cc + modem ECI + nat + rc.firewall j'y arrive plus

par **touffator** » 13 Août 2003 12:18

Bonjour a tous, j'ai encore un probleme avec ma conection et cc, j'ai une connection au net avec un modem USB (dommage) et j'arrive a lancer ma connection sur la box, a utiliser le proxy ... mais pas a faire fonctionner le NAT <IMG SRC="images/smiles/icon_frown.gif"> alors j'ai lu ce que je pouvais trouvé sur le rc.firewall pour k'il me nat mon réseau j'ai essayer sur ma box sans grand succes puis j'ai trouvé sur le site de clark comment swaper deux cartes (red green) j'ai fait quelques manips ca a l'air de parché (toujours pas de NAT mais les default GW sont bonne) le seul peutit probleme c'est que maintenant mon FW ne semble plus se lancer <IMG SRC="images/smiles/icon_cry.gif"> <IMG SRC="images/smiles/icon_bawling.gif"> voila ce k'il me dit [root@cc rc.d]# ./rc.firewall restart External IP not available... exiting donc pas encore trop abatu j'ai cherché dans le fichier rc.firewall d'ou ca venais, et c'est la : # Defaults #--------- if [ -z $EXTIF ]; then EXTIF=`cat /etc/sysconfig/network | grep GATEWAYDEV | cut -d '=' -f2` if [ -z $EXTIF ]; then echo "Gateway not defined in /etc/sysconfig/network... using eth0" logger -p local6.notice -t firewall "Gateway not set in /etc/sysconfig/network... using eth0" EXTIF="eth0" fi fi [ -z $LANIF ] && LANIF="eth1" [ -z $DMZIF ] && DMZIF="none" [ -z $TRUSTEDIF ] && TRUSTEDIF="! $EXTIF" # Sanity check #------------- EXTIP=`ifconfig | grep -A 4 $EXTIF | awk '/inet/{print $2}' | sed -e s/addr://` if [ -z $EXTIP ]; then echo "External IP not available... exiting" logger -p local6.notice -t firewall "External IP not available... exiting" exit 1 fi mais l'a tout est OK si je fait un ifconfig | grep -A 4 ppp0 | awk '/inet/{print $2}' | sed -e s/addr:// sur la console y me donne l'ip du modem, en plus dans "/etc/sysconfig/network" j'ai defini la GW à ppp0 donc pour moi ça DOIT marcher <IMG SRC="images/smiles/icon_cussing.gif"> la je comprend plus rien HELP PLEASE autre chose j'ai des problemes des que je modifie le fichier rc.firewall y me dit que mon batch n'est pas le bon /bin/sh ... enfin la grosse m*rde koi ++ touf PS : je vous promet que si j'arrive a faire marcher ce <IMG SRC="images/smiles/icon_cussing.gif"> de firewall et le nat et le modem je vous concocte un tut sur l'install d'un modem ECI sur cc et config réseau...

par **touffator** » 14 Août 2003 10:23

Persone ne m'aime, personne ne veut me répondre <IMG SRC="images/smiles/icon_frown.gif"> <IMG SRC="images/smiles/icon_bawling.gif"> allez pour me consoller je vais encore passer ma matinée a bidouiller

par **tomtom** » 14 Août 2003 10:28

Tu as peut-etre explosé la variable $EXTIF lors de ton echange... Que te donne # echo $EXTIF ? Ca doit etre ppp0 sinon c'est po bon ! T.

par **touffator** » 14 Août 2003 11:07

lol ca donne ça [root@cc rc.d]# echo $EXTIF ppp0 [root@cc rc.d]# et si je fait [root@cc sysconfig]# cat /etc/sysconfig/network | grep GATEWAYDEV | cut -d '=' -f2 ppp0 [root@cc sysconfig]# dc ma config devrais etre ok <IMG SRC="images/smiles/icon_frown.gif"> mais [root@cc sysconfig]# /etc/rc.d/rc.firewall External IP not available... exiting _________________ Mais moi aussi je veux des Galons je veux etre "Maitre lieutenant chef capitaine" et donner des ordres lOl

par **touffator** » 14 Août 2003 11:40

RAHAAAAAAAAAAAAAAAAAAAAAAAAAAAA (cri de rage <IMG SRC="images/smiles/icon_mad.gif"> <IMG SRC="images/smiles/icon_mad.gif"> ) maintenant ke j'ai modifier le rc.firewall a chaque fois que je le lance il dit ça : [root@cc rc.d]# ./rc.firewall : bad interpreter: No such file or directory [root@cc rc.d]# ls init.d rc0.d rc2.d rc4.d rc6.d rc.firewall.old.hs rc.firewall.squid rc.sysinit rc rc1.d rc3.d rc5.d rc.firewall rc.firewall.sav rc.local [root@cc rc.d]# tous ce que j'ai fait j'ai changer ça : # Sanity check #------------- EXTIP=`ifconfig | grep -A 4 $EXTIF | awk '/inet/{print $2}' | sed -e s/addr://` if [ -z $EXTIP ]; then echo $EXTIF echo $EXTIP  echo "External IP not available... exiting" logger -p local6.notice -t firewall "External IP not available... exiting" exit 1 fi je vais jammais m'en sortir <IMG SRC="images/smiles/icon_frown.gif">

