IPCop free degroupé RFC1483

par **zedd75** » 27 Mai 2003 17:51

Yo atous, Gesp a fait du super boulot, mais apparemment on manque de retour pour les gens utilisant free degroupe sur un sagem usb. Je redonne ma config : Celeron433, 256Mo, 5Go DD (c'est une install temporaire) REd : Sagem Fast 800, RFC1483, Routed_IP_VC, DHCP avec l'option ip statique de chez free, qui doit etre en fait une reservation de bail infinie... Green : DLink 530TX Pas de dhcp, ipstatiques sur le spostes clients IP des DNS directement dans /etc/resolv.conf Proxy Web activé Snort desactivé DHCP desactivé proxyDNS activé CRON Activé SSH Activé Mon probleme : sans le proxy web, je n'ai aucun acces internet avec proxy web, je n'ai que le web...rien en email, ftp et autres... Mais ou est mon probleme ? Edd <IMG SRC="images/smiles/icon_bawling.gif">

par **Gesp** » 27 Mai 2003 18:03

Je ne pense pas que le problème vienne de mes modifs. J'ai repris exactement la même manière que pour le modem ECI USB. Mais je pense que cela n'a été testé par personne. Il faudrait regarder les règles iptable je pense. Pour moi, c'est encore un peu du chinois, j'ai pas encore joué à ce truc là mais tomtom va bien passer par ici pour te dire quoi regarder. un petit iptable --help te donnera déjà le mode d'emploi. une petite recherche sur le forum devrait permettre de retrouver pas mal d'explications aussi. Sinon je vais poser la question ce soir sur la devel-list d'IPCOP si quelqu'un a déjà utilisé dhcpcd ou IP fixe.

par **zedd75** » 27 Mai 2003 18:07

et hop ! Chain INPUT (policy DROP) target prot opt source destination PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 10/sec burst 5 CUSTOMINPUT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere RED all -- anywhere anywhere XTACCESS all -- anywhere anywhere LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `INPUT ' Chain FORWARD (policy DROP) target prot opt source destination PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE CUSTOMFORWARD all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere PORTFWACCESS all -- anywhere anywhere DMZHOLES all -- anywhere anywhere LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `OUTPUT ' Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain CUSTOMFORWARD (1 references) target prot opt source destination Chain CUSTOMINPUT (1 references) target prot opt source destination Chain DMZHOLES (1 references) target prot opt source destination Chain PORTFWACCESS (1 references) target prot opt source destination Chain PSCAN (4 references) target prot opt source destination LOG tcp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `TCP Scan? ' LOG udp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `UDP Scan? ' LOG icmp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `ICMP Scan? ' LOG all -f anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `FRAG Scan? ' DROP all -- anywhere anywhere Chain RED (1 references) target prot opt source destination Chain XTACCESS (1 references) target prot opt source destination

par **tomtom** » 27 Mai 2003 18:22

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-27 18:07, zedd75 a écrit: et hop ! Chain INPUT (policy DROP) target prot opt source destination PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 10/sec burst 5 CUSTOMINPUT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere RED all -- anywhere anywhere XTACCESS all -- anywhere anywhere LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `INPUT ' Chain FORWARD (policy DROP) target prot opt source destination PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE CUSTOMFORWARD all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere PORTFWACCESS all -- anywhere anywhere DMZHOLES all -- anywhere anywhere LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `OUTPUT ' Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain CUSTOMFORWARD (1 references) target prot opt source destination Chain CUSTOMINPUT (1 references) target prot opt source destination Chain DMZHOLES (1 references) target prot opt source destination Chain PORTFWACCESS (1 references) target prot opt source destination Chain PSCAN (4 references) target prot opt source destination LOG tcp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `TCP Scan? ' LOG udp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `UDP Scan? ' LOG icmp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `ICMP Scan? ' LOG all -f anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `FRAG Scan? ' DROP all -- anywhere anywhere Chain RED (1 references) target prot opt source destination Chain XTACCESS (1 references) target prot opt source destination </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Bon, tout à l'air à peu près normal.. Il faudrait verifier le MASQUERADING : iptables -t nat -L En plus, on ne voit rien avec ces saletés de règles à la ****** Il faudrait que tu m'envoies ton rc.firewall stp ! (ou son equivalent, je ne sais plus exactement....) Tom

