Ip masquerading et port forwarding sous sme 5.5

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Messagepar Groslolo » 02 Août 2002 17:30

Bonjour. J'ai installé SME 5.5 mais il y a 2 choses qui me posent problème : <BR> <BR>1 - Pour forwarder un port, j'utilise dmc-mitel-portforwarding-0.0.1-4.noarch.rpm. Il est aisé de forwarder un port simple mais que faut-il écrire dans le server-manager pour forwarder toute une plage de ports, comme 2000-3000 ? Faut-il les faire un par un (2000-3000 et 2000:3000 ne semblent psa marcher) ? <IMG SRC="images/smiles/icon_eek.gif"> <BR> <BR>2 - Je souhaite désactiver Squid, mais si je le fait, plus d'internet !!! Il semblerait que ce soit un problème d'ip masquerading. Quelqu'un sait-il comment le mettre en œuvre ? <BR> <BR>Merci pour vos réponses, <BR>Loïc
Avatar de l’utilisateur
Groslolo
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 149
Inscrit le: 02 Août 2002 00:00

Messagepar Bibi » 06 Sep 2002 16:58

Je suis intéressé par la soluce aussi. <BR>Quel fichier doit on editer pour placer les règles de filtrage des paquets ? <BR> <BR>Merci.
Avatar de l’utilisateur
Bibi
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 05 Juil 2002 00:00

Messagepar Groslolo » 06 Sep 2002 17:06

Justement j'ai trouvé la soluce !!!!!!!!!!!! <BR>Pas la peine d'installer ces paquetages, car on peut le faire en modifiant directement ipchains : <BR>ipmasqadm autofw -A -v -r udp 2300 2400 -h 192.168.0.2 <BR>par exemple, pour forwarder les ports udp entre 2300 et 2400 sur la station ayant pour adresse 192.168.0.2. Seul petit problème, il y a des ports entre 1020 et 1050 udp que l'on ne peut pas forwarder, sinon, plus d'internet...
Avatar de l’utilisateur
Groslolo
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 149
Inscrit le: 02 Août 2002 00:00

Messagepar Djsquall » 07 Sep 2002 00:03

Salut, <BR> <BR>Je n'ai pas encore testé SME, mais j'ai déjà testé le forwarding et la masquerade grace à IPTABLES, je vous donne ma config sur un 2.4.18 <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>D'abord creez <BR> <BR>[djsquall@redhat djsquall]$ cat /etc/firewall.sh <BR>#!/bin/bash <BR> <BR>#Activation de l'IP FORWARDING <BR>echo 1 > /proc/sys/net/ipv4/ip_forward <BR> <BR>#anti spoofing <BR>if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] <BR>then <BR>for filtre in /proc/sys/net/ipv4/conf/*/rp_filter <BR>do <BR>echo 1 > $filtre <BR>done <BR>fi <BR> <BR>#anti icmp <BR>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all <BR>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts <BR> <BR>#vidage des regles <BR>/sbin/iptables -F <BR>/sbin/iptables -X <BR> <BR>#Ajout de deux chaines <BR>/sbin/iptables -N LOG_DROP <BR>/sbin/iptables -A LOG_DROP -j LOG --log-prefix ' [IPTABLES DROP] : ' <BR>/sbin/iptables -A LOG_DROP -j DROP <BR>/sbin/iptables -N LOG_ACCEPT <BR>/sbin/iptables -A LOG_ACCEPT -j LOG --log-prefix ' [IPTABLES ACCEPT] : ' <BR>/sbin/iptables -A LOG_ACCEPT -j ACCEPT <BR> <BR>#on rejette tout <BR>/sbin/iptables -P INPUT DROP <BR>/sbin/iptables -P OUTPUT DROP <BR>/sbin/iptables -P FORWARD DROP <BR> <BR>#la machine locale <BR>/sbin/iptables -A INPUT -i lo -j ACCEPT <BR>/sbin/iptables -A OUTPUT -o lo -j ACCEPT <BR> <BR>#partage de connection internet <BR>/sbin/iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT <BR>/sbin/iptables -A FORWARD -o eth0 -i ppp0 -j ACCEPT <BR>/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE <BR> <BR> <BR>#pour le web <BR>/sbin/iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state <BR>--state ESTABLISHED -j LOG_ACCEPT #http <BR>/sbin/iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m <BR>state <BR>--state NEW,ESTABLISHED -j LOG_ACCEPT <BR>/sbin/iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -m state <BR>--state ESTABLISHED -j LOG_ACCEPT #dns <BR>/sbin/iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -m <BR>state <BR>--state NEW,ESTABLISHED -j LOG_ACCEPT <BR>/sbin/iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -m state <BR>--state ESTABLISHED -j LOG_ACCEPT #dns <BR>/sbin/iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -m <BR>state <BR>--state NEW,ESTABLISHED -j LOG_ACCEPT <BR> <BR>/sbin/iptables -A INPUT -i ppp0 --protocol tcp --source-port 6667 -m state <BR>--state ESTABLISHED -j LOG_ACCEPT #irc <BR>/sbin/iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 6667 -m <BR>state --state NEW,ESTABLISHED -j LOG_ACCEPT <BR> <BR>/sbin/iptables -A INPUT -i ppp0 --protocol tcp --source-port 25 -m state <BR>--state ESTABLISHED -j LOG_ACCEPT #smtp <BR>/sbin/iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 25 -m <BR>state <BR>--state NEW,ESTABLISHED -j LOG_ACCEPT <BR>/sbin/iptables -A INPUT -i ppp0 --protocol tcp --source-port 110 -m state <BR>--state ESTABLISHED -j LOG_ACCEPT #pop <BR>/sbin/iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 110 -m <BR>state --state NEW,ESTABLISHED -j LOG_ACCEPT <BR> <BR>/sbin/iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state <BR>ESTABLISHED <BR>-j ACCEPT <BR>/sbin/iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state <BR>NEW,ESTABLISHED -j ACCEPT <BR>/sbin/iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state <BR>ESTABLISHED,RELATED -j ACCEPT <BR>/sbin/iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state <BR>ESTABLISHED -j ACCEPT <BR>/sbin/iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 <BR>-m state --state ESTABLISHED -j ACCEPT <BR>/sbin/iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport <BR>1024:65535 <BR>-m state --state ESTABLISHED,RELATED -j ACCEPT <BR> <BR>/sbin/iptables -A FORWARD -j LOG_DROP <BR>/sbin/iptables -A INPUT -j LOG_DROP <BR>/sbin/iptables -A OUTPUT -j LOG_DROP <BR> <BR>echo "[FIREWALL ACTIF]" <BR>echo "-----------------------------------------------------" <BR>
Avatar de l’utilisateur
Djsquall
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 06 Sep 2002 00:00

