comment ouvrir un port et fixer ses régles ??

[TOMDEP]

<BR> <BR>Slt tout le monde <BR> <BR>je recherche la methode pour ouvrir un port sous ipcop 1.4.0.a.1 <BR>il s'agit du port 5900 pour utilitser vnc <BR>quelles sont les manip pour ouvrir le port et faire la redirection sur <BR>une machine <BR>et d'une facon plus général de fixer les régles incoming/outgoing des ports <BR> <BR>merci a tous <BR> <BR> <IMG SRC="images/smiles/icon_bise.gif">

[tomtom]

La première manip consiste à lire la doc.... <BR>Je serais vraiment surpris si tu ne trouves pas la methode pour transférer un port dedans ! <BR> <BR>t.

[TOMDEP]

ok <BR>mais pour le debutant que je suis cela reste un peu la jungle... <BR>où puis je trouver une doc assez détailler et pas trop prise de tete ?? <BR>merci <IMG SRC="images/smiles/icon_confused.gif">

[Pabze]

D'accord avec toi TomTom, ouvrir, puis "forward" vers le client ! <BR> <BR>Ms juste une chose en plus : <BR> <BR>Ds la 1.4a1, il y a dans l'onglet service : "Firewall network" et "Firewall service" en quoi consistent ils exactement, car en rajoutant certaines chose, rien ne se fais de plus au niveau des logs ? <BR> <BR>Enfin, sauf erreur de ma part ! <IMG SRC="images/smiles/icon_biggrin.gif">

[Pabze]

Sur le site même d'IPCOP : <BR> <BR>A savoir, <!-- BBCode auto-link start --><a href="http://www.ipcop.org" target="_blank">www.ipcop.org</a><!-- BBCode auto-link end --> ! <BR> <BR>Doc et FAQ en français ! ... <BR>(Regardes bien selon la version de ton IP-Cop au niveau de la faq (1.2 -- ipchains & 1.3 -- iptables) <IMG SRC="images/smiles/icon_smile.gif">

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-10-29 15:27, Pabze a écrit: <BR>D'accord avec toi TomTom, ouvrir, puis "forward" vers le client ! <BR> <BR>Ms juste une chose en plus : <BR> <BR>Ds la 1.4a1, il y a dans l'onglet service : "Firewall network" et "Firewall service" en quoi consistent ils exactement, car en rajoutant certaines chose, rien ne se fais de plus au niveau des logs ? <BR> <BR>Enfin, sauf erreur de ma part ! <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Je n'ai jamais installé ipcop depuis la 1.2 alors désolé.. demande plutot à Gesp <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>t..

[hb]

sans trop m'avancé je dirais <BR>avant la 1.4 il fallait forwarder vers une IP <BR>maintenant on peut juste l'ouvrir sans definir de forward <BR>j'utilise cette fonction en reseau local Microsoft (SRV-RED-IPCOP-GREEN-PCuser) <BR>j'ai ouvert le 135, 137, ... sans préciser les adresses des serveurs et des clients <BR> <BR>avant il fallait modifier les fichier rc.firewall à la main <BR> <BR>enfin de ce que j'en ai compris !

[tomtom]

Bon, je sens qu'il y a encore entre ouvrir, transferer, forwarder etc, une confusion qui n'a pas lieu d'être... <BR> <BR>IPCop est un firewall... <BR>C'est à dire que qudn un paquet arrive sur une de ses interfaces réseuax, et en fonction de certains paramètres, il va decider ce qu'il peut faire de ce paquet. <BR>IPcop utilise netfilter comme firewall. Netfilter est architectué autour de 3 tables : <BR>Une qui sert à autoriser ou non le spaquets à passer (filter) <BR>Une qui sert à modifier les addreses au sein des paquets (nat) <BR>Une qui sert à "bricoler" certains paramètres des paquets au passage (mangle). <BR> <BR>Que se passet-il quand un paquet se presente sur une interface ? Prenons par exemple l'interface RED. <BR>Un paquet arrive sur le port 9000 pour vnc. <BR> <BR>-> en premier, dans la table NAT, une serie de règles dites de "prerouting" vont faire les modifications d'adresses en fonction du protocole, des addresses, du port etc <BR>-> une fois ceci effectué, on a une decision de routage. En fonction des paramètres qui sont dans le paquet (apres modif par le nat !), on decide si ce paquet est destiné à l'ordinateur lui-même ou à un autre. <BR> <BR>-->1-destiné à lui même. -> il test soumis au filtrage, dans la chaine input². S'il est accepté il est transmis au demon qui ecoute... sinon, il est dropé... <BR> <BR>-->2 destiné à une autre machine -> il est soumis au filtrage, dans la chaine output. S'il est accepté, il passe à la chiinae de POSTROUTING de la table NAT. Sinon, il est dropé... <BR> <BR>-> dans le postrouting, on peut encore modifier des addresses..... <BR> <BR> <BR> <BR> <BR>Partant d'une configuration de base, que se passe-t-il ? <BR> <BR>-> si on ajoute une regle avec ce port dans acces aux services externes, cela va ajouter des règles dans la table INPUT (et seulement celle-ci !), ce qui fait qu'un paquet arrivant sur ce port pourra etre transmis à un demon ecoutant sur IPCop lui-même. On utilise ceci par exemple pour autoriser l'acces en ssh ! <BR> <BR>-> si on ajoute un transfert de port, il y a 2 actions derrière : <BR> 1- une règle dans le prerouting qui dit que les paquets arrivant sur le port 9000 doivent etre modifiés pour que l'addresse destination devienne celle du serveur vnc en question <BR>2- une règle est ajoutée dans la chaine forward qui autorise les paquets à destination du port 9000 à être transmis à une autre machine (ou juste à la machine en question...) <BR> <BR> <BR>Oubliez tout ce que vous saviez sur ipchains (anciennes versions d'ipcop), il n'est pas necessaire du tout d'"ouvrir" les ports de la machine locale pour faire du transfert ! <BR>Et arretez d'utiliser à tort et à travers le terme "ouvrir" un port qui ne veut rien dire du tout. <BR> <BR> <BR> <BR> <BR>t.