activation du ping localhost

par **red_raimund** » 13 Nov 2003 14:21

'lut j'aimerais autoriser les operations sortantes de tous mes processus locaux depuis ma passerelle ipcop et je ne comprends pas au juste pourquoi apres avoir taper successivement iptables -t filter -A OUTPUT -o lo -s 127.0.0.0 -d 127.0.0.0 -j ACCEPT iptables -t filter -A INPUT -i lo -s 127.0.0.0 -d 127.0.0.0 -j ACCEPT le ping localhost est en rade. aurais-je omis un detail ? merci de toute suggestion.

par **tomtom** » 13 Nov 2003 14:28

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-11-13 13:21, red_raimund a écrit: 'lut j'aimerais autoriser les operations sortantes de tous mes processus locaux depuis ma passerelle ipcop et je ne comprends pas au juste pourquoi apres avoir taper successivement iptables -t filter -A OUTPUT -o lo -s 127.0.0.0 -d 127.0.0.0 -j ACCEPT iptables -t filter -A INPUT -i lo -s 127.0.0.0 -d 127.0.0.0 -j ACCEPT le ping localhost est en rade. aurais-je omis un detail ? merci de toute suggestion. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Je suppose que tu as des Policy à DROP pour INPUT et OUTPUT. Tes règles sont completement fausses.. Que veux tu faire exactement ? Tout autoriser depuis le lo et vers le lo, c'est ça ? iptables -A INPUT -i lo -d 127.0.0.0/8 -j ACCEPT iptables -A OUTPUT -o lo -s 127.0.0.0/8 -j ACCEPT Ca ira mieux.. N'oublie pas les masques dans les @ <IMG SRC="images/smiles/icon_wink.gif"> t.

par **red_raimund** » 13 Nov 2003 14:53

ben mon objectif est de faire un script genial qui autorise l'acces au net depuis mon reseau local (un seul poste temoin 192.168.1.2) j'ai prealablement eliminé toutes les chaînes de ma tables filter. et j'ai effectivement DROPé les policy par defaut pour INPUT, OUTPUT et FORWARD. et maintenant, j'essaie de realiser un ping localhost. j'ai apporté la modification sumentionnée. ça marche ! donc si je comprends bien, j'avais simplement omis "les masques". peux-tu expliquer la presence de cette option de masquage ou bien si tu veux, m'indiquer un lien où je pourrais faire le plein devitamines, parceque là le cou du /8 j'ai du mal a le digérer. merci. <IMG SRC="images/smiles/icon_smile.gif">

par **tomtom** » 13 Nov 2003 15:16

C'est assez simple : Par defaut, iptables pense que les paramètres souce et distination sont des ip (masque /32, c'ets à dire l'ip complète). Or, l'adresse de loopback est generalement 127.0.0.1, et donc tu ne tombais jamais dans tes règles puisque 127.0.0.0 != 127.0.0.1. Par contre, l'adresse de loopback est en fait un réseau complet de classe A, cad que la station peut utiliser n'importe quelle addresse en 127.x.y.z pour se parler à elle-même. Pour etre tranquille, autant autoriser tout le réseau <IMG SRC="images/smiles/icon_wink.gif"> De toute façon, ces adresses ne seront jamais routées, donc pas dangereuses en théorie.. Sinon, tu peux remplacer ton dernier 0 par un 1 ca devrait donner un bon resultat egalement.... De plus, le test sur l'interface d'entree suffit pour le INUPT (respectivement, interface de sortie pour le OUTPUT), puisque l'on est sur que l'adresse source sera 127.0.0.0/8 si un paquet arrive par l'interface loopback . Pas besoin donc de le rajouter en utilisant le -s (respectivement, OUTPUT, adresse destination, -d). Voila le pourquoi des règles simplifiées. t.

par **red_raimund** » 13 Nov 2003 16:08

merci grace a toi mon script et moi emergeons <IMG SRC="images/smiles/icon_smile.gif">

par **red_raimund** » 13 Nov 2003 17:26

resumons : ok pour la commande iptables ci dessus. dans la continuité du mouvement ----> je souhaite a présent établir un dialogue du genre "ping" entre mon temoin local en 192.168.1.2 et ma passerelle 192.168.1.1 (interface eth0) j'introduis donc au sein de ma table filter deux nouvelles regles : iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT jusque là pas d'anicroche. le resultat est que je pingue mon temoin depuis ma passerelle et réciproquement. j'observe que je ne self-pingue pas ma passerelle (opération not permitted quand sur ma console je tape : ping 192.168.1.1) je suis surpris de ce résultat. si quelqu'un a une explication, merci de penser à moi <IMG SRC="images/smiles/icon_smile.gif">

par **tomtom** » 13 Nov 2003 18:03

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-11-13 16:26, red_raimund a écrit: resumons : ok pour la commande iptables ci dessus. dans la continuité du mouvement ----> je souhaite a présent établir un dialogue du genre "ping" entre mon temoin local en 192.168.1.2 et ma passerelle 192.168.1.1 (interface eth0) j'introduis donc au sein de ma table filter deux nouvelles regles : iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT jusque là pas d'anicroche. le resultat est que je pingue mon temoin depuis ma passerelle et réciproquement. j'observe que je ne self-pingue pas ma passerelle (opération not permitted quand sur ma console je tape : ping 192.168.1.1) je suis surpris de ce résultat. si quelqu'un a une explication, merci de penser à moi <IMG SRC="images/smiles/icon_smile.gif"> </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Essaye un ping -I eth0 192.168.1.1 Pour voir... t.

