Question : Configuration MNF

[Kami]

J'aimerai pouvoir configurer MNF afin qu'il effectue la fonction de routeur et de firewall. La situation se présente comme ça :

- eth0 c'est mon LAN (ip fixes)
- eth1 le WAN (dhcp)

J'ai lu le manuel de Mandrake et 2-3 tutorials sur le net.

Pour l'instant j'ai configuré le proxy, donc j'arrive a surfer depuis mes machines clientes (celles du LAN). Mais je en peux toujours pas relever mes mails ect...

Et dans le menu connexion internet, elle affiche toujours le statu DOWN...


Il me reste quoi a faire ?


Je ne m'y connais pas vraiment en systèmes des réseaux ayez pitié

[Methos_Hi]

pour relever le mail en pop3, il faut que tu ajoutes une règle d'exceptions :
ACCEPT LAN WAN tcp pop3

Pour poster tes mail
ACCEPT LAN WAN tcp smtp

mais il me semble qu'elles y sont par défaut...

Au fait le cache proxy n'est pas nécéssaire pour surfer mais bien utile quand même.

Dis nous ou tu en es.

[fabzz007]

normalement par défaut tu ne devrais pas avoir de pb pour relever tes mails... (en tout cas moi j'ai rajouter aucune regles et ça marche)

mais tu dis avoir activé le proxy... es ce que tu n'aurais pas activé le filtrage de contenu et le filtrage d'url aussi ?

moi j'avais des soucis pour récupérer mes pieces jointe car les extensions de fichiers .doc par exemple etaient interditent...

En esperant avoir aidé
@+
Fabz

[Jacques-]

Les problèmes pour relever les mails depuis le LAN sont probablement dûs à la résolution du nom des serveurs POP (et SMTP). Pour que cela passe, soit les adresses sont en fixe dans la configuration des clients, dans le fichier hosts de chaque PC, ou le DNS cache est activé sur la MNF et l'adresse du DNS des clients est celle de la MNF, soit on autorise le DNS depuis le LAN vers le WAN et on renseigne l'adresses des DNS du FAI dans la config des clients (mais ce n'est plus très efficace pour le proxy web s'il est actif et qu'on autorise HTTP entre LAN et WAN).

Facile à vérifier avec un simple telnet sur l'adresse du serveur POP suivi du n° du port :
telnet pop.fai.fr 110

Jacques

[Kami]

Merci a vous, de s'interresser à mon prob !


Mais je pense pas que mon problème provient des règles du firewall, car meme en mettant comme règle par défaut: LAN to ALL ACCEPT, ca ne fonctionne pas !

Et ce n'est pas seulement Thunderbird (prog de mail par mozilla)! Genre ICQ, les jeux online, ftp ect.... Je peux seulement surfer.

Voici une capture de ma page d'admin... je crois qu'il y a qqch qui joue pas ici




------

Eclairez moi :

Si j'ai bien compris un proxy c'est une sorte de cache qui stoque les pages internet que chaque client consulte... En fait les requetes au lieu de faire: web -> client elles font: web -> proxy -> client !

Mais alors pourquoi dans des application comme ICQ, ou Thunderbird on peut spécifier un proxy

[Jacques-]

Vérifie tes DNS, cela devrait régler ton problème de mail

[Kami]

@ Jacques

Alors j'ai vérifier mes DNS et j'ai configuré ainsi :

- Mes client on comme DNS l'adresse de la MNF (192.168.0.1)
- Sur ma MNF j'ai activé le DNS cache dans services
- Je lui ai mais domme DNS 1 & 2 les DNS que me donne mon FAI

Mahleureusement ca ne fonctionne toujours pas

[Jacques-]

Et si tu fais un : Telent pop.fai.fr 110 depuis un de tes clients, le message d'erreur est quoi ?
Impossible de trouver l'adresse ou pas de réponse du serveur ?
De plus, que donne les logs de la MNF, si shorewall jette les paquets tu sauras avec quelle règle ils on t été refusés.

Jacques

[Kami]

- pout le telnet, il se passe rien !

- Quand au serveur, duquel sagit-il ?

- Quand au log ...


Juste une question :

Dans Configuration du pare-feu > Traduction d'adresses réseau de masque >
Masquage, traduction des adresses réseau statiques et Proxy ARP

Je n'ai pas configuré de Masquage classique, ni de NAT, ni de règles du Proxy ARP .... Car je ne sais pas du tout ce que c'est... Peut etre ca vient de la ?

[Jacques-]

Le masquage, c'est l'action de cacher l'adresse IP privée du LAN en remplaçant celle-ci par l'adresse IP publique fournie par le FAI, c'est la seule qui soit utilisable sur internet.
Donc, pas de masquage, pas de surf, de pop ou de smtp...

Applique un masquage classique, l'interface WAN masquant tout le réseau ou l'interface LAN et cela devrait aller mieux.

Jacques

[Kami]

@ Jacques

Merci bcp pour ton aide tout fonctionne parfaitement maintenant !

C'est normal que ma MNF plante complétement losque j'établis des règles d'exception ???

J'ai voulu ouvrir un port pour ICQ.... et ensuite l'interface d'admin ne répondait plus... maintenant je ne peut meme plus me logger sur ma MNF

[Methos_Hi]

Tu t'es planté dans la règle.
Lorsque que as fais "Apply/Appliquer", Shorewall a redemarré et a planté.

Pour rétablir la situation, en console sur la machine en root tu fais "shorewall clear", tu retournes à l'interface web et tu supprimes/modifie ta règle.

Erreur classique : mettre ACCEPT au lieu de DNAT lors d'un nat d'un port vers une machine.

Si tu n'arrives pas établir une règle correcte, indique ce que tu veux faire.

[Kami]

Tu t'es planté dans la règle.
Lorsque que as fais "Apply/Appliquer", Shorewall a redemarré et a planté.

Pour rétablir la situation, en console sur la machine en root tu fais "shorewall clear", tu retournes à l'interface web et tu supprimes/modifie ta règle.

Erreur classique : mettre ACCEPT au lieu de DNAT lors d'un nat d'un port vers une machine.

Si tu n'arrives pas établir une règle correcte, indique ce que tu veux faire.

Okej donc pour que je ne fasse pas la même erreur 2x... :

Si je veux ouvrir le port pour ICQ (5190):

LAN -> WAN TCP 5190 DNAT ???

Si c'est ca pourquoi les autres ports, par exemple le pop (110) on cette structure ? :

LAN -> WAN TCP 110 ACCEPT


-------

Autre question:

Il y a un moyen de me logger en root sur ma MNF (avoir la ligne de commande) "par le LAN" ? Car ma MNF se trouve asser loin de mes machines clientes et chaques fois je dois amener un ecran, un clavier et une souris ...

[Methos_Hi]

non non, si c lan vers wan, c bien

ACCEPT LAN WAN tcp 5190


Pour te loger à distance lorsque shorewall est planté, c bien tenté mais c'est pareil que pour l'interface web.
Autrement quand shorewall roule bien, tu as ssh. Soit depuis l'interface web avec l'applet java, soit avec un client ssh comme putty.

[Jacques-]

Tu peux aussi autoriser une machine (ou un LAN, mais c'est à déconseiller) à se connecter même en cas de blocage de shorewall (en fait, il se met en sécurité et bloque tout ce qui n'est pas explicitement autorisé). Il faut ajouter cela dans l'interface, je ne sais plus trop où vu que je n'ai pas de MNF davant moi, mais ça se trouve dans les menus de config du parefeu.
Ensuite, en mode "shorewall stop", la machine autorisé a tout de même accès en sSH sur la passerelle, ce qui permet d'utiliser un client SSH (style putty sous windows par exemple) pour reconfigurer correctement le système.

Jacques