par **tomtom** » 14 Août 2003 11:52

Calme-toi, tu as surement du modifier la première ligne du fichier (avec le #! /bin/bash ) Peux-tu poster ton rc.firewall ? T.

par **touffator** » 14 Août 2003 12:16

lol c'est un peut gros mais allons y (promis j'ai modifier ke le truc en gras lol )

Code: Tout sélectionner: #!/bin/sh ############################################################################### # # Original by Dinesh Kandiah # Major update by Daniel Carrera # # Copyright (C) 2000-2002 Point Clark Networks # # This program is free software; you can redistribute it and/or # modify it under the terms of the GNU General Public License # as published by the Free Software Foundation; either version 2 # of the License, or (at your option) any later version. # # This program is distributed in the hope that it will be useful, # but WITHOUT ANY WARRANTY; without even the implied warranty of # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the # GNU General Public License for more details. # # You should have received a copy of the GNU General Public License # along with this program; if not, write to the Free Software # Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA. # # Inspired by... # - Trinity OS # - Linux Security # - linux-firewall-tools.com # - Usenet # ############################################################################### PATH=/sbin:/bin:/usr/bin UNIV="0.0.0.0/0" ######################################################################### # F U N C T I O N S ######################################################################### ######################################################################### # # K E R N E L S E T T I N G S # ######################################################################### setKernel() { # Enable IP Forwarding, not really required for standalone mode sysctl -w net.ipv4.ip_forward=1 >/dev/null # Enable TCP SYN Cookie protection: sysctl -w net.ipv4.tcp_syncookies=1 >/dev/null # Enabling dynamic TCP/IP address hacking. sysctl -w net.ipv4.ip_dynaddr=1 >/dev/null # Required for IPsec VPN sysctl -w net.ipv4.conf.all.rp_filter=0 >/dev/null sysctl -w net.ipv4.conf.eth0.rp_filter=0 >/dev/null 2>/dev/null sysctl -w net.ipv4.conf.ppp0.rp_filter=0 >/dev/null 2>/dev/null # Log spoofed, source-routed, and redirect packets sysctl -w net.ipv4.conf.all.log_martians=0 >/dev/null # Disable ICMP Re-directs sysctl -w net.ipv4.conf.all.accept_redirects=0 >/dev/null sysctl -w net.ipv4.conf.all.send_redirects=0 >/dev/null # Ensure that source-routed packets are dropped sysctl -w net.ipv4.conf.all.accept_source_route=0 >/dev/null # Disable ICMP broadcast echo protection sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 >/dev/null # Enable bad error message protection sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1 >/dev/null } ######################################################################### # # S E T P O L I C Y # ######################################################################### setPolicy() { for TABLE in filter nat mangle; do iptables -t $TABLE -F # Flush all previous rules. iptables -t $TABLE -X # Delete user-defined chains. done iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP } ######################################################################### # # D E F I N E C H A I N S # ######################################################################### defineChains() { # Create a chain for dropping trojans and flooders #------------------------------------------------- iptables -N drop-trojan iptables -t filter -A drop-trojan -j LOG --log-prefix "Drop - trojan-flooder: " iptables -t filter -A drop-trojan -j DROP # Create a chain for dropping reserved network IPs #------------------------------------------------- iptables -N drop-reserved iptables -t filter -A drop-reserved -j LOG --log-prefix "Drop - reserved network: " iptables -t filter -A drop-reserved -j DROP # Create a chain for dropping services that shouldn't leave the LAN #------------------------------------------------------------------ iptables -N drop-lan iptables -t filter -A drop-lan -j LOG --log-prefix "Drop - LAN only: " iptables -t filter -A drop-lan -j REJECT # Create a chain for flagging possible Trojans & services leaving the LAN #------------------------------------------------------------------------ iptables -N flag-lan iptables -t filter -A flag-lan -j LOG --log-prefix "Flag: " iptables -t filter -A flag-lan -j ACCEPT # Create a chain for testing #--------------------------- iptables -N testing iptables -t filter -A testing -j LOG --log-prefix "testing: " iptables -t filter -A testing -j ACCEPT } ######################################################################### # # L O A D K E R N E L M O D U L E S # ######################################################################### loadModules() { modprobe ipt_LOG # Add LOG target. modprobe ipt_REJECT # Add REJECT target. modprobe ipt_MASQUERADE # Add MASQUERADE target. modprobe ipt_owner # Allows you to match for the owner. modprobe ip_conntrack_ftp # Support connection tracking of FTP. modprobe ip_conntrack_irc # Support connection tracking of IRC. modprobe ip_nat_ftp # Active FTP modprobe ip_nat_irc # IRC stuff modprobe ip_conntrack_pptp > /dev/null 2>&1 # PPTP (Office only) # ip_nat_pptp module is handled in the default rules section. } ######################################################################### # # A D H O C R U L E S # ######################################################################### # # We sometimes want to drop in special rules into the firewall. # For instance, the cc-pptpd RPM will add /etc/rc.d/rc.firewal.pptp # to add the required ports and protocol to the firewall. runAdhocRules() { for EXTRAS in pptpd pptp squid ipsec; do FILENAME=/etc/rc.d/rc.firewall.$EXTRAS if [ -x $FILENAME ]; then logger -p local6.notice -t firewall "Running ad-hoc rules in $EXTRAS" . $FILENAME logger -p local6.notice -t firewall "Finished ad-hoc rules in $EXTRAS" fi done } ######################################################################### # # R U N D E F A U L T # ######################################################################### runDefaultRules() { # Allow everything on the loopback #--------------------------------- iptables -A INPUT -j ACCEPT -i lo iptables -A OUTPUT -j ACCEPT -o lo # Block IPs that should never show up on our external interface #-------------------------------------------------------------- iptables -A INPUT -j drop-reserved -i $EXTIF -s 127.0.0.0/8 iptables -A INPUT -j drop-reserved -i $EXTIF -s 1.0.0.0/8 iptables -A INPUT -j drop-reserved -i $EXTIF -s 23.0.0.0/8 iptables -A INPUT -j drop-reserved -i $EXTIF -s 31.0.0.0/8 iptables -A INPUT -j drop-reserved -i $EXTIF -s 96.0.0.0/3 iptables -A INPUT -j drop-reserved -i $EXTIF -s 128.0.0.0/16 iptables -A INPUT -j drop-reserved -i $EXTIF -s 128.9.64.26/32 iptables -A INPUT -j drop-reserved -i $EXTIF -s 128.66.0.0/16 iptables -A INPUT -j drop-reserved -i $EXTIF -s 191.255.0.0/16 iptables -A INPUT -j drop-reserved -i $EXTIF -s 197.0.0.0/16 iptables -A INPUT -j drop-reserved -i $EXTIF -s 201.0.0.0/8 iptables -A INPUT -j drop-reserved -i $EXTIF -s 223.255.255.0/24 iptables -A INPUT -j drop-reserved -i $EXTIF -s 240.0.0.0/5 iptables -A INPUT -j drop-reserved -i $EXTIF -s 248.0.0.0/5 CHKINT1=`echo $EXTIP | cut -d '.' -f1,2` CHKINT2=`echo $EXTIP | cut -d '.' -f1` # - If this box is sitting on an internal network, don't block these IPs # - Don't log these as drop-reserved... funny ISPs (@Home) to blame if [ "$CHKINT1" != "172.16" ]; then iptables -A INPUT -j DROP -i $EXTIF -s 172.16.0.0/12 fi if [ "$CHKINT1" != "192.168" ]; then iptables -A INPUT -j DROP -i $EXTIF -s 192.168.0.0/16 fi # Ugh... funny ISPs use 10.x.x.x for DNS servers and other such things if [ "$CHKINT2" != "10" ]; then iptables -A INPUT -j DROP -i $EXTIF -s 10.0.0.0/8 fi # Allow some ICMP (ping) #----------------------- # ICMP can be used for attacks.. we allow as little as possible. # The following are necessary ports we *can't* do without: # 0 Needed to ping hosts outside the network. # 3 Needed by all networks. # 11 Needed by the traceroute program. iptables -A INPUT -i $EXTIF -d $EXTIP -j ACCEPT -p icmp --icmp-type 0 iptables -A INPUT -i $EXTIF -d $EXTIP -j ACCEPT -p icmp --icmp-type 3 iptables -A INPUT -i $EXTIF -d $EXTIP -j ACCEPT -p icmp --icmp-type 11 # This allows other hosts to ping you. You should keep this rule. iptables -A INPUT -i $EXTIF -d $EXTIP -j ACCEPT -p icmp --icmp-type 8 iptables -A OUTPUT -j ACCEPT -o $EXTIF -p icmp -s $EXTIP # Allow DHCP client to respond #----------------------------- iptables -A INPUT -j ACCEPT -i $EXTIF -p udp -d $EXTIP --dport bootpc --sport bootps iptables -A INPUT -j ACCEPT -i $EXTIF -p tcp -d $EXTIP --dport bootpc --sport bootps iptables -A OUTPUT -j ACCEPT -o $EXTIF -p tcp -s $EXTIP --sport bootpc --dport bootps iptables -A OUTPUT -j ACCEPT -o $EXTIF -p udp -s $EXTIP --sport bootpc --dport bootps # Allow PPTP protocol and port if server is set to run #----------------------------------------------------- # note: the ip_nat_pptp module should not be run on a PPTP server! PPTPCHK=`chkconfig --list pptpd 2>/dev/null | grep "3:on"` if [ -z "$PPTPCHK" ]; then modprobe ip_nat_pptp > /dev/null 2>&1 # PPTP (Office only) else logger -p local6.notice -t firewall "Unloading PPTP connection tracker for PPTP server" rmmod ip_nat_pptp > /dev/null 2>&1 logger -p local6.notice -t firewall "Allowing incoming GRE protocol 47 for PPTP server" iptables -A INPUT -j ACCEPT -i $EXTIF -p 47 iptables -A OUTPUT -j ACCEPT -o $EXTIF -p 47 logger -p local6.notice -t firewall "Allowing incoming TCP port 1723 for PPTP server" iptables -A INPUT -j ACCEPT -i $EXTIF -p tcp -d $EXTIP --dport 1723 iptables -A OUTPUT -j ACCEPT -o $EXTIF -p tcp -s $EXTIP --sport 1723 fi } ######################################################################### # # I N C O M I N G A L L O W E D # ######################################################################### runIncomingAllowed() { for PORT in $INCOMING_ALLOWED_TCP; do logger -p local6.notice -t firewall "Allowing incoming TCP port $PORT" iptables -A INPUT -j ACCEPT -i $EXTIF -p tcp -d $EXTIP --dport $PORT iptables -A OUTPUT -j ACCEPT -o $EXTIF -p tcp -s $EXTIP --sport $PORT done for PORT in $INCOMING_ALLOWED_UDP; do logger -p local6.notice -t firewall "Allowing incoming UDP port $PORT" iptables -A INPUT -j ACCEPT -i $EXTIF -p udp -d $EXTIP --dport $PORT iptables -A OUTPUT -j ACCEPT -o $EXTIF -p udp -s $EXTIP --sport $PORT done } ######################################################################### # # O U T G O I N G D E N I E D # ######################################################################### runOutgoingDenied() { for PORT in $OUTGOING_DENIED_TCP; do logger -p local6.notice -t firewall "Blocking outgoing TCP port $PORT" iptables -A FORWARD -s $LANNETWORK/$LANNETMASK -d 0/0 -p tcp --dport $PORT -j DROP #iptables -A PREROUTING -t nat -s $LANNETWORK/$LANNETMASK -d 0/0 -p tcp --dport $PORT -j DROP done for PORT in $OUTGOING_DENIED_UDP; do logger -p local6.notice -t firewall "Blocking outgoing UDP port $PORT" iptables -A FORWARD -s $LANNETWORK/$LANNETMASK -d 0/0 -p udp --dport $PORT -j DROP #iptables -A PREROUTING -t nat -s $LANNETWORK/$LANNETMASK -d 0/0 -p udp --dport $PORT -j DROP done for HOST in $OUTGOING_DENIED_HOST; do logger -p local6.notice -t firewall "Blocking traffic to $HOST" iptables -A FORWARD -s $LANNETWORK/$LANNETMASK -d $HOST -j DROP #iptables -A PREROUTING -t nat -s $LANNETWORK/$LANNETMASK -d $HOST -j DROP done for RULE in $OUTGOING_DENIED_HOST_PORT; do HOST=`echo $RULE | cut -d ':' -f1` PORT=`echo $RULE | cut -d ':' -f2` logger -p local6.notice -t firewall "Blocking traffic to $HOST on port $PORT" iptables -A FORWARD -s $LANNETWORK/$LANNETMASK -d $HOST -p tcp --dport $PORT -j DROP #iptables -A PREROUTING -t nat -s $LANNETWORK/$LANNETMASK -d $HOST -p tcp --dport $PORT -j DROP done } ######################################################################### # # P O R T F O R W A R D I N G # ######################################################################### runPortForwardRules() { for RULE in $FORWARD_TCP_PORT; do SOURCE=`echo $RULE | cut -d '|' -f2` DEST=`echo $RULE | cut -d '|' -f3` NATTRICK=`echo $DEST | cut -d ':' -f1` logger -p local6.notice -t firewall "Port forwarding TCP $SOURCE to $DEST" iptables -A PREROUTING -t nat -p tcp -d $EXTIP --dport $SOURCE -j DNAT --to $DEST iptables -A POSTROUTING -t nat -p tcp -d $NATTRICK -s $LANNETWORK/$LANNETMASK --dport $SOURCE -j SNAT --to $LANIP done for RULE in $FORWARD_UDP_PORT; do SOURCE=`echo $RULE | cut -d '|' -f2` DEST=`echo $RULE | cut -d '|' -f3` NATTRICK=`echo $DEST | cut -d ':' -f1` logger -p local6.notice -t firewall "Port forwarding UDP $SOURCE to $DEST" iptables -A PREROUTING -t nat -p udp -d $EXTIP --dport $SOURCE -j DNAT --to $DEST iptables -A POSTROUTING -t nat -p udp -d $NATTRICK -s $LANNETWORK/$LANNETMASK --dport $SOURCE -j SNAT --to $LANIP done } ######################################################################### # # S T A N D A L O N E F I R E W A L L # ######################################################################### standalone() { setKernel setPolicy loadModules defineChains runDefaultRules runAdhocRules # User defined rules #------------------- runIncomingAllowed # INCOMING RULES #================================================================ # Allow high ports #----------------- iptables -A OUTPUT -o $EXTIF -p tcp -j ACCEPT -s $EXTIP --sport 1024:65535 iptables -A OUTPUT -o $EXTIF -p udp -j ACCEPT -s $EXTIP --sport 1024:65535 iptables -A INPUT -j ACCEPT -p udp --dport 1024:65535 -d $EXTIP iptables -A INPUT -j ACCEPT -p tcp --dport 1024:65535 -d $EXTIP -m state --state ESTABLISHED,RELATED # Block everything else #---------------------- iptables -A INPUT -j DROP -i $EXTIF -s $UNIV -d $UNIV iptables -A OUTPUT -j DROP -o $EXTIF -s $UNIV -d $UNIV } ######################################################################### # # G A T E W A Y F I R E W A L L # ######################################################################### gateway() { setKernel setPolicy loadModules defineChains runDefaultRules runAdhocRules # INCOMING RULES #================================================================ # User defined rules #------------------- runIncomingAllowed # Allow trusted networks (e.g. the LAN) #-------------------------------------- iptables -A INPUT -j ACCEPT -i $TRUSTEDIF iptables -A OUTPUT -j ACCEPT -o $TRUSTEDIF # Allow high ports #----------------- iptables -A OUTPUT -o $EXTIF -p tcp -j ACCEPT -s $EXTIP --sport 1024:65535 iptables -A OUTPUT -o $EXTIF -p udp -j ACCEPT -s $EXTIP --sport 1024:65535 iptables -A INPUT -j ACCEPT -p udp --dport 1024:65535 -d $EXTIP iptables -A INPUT -j ACCEPT -p tcp --dport 1024:65535 -d $EXTIP -m state --state ESTABLISHED,RELATED # Block everything else #---------------------- iptables -A INPUT -j DROP -i $EXTIF -s $UNIV -d $UNIV iptables -A OUTPUT -j DROP -o $EXTIF -s $UNIV -d $UNIV # FORWARD RULES #================================================================ # User defined rules #------------------- runPortForwardRules runOutgoingDenied # Block services from leaving the LAN (low port numbers) # Snort will log suspicious traffic in high port ranges #------------------------------------------------------- iptables -A FORWARD -j drop-lan -o $EXTIF -p tcp --dport 111 # RPC stuff iptables -A FORWARD -j drop-lan -o $EXTIF -p udp --dport 111 # RPC stuff iptables -A FORWARD -j drop-lan -o $EXTIF -p tcp --dport 137:139 # Samba iptables -A FORWARD -j drop-lan -o $EXTIF -p udp --dport 137:139 # Samba iptables -A FORWARD -j drop-lan -o $EXTIF -p tcp --dport 635 # Mountd iptables -A FORWARD -j drop-lan -o $EXTIF -p udp --dport 635 # Mountd # Enable masquerading #-------------------- iptables -A POSTROUTING -t nat -j MASQUERADE -o $EXTIF iptables -A FORWARD -i $TRUSTEDIF -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: " # Allow all other forwarding #--------------------------- # You need this rule if you port forward packets to machines behind the gateway. iptables -A FORWARD -j ACCEPT } ######################################################################### # # T R U S T E D G A T E W A Y # ######################################################################### trustedgateway() { setKernel loadModules # First clear everything #----------------------- for TABLE in filter nat mangle; do iptables -t $TABLE -F # Flush all previous rules. iptables -t $TABLE -X # Delete user-defined chains. done # Default policies #----------------- iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT # Enable masquerading #-------------------- iptables -A POSTROUTING -t nat -j MASQUERADE -o $EXTIF } ######################################################################### # M A I N # ######################################################################### ######################################################################### # # We can determine wheter we have a gateway or standalone machine. This # will work in the following situations: # # 1) Standalone server # 2) Gateway with two network cards (Internet + LAN) # 3) Gateway with three or more network cards (Internet + 2 or more LANs) # # DMZs, trusted gateways, and other network configuration will require # manual configuration in /etc/firewall. logger -p local6.notice -t firewall "Starting firewall..." # Configuration file #------------------- [ -f /etc/firewall ] && . /etc/firewall # Defaults #--------- if [ -z $EXTIF ]; then EXTIF=`cat /etc/sysconfig/network | grep GATEWAYDEV | cut -d '=' -f2` if [ -z $EXTIF ]; then echo "Gateway not defined in /etc/sysconfig/network... using eth0" logger -p local6.notice -t firewall "Gateway not set in /etc/sysconfig/network... using eth0" EXTIF="eth0" fi fi [ -z $LANIF ] && LANIF="eth1" [ -z $DMZIF ] && DMZIF="none" [ -z $TRUSTEDIF ] && TRUSTEDIF="! $EXTIF" # Sanity check #------------- EXTIP=`ifconfig | grep -A 4 $EXTIF | awk '/inet/{print $2}' | sed -e s/addr://` if [ -z $EXTIP ]; then echo $EXTIF echo $EXTIP echo "External IP not available... exiting" logger -p local6.notice -t firewall "External IP not available... exiting" exit 1 fi # LAN info #--------- if [ -f /etc/sysconfig/network-scripts/ifcfg-$LANIF ]; then LANIP=`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-$LANIF | sed -e s/IPADDR=//i` if [ -z $LANIP ]; then logger -p local6.notice -t firewall "Could not determine LAN IP on $LANIF... exiting" echo "Could not determine LAN IP on $LANIF... exiting" exit 1 fi LANNETMASK=`grep NETMASK /etc/sysconfig/network-scripts/ifcfg-$LANIF | sed -e s/NETMASK=//i` if [ -z $LANNETMASK ]; then logger -p local6.notice -t firewall "Could not determine LAN netmask on $LANIF... exiting" echo "Could not determine LAN netmask on $LANIF... exiting" exit 1 fi LANNETWORK=`ipcalc --network $LANIP $LANNETMASK | sed s/NETWORK=//i` if [ -z $LANNETWORK ]; then logger -p local6.notice -t firewall "Could not determine LAN network on $LANIF... exiting" echo "Could not determine LAN network on $LANIF... exiting" exit 1 fi LANPREFIX=`ipcalc --prefix $LANIP $LANNETMASK | sed s/PREFIX=//i` if [ -z $LANPREFIX ]; then logger -p local6.notice -t firewall "Could not determine LAN prefix on $LANIF... exiting" echo "Could not determine LAN prefix on $LANIF... exiting" exit 1 fi logger -p local6.notice -t firewall "LAN info - $LANIP/$LANNETMASK on network $LANNETWORK/$LANPREFIX" TYPE="gateway" fi # DMZ info #--------- if [ -f /etc/sysconfig/network-scripts/ifcfg-$DMZIF ]; then GWIP=`grep GATEWAY /etc/sysconfig/network-scripts/ifcfg-$EXTIF | sed -e s/GATEWAY=//i` if [ -z $GWIP ]; then logger -p local6.notice -t firewall "Could not determine default route... exiting" echo "Could not determine default route... exiting" exit 1 fi DMZIP=`grep IPADDR /etc/sysconfig/network-scripts/ifcfg-$DMZIF | sed -e s/IPADDR=//i` if [ -z $DMZIP ]; then logger -p local6.notice -t firewall "Could not determine DMZ IP on $DMZIF... exiting" echo "Could not determine DMZ IP on $DMZIF... exiting" exit 1 fi DMZNETMASK=`grep NETMASK /etc/sysconfig/network-scripts/ifcfg-$DMZIF | sed -e s/NETMASK=//i` if [ -z $DMZNETMASK ]; then logger -p local6.notice -t firewall "Could not determine DMZ netmask on $DMZIF... exiting" echo "Could not determine DMZ netmask on $DMZIF... exiting" exit 1 fi DMZNETWORK=`ipcalc --network $DMZIP $DMZNETMASK | sed s/NETWORK=//i` if [ -z $DMZNETWORK ]; then logger -p local6.notice -t firewall "Could not determine DMZ network on $DMZIF... exiting" echo "Could not determine DMZ network on $DMZIF... exiting" exit 1 fi DMZPREFIX=`ipcalc --prefix $DMZIP $DMZNETMASK | sed s/PREFIX=//i` if [ -z $DMZPREFIX ]; then logger -p local6.notice -t firewall "Could not determine DMZ prefix on $DMZIF... exiting" echo "Could not determine DMZ prefix on $DMZIF... exiting" exit 1 fi logger -p local6.notice -t firewall "DMZ info - $DMZIP/$DMZNETMASK on network $DMZNETWORK/$DMZPREFIX" TYPE="dmz" fi if [ ! -z $TRUSTEDGATEWAY ]; then TYPE="trustedgateway" fi # Start the firewall #------------------- if [ "$TYPE" == "gateway" ]; then logger -p local6.notice -t firewall "Using gateway mode" gateway elif [ "$TYPE" == "dmz" ]; then logger -p local6.notice -t firewall "Using DMZ mode" gateway elif [ "$TYPE" == "trustedgateway" ]; then logger -p local6.notice -t firewall "Using trusted gateway mode" trustedgateway else logger -p local6.notice -t firewall "Using standalone mode" standalone fi

et pour etre sur ke il est executable j'ai fait ça : [root@cc rc.d]# chmod 755 rc.firewall [root@cc rc.d]# ls init.d rc0.d rc2.d rc4.d rc6.d rc.firewall.old.hs rc.firewall.squid rc.sysinit rc rc1.d rc3.d rc5.d rc.firewall rc.firewall.sav rc.local [root@cc rc.d]# -rwxr-xr-x 1 root root 22663 Aug 14 2003 rc.firewall _________________ Mais moi aussi je veux des Galons je veux etre "Maitre lieutenant chef capitaine" et donner des ordres lOl

par **tomtom** » 14 Août 2003 13:28

OK... Bon, ca a l'air bon. Tu as modifié avec quoi ton fichier ? vi ou sous windows avec transfert ?

par **touffator** » 14 Août 2003 13:35

wordpad sous windows avec transphere via ssh de chez w*w.ssh.com j'ai pris word pad car notepad ne me fait pas de retour a la ligne et me met des carré a la place des retour a ligne <IMG SRC="images/smiles/icon_frown.gif"> mais ce rc.firewall c'est le seul a me faire ça j'ai meme essayer un reboot complet de la box et au démarage c'est idem : : bad interpreter: No such file or directory le seul truc que je puisse faire c'est le restauré a partir de mon rc.firewall.sav mais si je le remodifie => meme probleme (je vais peut etre essayer VI mais je galere pas mal avec) enfin tu vois pas d'ou ça peut venir <IMG SRC="images/smiles/icon_frown.gif"> <IMG SRC="images/smiles/icon_bawling.gif"> PS : ca fait deux jours que ma box tourne comme ça je suis pas trop rasuré niveau secu confirme moi : LA J'AI PAS DE FW ? mais on peut acceder k'a la box dans le pire des cas ? ++ Touf (ps merci de ton aide <IMG SRC="images/smiles/icon_smile.gif"> )

par **tomtom** » 14 Août 2003 14:35

Si le rc.firewall ne demarre pas -> pas demasquerading (donc pas de connexion pour les autres pc) Pas de règles de filtrage non plus donc tu es plus vulnérable, ceci dit s'il n'y a pas trop de services qui tournent sur cc le risque n'est pas trop élevé de voir ta machine compromise... Par contre si elle l'est, elle pourra servir de relais pour attaquer le reste du lan ! Bon, de toutes façon on va trouver ce qui cloche ! Essaye : # ls -l /bin/sh deja pour voir... T.

par **Gesp** » 14 Août 2003 16:26

Il se peut que des CR/LF (en français, entrée+retour ligne) soient dans le fichier et souvent Linux aime pas. Pour diagnostiquer, il suffit qu'il regarde le fichier avec notepad. S'il va a la ligne sur les lignes modifiées, c'est le problème et c'est pas bon. C'est peut-être possible de copier un retour ligne simple (à la rigueur avec une lettre de fin, une de début) et de le coller à la place de ce qui ne va pas? Sinon il faut un éditeur plus efficace ou retirer les CR avec sed comme indiqué là <a href="http://www.ptug.org/sed/sedfaq.htm" target="_blank">http://www.ptug.org/sed/sedfaq.htm</a> sed 's/^M$// rc.firewall doit le faire une petite sauvegarde avant cp rc.firewall rc.firewall.bak peut permettre de se récuper d'erreurs.

