewall applique policy. Rules ne contient que des accept / redirect et policy que des reject / drop )

Il y deux fois deux points sur fw::3328

Pour ma part voici comment j'ai procédé :

J'ai installé MNF. J'ai fais les mises à jour. J'ai laissé la config par défaut de MNF. J'ai activé le proxy transparent. J'ai ajouté une règle autorisant l'accès SSH pour mon IP. J'ai téléchargé Putty. J'ai laissé tombé l'interface MNF et je suis allé regarder via la console les contenus de :

/etc/shorewall/policy
/etc/shorewall/rules
/var/log/messages

Je me suis d'abord attaché à résoudre les noms de domaine et l'accès web (bien vérifier la connexion, une ou deux fois, j'ai cru que ma config foirait, alors qu'en fait c'est la connexion qui était fermée:!) depuis le firewall puis depuis mon poste de test.

J'ai privilégié d'indiquer les numéros de port plutot que les services (que j'ai vu que le port 80 était désigné par www mais aussi http).
J'ai fait des modifs sur les fichiers de config, en faisant systématiquement un shorewall check puis shorewall restart. La syntaxe doit être très précise. Après les premiers tests concluant, j'ai ajouté le ping, https, ftp, pop, smtp, etc... Un à un et en testant deux fois à chaque étape.

Ca a été rapidement gratitiant ! D'autres utilisent avec succès l'interface (demande à Jacques, qui semble très bien la connaitre et l'utiliser).

On recommande aussi de faire les mises à jour (y'a un tuto sur ce forum, quelque part...).

En espérant que ça t'aidera... courage en tout cas, on en voit le bout, et après c'est que du bonheur...

par **gregos** » 16 Avr 2004 09:58

Boujour a vous

youpi ca marche du feu de dieu...
double probleme :
=> croyant a une faute de frappe ou bug de l'interface web j'avais effectivement supprimé les : de la regle 23
Pourquoi les :: :shock:

=> les WWW fonctionne peut etre ??? mais pour avoir un squid en transparent pour de vrai, il m'a fallu mettre 80 comme port plutot et sans passer par l'interface graphique...

Maintenant tout semble rouler, j'ai ajouter une regle pour le https
ACCEPT fw wan tcp 443
(car la regle 6 ne suffisait pas...)

puis ca pour emule
ACCEPT wan lan:192.168.0.3 tcp 4662 all
ACCEPT wan lan:192.168.0.150 udp 4672 all
ACCEPT lan:192.168.0.3 wan tcp+udp 0:65535
(cf "triste mule" ) et chez moi ca marche nikel

reste le pop/smtp et supprimer la regle 4 (pas encore fait) pour ce soir !!
et puis aussi les mises a jour et la je tremble un peu et part a la recherche du tutorial !

Moi je dis youpi et merci a vous
Gregos

masquage classique

masquage classique

Qui est en ligne ?