par **red_raimund** » 13 Nov 2003 18:10

bien je vien de configurer, hativement me direz-vous peut-être mon interface eth1 a l'aide de deux commande similaires au précédente iptables -A INPUT -i eth1 -d 11.22.33.0/24 -j ACCEPT iptables -A OUTPUT -o eth1 -s 11.22.33.0/24 -j ACCEPT et le résultat est similaire : je peux pinguer ma passerelle externe 11.22.33.44 mais impossible de pinguer mon eth1 configurer en 11.22.33.10. merci de toute information fut-elle a mes yeux incompréhensible (j'ose espéré qu'elle ne le sera pas <IMG SRC="images/smiles/icon_biggrin.gif">)

par **red_raimund** » 13 Nov 2003 18:11

nos reponse se sont croisé : donc j'avais pas lu

par **red_raimund** » 13 Nov 2003 18:20

en réponse à _______________________________________________________ Essaye un ping -I eth0 192.168.1.1 Pour voir... t. ______________________________________________________ vu. ca marche pas <IMG SRC="images/smiles/icon_bawling.gif"> note cependant que dans les conditions préindiquées je parviens a ouvrir l'interface ipcop en mode graphique sur mon temoin. A l'exception d'un élément qui ne s'affiche pas : le bidule de sourceforge : mais comment cela se fait-il ? merci

par **tomtom** » 13 Nov 2003 18:52

OK secon test : ping -I 192.168.1.1 192.168.1.1 Pour le bidule sourceforge, je suppose que c'est : soit car tu n'as pas encore l'acces à internet soit parceque le dns ne passe pas.... t.

par **red_raimund** » 13 Nov 2003 19:14

pour le bidule sourceforge bien que j'ai acces a internet je ne sais pas encore le résoudre, quant au test de ping que tu dis je l'ai essayé et il ne fonctionne pas mieux. je viens d'avoir une idée : j'essaye et je te fais le resumé le plus rapidement.

par **red_raimund** » 14 Nov 2003 10:45

desolé j'ai du partir un peu précipitamment résumé : je souhaite pouvoir autopinguer mes interfaces eth0 192.168.1.1 eth1 11.22.33.10 sur ma passerelle ipcop j'ai bien essayé ping I 192.168.1.1 192.168.1.1 ça ne fonctionnait pas j'ai trouvé une doc sur ce point précis qui a repondu au moins partiellement a mes attentes voici le lien : <A HREF="http://null" TARGET="_blank">null</A><A HREF="http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-06.html" TARGET="_blank">firewall linux</A>http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-06.html Il semblerait que "lorsque qu'une machine accède à ses propres ressources elle ne passe pas par l'interface physique, mais uniquement par l'interface loopback. Donc au lieu de passer par les règles de l'interface eth0/192.168.1.1, ces paquets sont passés par ceux de l'interface lo" et ont été dropé par défaut. dans le script il m'a suffit de supprimer les regles : iptables -t filter -A OUTPUT -o lo -d 127.0.0.0/8 -j ACCEPT iptables -t filter -A INPUT -i lo -s 127.0.0.0/8 -j ACCEPT et de mettre à la place iptables -t filter -A OUTPUT -o lo -d 0.0.0.0/0 -j ACCEPT iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -j ACCEPT effectivement la conséquence est que je peux autopinguer ma passerelle. Bon d'accord j'ai pas dit que j'avais tout pigé. mais je désespère pas a ce sujet merci de toute information au fait c'est un type bien cet "olivier" ?

par **tomtom** » 14 Nov 2003 10:50

Moui effectivement.. Bon, c'est un peu tordu que l'interface utilse une adresse source ip publique avec une interface lo.... De plus, lorsque je t'ai fait faire le ping -I eth0, c'est que je soupçonnais un truc de ce genre, mais le -I specifie l'interface de sortie, donc c'est quand même etrange... TU es sous quielle distrib, quel noyau ??? t. [edit] Oups, tu es sous ipcop... Ben c'ets surprenant, je viens de tester sur ma deb, ca fonctionne.. PE un ptit soucis d'implémentation de ping ? [/edit] _________________ "Unix is user friendly. He's just very picky about who his friends are... "

par **red_raimund** » 14 Nov 2003 12:13

tu m'inquiètes... qu'entends tu par implementation de ping ? mon ipcop serait foireux ? ou mes interfaces carrément ! d'un autre côté si une solution, apparemment pas la meilleure est envisageable pour resoudre l'autoping, il reste que j'accede toujours pas au net depuis mon témoin donc...? voici le script actuel intégral : iptables -F iptables -X //inutile a priori iptables -P INPUT DROP //police par défaut iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i lo -d 0.0.0.0/0 -j ACCEPT //acceptation des paquet sur lo iptables -A OUPUT -o lo -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT //acceptation des paquets iptables -A OUTPUT -o eth0 -s 192.168.1.0/24 -j ACCEPT // sur eth0 iptables -A INPUT -i eth1 -d 11.22.33.0/24 -j ACCEPT //acceptation des paquets iptables -A OUTPUT -o eth1 -s 11.22.33.0/24 -j ACCEPT // sur eth1 est ce que je me goure pas au niveau des paramètres -d et -s. il me semble que non mais... ça pourrait expliquer pourquoi j'accède au net uniquement depuis ma passerelle et pas depuis mon témoin. toute idéée est la bienvenue.

activation du ping localhost

Qui est en ligne ?