par **touffator** » 14 Août 2003 16:42

chaque chose en sont temp <IMG SRC="images/smiles/icon_smile.gif"> j'ai fait la commande de tom rtesultat : [root@cc rc.d]# ls -l /bin/sh lrwxrwxrwx 1 root root 4 Aug 11 13:47 /bin/sh -> bash et pour gesp j'ai fait la commande sed 's/^M$//' rc.firewall (avec le ' rajouté) il m'a affichier le fichier et [root@cc rc.d]# ./rc.firewall : bad interpreter: No such file or directory mais je pense que ca vien de l'edit de ce fumi*r de windows car j'ai editer avec VI (tant bien que mal lol ) et ça fonctionne (juste l'edition) par contre il trouve tjours pas mon ip internet (cf modif sur post du dessus) "rc.firewall.sav" 639L, 22025C written [root@cc rc.d]# ./rc.firewall.sav   <= ICI y devrais y avoir l'ip de mon modem mais ça marche PAS ppp0 External IP not available... exiting [root@cc rc.d]# et la je comprend pas pkoi (apparement il retrouve plus la variable ppp0 quand il fait le test) allez meme si ça avance a grand pas je <IMG SRC="images/smiles/icon_bawling.gif"> encore un coup <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_bawling.gif">

par **Gesp** » 14 Août 2003 19:25

Je suis un peu bête sed 's/^M$// rc.firewall ne fait que afficher copie en rc.firewall.bak puis tapes sed 's/^M$//' rc.firewall.bak > rc.firewall et ton rc.firewall doit être bon maintenant.

par **touffator** » 15 Août 2003 15:23

yep il est bon <IMG SRC="images/smiles/icon_wink.gif"> mais il ne trouve tjrs pas l'ip internet donc il vau pas se lancer <IMG SRC="images/smiles/icon_frown.gif"> mais je cherche je vais remplacer les variable par des trucs en dur mas c'est ppas top clean enfin si vous avez des idées de modif qui marche ++ touf

par **touffator** » 15 Août 2003 15:36

gesp j'ai du faire une mauvaise manip ou je sait pas ce ke j'ai fait mais y avait plus rien dans mon rc.firewall looooool dc je suis repartit d'une sauvegarde ki fonctionnais et j'ai modif le code en gras :-/ # Defaults #--------- if [ -z $EXTIF ]; then EXTIF=`cat /etc/sysconfig/network | grep GATEWAYDEV | cut -d '=' -f2` if [ -z $EXTIF ]; then echo "Gateway not defined in /etc/sysconfig/network... using eth0" logger -p local6.notice -t firewall "Gateway not set in /etc/sysconfig/network... using eth0"  EXTIF="ppp0" fi fi [ -z $LANIF ] && LANIF="eth1" [ -z $DMZIF ] && DMZIF="none" [ -z $TRUSTEDIF ] && TRUSTEDIF="! $EXTIF" # Sanity check #-------------  EXTIP=`ifconfig | grep -A 4 ppp0 | awk '/inet/{print $2}' | sed -e s/addr://` if [ -z $EXTIP ]; then echo $EXTIP echo $EXTIF echo "External IP not available... exiting" logger -p local6.notice -t firewall "External IP not available... exiting" exit 1 fi suite a ça j'ai plus le meme message maintenant il me fait [root@cc rc.d]# ./rc.firewall ' (No aliases, :, ! or *).n interface `ppp0 ' (No aliases, :, ! or *).n interface `ppp0 ..... comme ça sur 15 lignes ..... et pourtant si je fait un IFconfig [root@cc rc.d]# ifconfig eth1 Link encap:Ethernet HWaddr 00:04:76:D1:A9:4D inet addr:10.0.0.100 Bcast:10.255.255.255 Mask:255.0.0.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:36235 errors:0 dropped:0 overruns:0 frame:0 TX packets:40533 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:6052001 (5.7 Mb) TX bytes:32022036 (30.5 Mb) Interrupt:11 Base address:0xe800 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:6323 errors:0 dropped:0 overruns:0 frame:0 TX packets:6323 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:746827 (729.3 Kb) TX bytes:746827 (729.3 Kb) ppp0 Link encap:Point-to-Point Protocol inet addr:82.64.161.46 P-t-P:192.168.254.254 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:5102 errors:0 dropped:0 overruns:0 frame:0 TX packets:5058 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:793679 (775.0 Kb) TX bytes:569202 (555.8 Kb) J'AI UN PPP0 alors k'esk'il demande de plus <IMG SRC="images/smiles/icon_cussing.gif"> <IMG SRC="images/smiles/icon_cussing.gif"> pfff ça devien fatigant de chercher et de rien trouver ++ touf _________________ Mais moi aussi je veux des Galons je veux etre "Maitre lieutenant chef capitaine" et donner des ordres lOl

cc + modem ECI + nat + rc.firewall j'y arrive plus

Qui est en ligne ?