Messagepar Djsquall » 07 Sep 2002 00:07

Ces règles ne sont pas tout a fait complètesn mais ca fera un bon debut... <BR> <BR>apres j'ai créé 2 autres fichiers pour lancer le firewall et flusher les tables : <BR> <BR>pour lancer le firewall : <BR>[djsquall@redhat djsquall]$ cat /etc/init.d/firewall <BR>#!/bin/bash <BR>#Lancement du script du firewall <BR> <BR>/etc/init.d/functions <BR> <BR>RETVAL=0 <BR> <BR>#fonctions pour le lancement du firewall <BR>start() { <BR>echo "-----------------------------------------------------" <BR>echo -n "application des regles IPTABLES : " <BR>/etc/firewall.sh <BR>RETVAL=$? <BR>echo <BR>[ $RETVAL -eq 0 ] && touch /var/lock/subsys/firewall <BR>return $RETVAL <BR>} <BR> <BR>#fonctions pour arreter le firewall <BR>stop() { <BR>echo "-----------------------------------------------------" <BR>echo -n "Flush des regles IPTABLES : " <BR>/etc/flush_iptables.sh <BR>RETVAL=$? <BR>echo <BR>[ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/firewall <BR>return $RETVAL <BR>} <BR> <BR> <BR>case $1 <BR>in <BR> <BR>start) <BR>start <BR>;; <BR> <BR>stop) <BR>stop <BR>;; <BR> <BR>restart) <BR>stop <BR>start <BR>;; <BR> <BR>status) <BR>echo "" <BR>echo "----------------------------------------------------" <BR>/sbin/iptables -L <BR>/sbin/iptables -t nat -L <BR>echo "----------------------------------------------------" <BR>RETVAL=? <BR>;; <BR> <BR>*) <BR>echo "usage : firewall {start|stop|restart|status}" <BR>RETVAL=1 <BR>esac <BR> <BR>exit <BR> <BR> <BR>et pour flusher : <BR> <BR>[djsquall@redhat djsquall]$ cat /etc/flush_iptables.sh <BR>#!/bin/sh <BR>/sbin/iptables -P INPUT ACCEPT <BR>/sbin/iptables -P OUTPUT ACCEPT <BR>/sbin/iptables -P FORWARD ACCEPT <BR> <BR>/sbin/iptables -t nat -P PREROUTING ACCEPT <BR>/sbin/iptables -t nat -P POSTROUTING ACCEPT <BR>/sbin/iptables -t nat -P OUTPUT ACCEPT <BR> <BR>/sbin/iptables -F <BR>/sbin/iptables -t nat -F <BR> <BR>/sbin/iptables -X <BR>/sbin/iptables -t nat -X <BR> <BR>echo "[FIREWALL DESAVCTIVE]" <BR>echo "-----------------------------------------------------" <BR>
Avatar de l’utilisateur
Djsquall
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 06 Sep 2002 00:00