par **zedd75** » 27 Mai 2003 18:27

# iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination CUSTOMPREROUTING all -- anywhere anywhere SQUID all -- anywhere anywhere PORTFW all -- anywhere anywhere Chain POSTROUTING (policy ACCEPT) target prot opt source destination RED all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain CUSTOMPREROUTING (1 references) target prot opt source destination Chain PORTFW (1 references) target prot opt source destination Chain RED (1 references) target prot opt source destination Chain SQUID (1 references) target prot opt source destination REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 800 cat /etc/rc.d/rc.firewall #!/bin/sh . /var/ipcop/ppp/settings . /var/ipcop/ethernet/settings IFACE=`/bin/cat /var/ipcop/red/iface | /usr/bin/tr -d '012'` iptables_init() { echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route echo 1 > /proc/sys/net/ipv4/conf/all/log_martians # Reduce DoS'ing ability by reducing timeouts echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout echo 0 > /proc/sys/net/ipv4/tcp_window_scaling echo 0 > /proc/sys/net/ipv4/tcp_timestamps echo 0 > /proc/sys/net/ipv4/tcp_sack echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog # Flush all rules and delete all custom chains /sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -X /sbin/iptables -t nat -X # Set up policies /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT ACCEPT # This chain will log, then DROPs "Xmas" and Null packets which might # indicate a port-scan attempt /sbin/iptables -N PSCAN /sbin/iptables -A PSCAN -p tcp -m limit --limit 10/minute -j LOG --log-prefix "TCP Scan? " /sbin/iptables -A PSCAN -p udp -m limit --limit 10/minute -j LOG --log-prefix "UDP Scan? " /sbin/iptables -A PSCAN -p icmp -m limit --limit 10/minute -j LOG --log-prefix "ICMP Scan? " /sbin/iptables -A PSCAN -f -m limit --limit 10/minute -j LOG --log-prefix "FRAG Scan? " /sbin/iptables -A PSCAN -j DROP # Disallow packets frequently used by port-scanners, XMas and Null /sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j PSCAN /sbin/iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j PSCAN /sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -j PSCAN /sbin/iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j PSCAN } iptables_red() { /sbin/iptables -F RED /sbin/iptables -t nat -F RED # PPPoE / PPTP Device if [ "$IFACE" != "" ]; then # PPPoE / PPTP if [ "$DEVICE" != "" ]; then /sbin/iptables -A RED -i $DEVICE -j ACCEPT fi if [ "$RED_TYPE" = "PPTP" -o "$RED_TYPE" = "PPPOE" ]; then if [ "$RED_DEV" != "" ]; then /sbin/iptables -A RED -i $RED_DEV -j ACCEPT fi fi fi if [ "$IFACE" != "" -a -f /var/ipcop/red/active ]; then # DHCP if [ "$RED_DEV" != "" -a "$RED_TYPE" = "DHCP" ]; then /sbin/iptables -A RED -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A RED -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT fi if [ "$PROTOCOL" = "RFC1483" -a "$METHOD" = "DHCP" ]; then /sbin/iptables -A RED -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A RED -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT fi # Allow IPSec /sbin/iptables -A RED -p 47 -i $IFACE -j ACCEPT /sbin/iptables -A RED -p 50 -i $IFACE -j ACCEPT /sbin/iptables -A RED -p 51 -i $IFACE -j ACCEPT /sbin/iptables -A RED -p udp -i $IFACE --sport 500 --dport 500 -j ACCEPT # Outgoing masquerading /sbin/iptables -t nat -A RED -o $IFACE -j MASQUERADE fi } # See how we were called. case "$1" in start) iptables_init # Limit Packets- helps reduce dos/syn attacks /sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 10/sec # CUSTOM chains, can be used by the users themselves /sbin/iptables -N CUSTOMINPUT /sbin/iptables -A INPUT -j CUSTOMINPUT /sbin/iptables -N CUSTOMFORWARD /sbin/iptables -A FORWARD -j CUSTOMFORWARD /sbin/iptables -t nat -N CUSTOMPREROUTING /sbin/iptables -t nat -A PREROUTING -j CUSTOMPREROUTING # Accept everyting connected /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # localhost and ethernet. /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -p icmp -j ACCEPT /sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT /sbin/iptables -A FORWARD -i $GREEN_DEV -j ACCEPT # accept all traffic from ipsec interfaces /sbin/iptables -A INPUT -i ipsec+ -j ACCEPT /sbin/iptables -A FORWARD -i ipsec+ -j ACCEPT # Port forwarding if [ "$ORANGE_DEV" != "" ]; then # This rule enables a host on ORANGE network to connect to the outside /sbin/iptables -A FORWARD -i $ORANGE_DEV -p tcp -o ! $GREEN_DEV -j ACCEPT /sbin/iptables -A FORWARD -i $ORANGE_DEV -p udp -o ! $GREEN_DEV -j ACCEPT fi # RED chain, used for the red interface /sbin/iptables -N RED /sbin/iptables -A INPUT -j RED /sbin/iptables -t nat -N RED /sbin/iptables -t nat -A POSTROUTING -j RED iptables_red # XTACCESS chain, used for external access /sbin/iptables -N XTACCESS /sbin/iptables -A INPUT -j XTACCESS # PORTFWACCESS chain, used for portforwarding /sbin/iptables -N PORTFWACCESS /sbin/iptables -A FORWARD -j PORTFWACCESS # DMZ pinhole chain. setdmzholes setuid prog adds rules here to allow # ORANGE to talk to GREEN. /sbin/iptables -N DMZHOLES /sbin/iptables -A FORWARD -o $GREEN_DEV -j DMZHOLES # Custom prerouting chains (for transparent proxy and port forwarding) /sbin/iptables -t nat -N SQUID /sbin/iptables -t nat -A PREROUTING -j SQUID /sbin/iptables -t nat -N PORTFW /sbin/iptables -t nat -A PREROUTING -j PORTFW # last rule in input and forward chain is for logging. /sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT " /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT " ;; stop) iptables_init # Accept everyting connected /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # localhost and ethernet. /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT if [ "$RED_DEV" != "" -a "$RED_TYPE" = "DHCP" ]; then /sbin/iptables -A input -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A input -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT fi if [ "$PROTOCOL" = "RFC1483" -a "$METHOD" = "DHCP" ]; then /sbin/iptables -A input -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A input -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT fi /sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT " /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT " ;; reload) iptables_red ;; restart) $0 stop $0 start ;; *) echo "Usage: $0 {start|stop|reload|restart}" exit 1 ;; esac exit 0

par **tomtom** » 27 Mai 2003 18:34

Deja, je ne vois pas le -j MASQUERADE dans la chaine RED de la table nat (dans ton iptables -t nat -L). donc evidemment, ca ne va pas marcher ! peux-tu essayer de faire un rc.firewall restart et tu me redonnes le resultat de iptables -t nat -L thx

par **zedd75** » 27 Mai 2003 18:38

J'en ai meme perdu ma connexion pdt un temps (arret et redemmarrage du proxy) /etc/rc.d # ./rc.firewall restart iptables: No chain/target/match by that name iptables: No chain/target/match by that name iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination CUSTOMPREROUTING all -- anywhere anywhere SQUID all -- anywhere anywhere PORTFW all -- anywhere anywhere Chain POSTROUTING (policy ACCEPT) target prot opt source destination RED all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain CUSTOMPREROUTING (1 references) target prot opt source destination Chain PORTFW (1 references) target prot opt source destination Chain RED (1 references) target prot opt source destination Chain SQUID (1 references) target prot opt source destination

par **zedd75** » 27 Mai 2003 18:39

tu peux m'expliquer l'histoire du MASQUERADE ?

par **tomtom** » 27 Mai 2003 18:44

C'est tout simple : tu ne possèdes qu'un seule ip publique (connectee sur internet) mais tu veux connecter plusieurs machine. IL faut donc faire des transferts d'adresses et de port. Une cible de netfilter fait ça toute seule : Masquerade. Du reste, tu peux voir dans ton script de règles qu'il y a un iptables -t nat -A RED -o $IFACE -j MASQUERADE. on devrait donc la retrouver dans les règles appliquées, ce qui n'est pas le cas. Desactives ton proxy stp, et refais le test. Thomas

par **zedd75** » 27 Mai 2003 18:54

meme chose... Je remarque que la ligne masquerade dont tu parles est avant un fi. Ce qui pourrait laisser entendre que la condition du if n'aie pas été vérifiée... Edd

par **Gesp** » 27 Mai 2003 18:56

Tu peux regarder la valeur dans /var/ipcop/red/iface?

par **zedd75** » 27 Mai 2003 18:58

hehe meme reflexe.... nada, rien du tout Edd

par **tomtom** » 27 Mai 2003 18:58

Bonne remarque mais ce serait grave quand même... Fait moi un echo $IFACE

par **tomtom** » 27 Mai 2003 18:59

Si tu n'as rien, tu peux refaire une install <IMG SRC="images/smiles/icon_smile.gif"> Il ne connait pas d'interface pour aller sur internet :s Tom

par **zedd75** » 27 Mai 2003 19:00

j'ai une belle ligne blanche... <a href="mailto:root@stopedd:/etc/rc.d">root@stopedd:/etc/rc.d</a> # echo $IFACE <a href="mailto:root@stopedd:/etc/rc.d">root@stopedd:/etc/rc.d</a> #

IPCop free degroupé RFC1483

Qui est en ligne ?