Règles de ports -> besoin d'une confirmation svp

par **xjinh** » 03 Mars 2004 14:55

Bonjour, Avant toute chose, je voudrais remercier Antolien pour toutes les infos que l'on peut trouver sur son site : <a href="http://antolien.nerim.net" target="_blank">http://antolien.nerim.net</a> Suite à la lecture de ces petites faq, j'ai qqes petites qestions: Je souhaite empêcher les utilisateurs du lan à accèder au p2p, messageries instantanées... Je voudrais qu'ils puissent seulement se connecter au web par le port 80 et utiliser leur ftp (ports 20/21). Ils doivent pouvoir télécharger sur le web (via les sites comme télécharger.com) et accéder a leurs messageries (Wanadoo, Free...) Donc je vais rajouter les règles indiquées par antolien: /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -p icmp --icmp-type 0 -j DROP /sbin/iptables -A INPUT -p icmp --icmp-type 5 -j DROP /sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP /sbin/iptables -A INPUT -p icmp -j ACCEPT /sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT /sbin/iptables -A FORWARD -i $GREEN_DEV -p tcp -m multiport --dport 110,80,21,20 -j ACCEPT /sbin/iptables -A FORWARD -i $GREEN_DEV -j DROP Toutefois, je sais qu'il y a des ports systèmes utilisés pour les retours. Par exemple, qd on se connecte à un serveur web sur le port 80, la réponse se fait sur notre machine sur un port système (ex: 1028). - si je bloque tous les ports sauf les 110,80,21 et 20, est ce que ça ne va pas bloquer le traffic? -est qu'il y a d'autres ports que je devrais bloquer ou ouvrir? (pour accéder aux différentes messageries des fAI par exemple).

par **xjinh** » 03 Mars 2004 15:50

Personne n'a d'idée ou est ce trop évident ?? <IMG SRC="images/smiles/icon_frown.gif">

par **xjinh** » 04 Mars 2004 13:19

Personne pour m'aider ??

par **xjinh** » 04 Mars 2004 16:54

Bon alors n'ayant pas de réponse, j'ai fait le test chez moi. J'arrive bien à accéder au web mais j'ai winmx qui ne trouve pas la connexion. Il utilise les ports : WinMX server connection TCP 6699 7729-7735 WinMX inbound UDP connection UDP 6257 WinMX inbound TCP connection TCP 6699 WinMX HTTP connection TCP 80-83-443-1080-3128-8080-8088-11523 Donc voici les règles que j'ai appliqué en fin de rc.firewall: /sbin/iptables -A -FORWARD -i $GREEN_DEV -p tcp -m multiport --dport 80,83,443,110,20,21,1080,3128,8080,8088,6699,7729,7735,11523 /sbin/iptables -A FORWARD -i $GREEN_DEV -p udp -m multiport --dport 6257 -j ACCEPT /sbin/iptables -A FORWARD -i $GREEN_DEV -j DROP Je ne vois pas pourquoi ça ne passe pas. J'avais fait un forward avec l'interface web mais meme en le désactivant ça ne marche pas. Quelqu'un aurait une idée??

par **xjinh** » 04 Mars 2004 18:43

Vous pouvez me dire si je m'exprime mal ou si ça a été dis 30000 fois (mais sur ce dernier point je ne crois pas) ???

par **tomtom** » 04 Mars 2004 18:58

Alors.. Désolé, tu as tres bien posé tes questions masi c'ets vrai que par flemme je l'ai zapée.. c'est pas bien ! 1- pour le surf : les ports utiliser pour le retour seront ouverts dynamiquement par le firewall (ce que l'on appelle statefull), donc pas de soucis.. Les règles sont OK ! 2- Pour winMX <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> WinMX server connection TCP 6699 7729-7735 WinMX inbound UDP connection UDP 6257 WinMX inbound TCP connection TCP 6699 WinMX HTTP connection TCP 80-83-443-1080-3128-8080-8088-11523 </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> server connection, je suppose que c'est ok... il suffit donc d'ajouter les ports tcp comme tu l'as fait. par contre, les 2 inbound : Inbound signifie que ce sont des paquets rentrant... Donc ils vont etre envoyés sur le firewall, qui ne saura pas qu'en faire.. Il faut l'aider un peu -> tu dois declarer deux transferts de ports : default ip - udp port 6257 -> @ip de ta machine winMX port 6257 default ip - tcp port 6699 -> @ip de ta machine winMX port 6699 Pour la connection http; je suppose que le port 80 aurait suufi, mais bon comme ca ca devrait rouler.. Attention, ceci ne te permet d'utiliser ton winMX que sur une seule machine du lan (et qui doit avoir toujours la même ip <IMG SRC="images/smiles/icon_wink.gif"> ). Au fait, c'est quoi winMX ??? t.

par **xjinh** » 04 Mars 2004 19:33

Ah, une âme charitable <IMG SRC="images/smiles/icon_smile.gif"> Winmx est un logiciel de p2p orienté mp3. Pour plus d'info <a href="http://www.winmx.com" target="_blank">www.winmx.com</a> Je m'en sers surtout pour les titres qui ne durent pas comme les titres dance floor. Pour les autres c'est plus cool d'acheter les cd. <IMG SRC="images/smiles/icon_smile.gif"> Merci pour les infos. J'avais bien un forward sur le 6999 mais pas sur le 6257. Entre temps, j'ai fait appel à un copain. Voilà les règles que j'ai ajouté: iptables -t nat -I PREROUTING -p udp -i INTERFACE_EXTERNE --dport 6257 -j DNAT --to IP_DU_CLIENT:6257 iptables -I FORWARD -p udp -i INTERFACE_EXTERNE -o ! INTERFACE_EXTERNE --dport 6257 -j ACCEPT iptables -t nat -I PREROUTING -p tcp -i INTERFACE_EXTERNE -m state --state NEW,ESTABLISHED --dport 6999 -j DNAT --to IP_DU_CLIENT:6999 iptables -I FORWARD -p tcp -i INTERFACE_EXTERNE -o ! INTERFACE_EXTERNE -m state --state NEW,ESTABLISHED --dport 6999 -j ACCEPT Maintenant, ça marche bien. Je rajouterai le meme type de règles pour les ports 80,443,20,21... Voilou <IMG SRC="images/smiles/icon_smile.gif">

par **tomtom** » 04 Mars 2004 19:40

Logiquement, un transfert de port cree exactemetn ces 2 règles, mais mieux placées dans l'architecture d'ipcop.. Je te conseille de supprimer ces règles et de les recreer grace aux transferts de ports... Pour les autres ports, je ne pesne pas qu'ils soient necessaires... [edit] Je suis même sur qu'ils ne sont pas necessaire... le 80 et le 443 doivent etre autorisés (ce que tu as fait au debut, avec les règles d'Antolien)... Pas besoin de prerouting, ipcop se debrouillera comme un grand pour te renvoyer les paquets retour <IMG SRC="images/smiles/icon_wink.gif"> [/edit] t. _________________ "Unix is user friendly. He's just very picky about who his friends are... "

par **xjinh** » 04 Mars 2004 19:45

D'accord je vais supprimer et retester <IMG SRC="images/smiles/icon_smile.gif">

par **xjinh** » 04 Mars 2004 20:25

Je comprends pas. J'ai remis les règles comme au départ. J'ai fait le forward des 2 ports et ça marche pas. Il me trouve pas la connection <IMG SRC="images/smiles/icon_frown.gif">

par **Franck78** » 04 Mars 2004 20:28

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Maintenant, ça marche bien. Je rajouterai le meme type de règles pour les ports 80,443,20,21... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> ?? Ceux la concernent tes client qui veule naviguer. De ton reseau vers internet. Dans l'autre sens, ca n'a pas de sens ! Et désolé de te décevoir : avec tout ces ports ouverts direct vers l'extérieur, les p2p trouveront la sortie...

par **xjinh** » 04 Mars 2004 20:43

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE>?? Ceux la concernent tes client qui veule naviguer. De ton reseau vers internet. Dans l'autre sens, ca n'a pas de sens ! Et désolé de te décevoir : avec tout ces ports ouverts direct vers l'extérieur, les p2p trouveront la sortie... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> La c'est juste pour faire le test. mais sinon j'enlèverai tous ces ports <IMG SRC="images/smiles/icon_wink.gif">

par **xjinh** » 30 Mars 2004 08:29

Salut,

Il y a un truc bizarre.
Chez un pote qui a une red hat et qui l'utilise comme passerelle avec des règles de DNAT, ça marche très bien.
Par contre sur ipcop, en faisant un forward des 2 ports inbound, ça ne change rien. LE tx de download est de 1 à 4Ko/s :cry:

Qu'un aurait il une solution?

par **xjinh** » 02 Avr 2004 19:16

J'ai peut etre trouvé d'où pourrait venir le problème.

Mon modem est un eicon diva 2430se.
Le firmware est d'origine donc il fait du nat.
L'interface du modem a pour @ locale 192.168.1.2.
Et Mon pc est sur 192.168.2.XXX
Donc en fait le firewall il doit y avoir un problème dans la redirection des ports ou un problème lié aux sous réseaux.

Règles de ports -> besoin d'une confirmation svp

Qui est en ligne ?