Messagepar Groslolo » 07 Sep 2002 00:07

Intéressant ! Mais le problème c'est que sme a un noyau 2.2.x donc il n'y a qu'ipchains !!!!!!! Mais je note ton truc, chuis sûr que ça va me reservir ! Merci ! <IMG SRC="images/smiles/icon_bise.gif">
Avatar de l’utilisateur
Groslolo
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 149
Inscrit le: 02 Août 2002 00:00

Messagepar antolien » 07 Sep 2002 00:22

c'est vraiment excelent comme forum, mais j'ai un piti problème, je n'arrive pas à vous suivre ! IXUS nous à conçu un petit manuel certe très bien fait pour connaître les commandes de base pour linux mais en aucun cas ne propose un paragraphe "Gestion Réseaux" sauf qu'ici si je ne m'abuse il s'agit bien et avant tout même de réseau . donc alors , auriez vous un lien "français" de linux réseau afin de connaître la base en la matière à nous proposer ? (genre les commande route add, netstat, des trucs sympas avec des ex et machin) jsuis difficile et certe les gars qui maîtrisent linux maintenant ont dûs galèrer mais partager est la meilleure façon d'aprécier ces efforts .... <IMG SRC="images/smiles/icon_help.gif">
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Djsquall » 07 Sep 2002 13:46

Salut, <BR> <BR>C'est exact, SME n'a que le 2.2.x, donc pas d'IPTABLES <IMG SRC="images/smiles/icon_frown.gif"> <BR>De plus je me suis renseigné, IPTABLES ne sera même pas supporté en RPM ou en code source <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Donc; il faudra attendre la prochaine version de SME. <BR>Neanmoins une version béta de SME est d'ore et deja dispo. <BR>Avis aux bidouilleurs <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>PS : Merci à Gran-Pa pour les infos sur SME
Avatar de l’utilisateur
Djsquall
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 06 Sep 2002 00:00

Messagepar Groslolo » 07 Sep 2002 15:27

C'est une version alpha... <IMG SRC="images/smiles/icon_biggrin.gif">
Avatar de l’utilisateur
Groslolo
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 149
Inscrit le: 02 Août 2002 00:00

Messagepar Djsquall » 08 Sep 2002 14:20

Exact... <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>C'était pour voir si tout le monde suivait.... <IMG SRC="images/smiles/icon_lol.gif">
Avatar de l’utilisateur
Djsquall
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 06 Sep 2002 00:00

Messagepar paradox » 11 Sep 2002 12:10

A quand une prochaine versio ? <BR> <BR>Qu'est-il prévu de plus ? Changement ?
Avatar de l’utilisateur
paradox
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 279
Inscrit le: 07 Jan 2002 01:00

Messagepar Groslolo » 11 Sep 2002 12:35

1- Je ne sais pas ! <BR>2- Je sais au moins qu'il s'agira d'un kernel 2.4.x ! <BR>3- Donc oui ! Ce sera mieux... <BR> <IMG SRC="images/smiles/icon_biggrin.gif">
Avatar de l’utilisateur
Groslolo
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 149
Inscrit le: 02 Août 2002 00:00

Messagepar paradox » 11 Sep 2002 13:08

Merci monsieur <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>J'espère que sortira rapidement, car je penser enfin, bientot en mettre une en prod ici. Ce serai bête d'en configurer une, et de voir une new version apparaitre juste après.. <IMG SRC="images/smiles/icon_cry.gif">
Avatar de l’utilisateur
paradox
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 279
Inscrit le: 07 Jan 2002 01:00

Messagepar Djsquall » 14 Sep 2002 11:10

C'est clair que ca serait dommage, de plus avec le 2.4, ca sera déjà un peu moins galère pour la prise en compte de nos peripheriques USB (modem), ect... <BR>Et bien sur netfilter sera de la partie <IMG SRC="images/smiles/icon_smile.gif"> <BR>@+ <BR>Djsquall
Avatar de l’utilisateur
Djsquall
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 06 Sep 2002 00:00

Messagepar paradox » 18 Sep 2002 15:04

Pas de gestion des règles de firewalling via interface web ?
Avatar de l’utilisateur
paradox
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 279
Inscrit le: 07 Jan 2002 01:00


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité