Help !! PArtage de connexion !!

par **Sebastien65** » 09 Nov 2003 22:30

Salut, Je tourne sous Red Hat 9 avec un modem sur com1 et je voudrais partager la connexion sur le lan mais je n'y arrive pas... Comment faut il faire! Merci d'avance

par **grimms** » 10 Nov 2003 08:18

Salut Faut jouer avec les regles iptables <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> #!/bin/sh # Script "fire.sh" # Fichier contenant les regles de filtrage iptables IPTABLES=/sbin/iptables #interface internet eth1 pour les modem usb non sagem ppp0 EXTERNAL_IF="eth1" # REMISE Ã ZERO des regles de filtrage $IPTABLES -F $IPTABLES -t nat -F #Politique par défaut on fait le mort pc invisible $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP #Traffic Local tous est authoriser $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT $IPTABLES -A FORWARD -s 192.168.1.0/24 -j ACCEPT #eth0 reseau local authoriser (les pc client on acces a tous les port avec cette config donc un troyen passera) $IPTABLES -A INPUT -i eth0 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -j ACCEPT $IPTABLES -A FORWARD -i eth0 -j ACCEPT $IPTABLES -A FORWARD -o eth0 -j ACCEPT #Log on logue tous inconvenient si on as pas d'interface graphique on a les info qui s'ecrive dans la console active $IPTABLES -N LOG_DROP $IPTABLES -A LOG_DROP -j LOG --log-prefix "[Firewall] " $IPTABLES -A LOG_DROP -j DROP #Acces au web $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp -m multiport --sports 80 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp -m multiport --dports 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #FTP passif $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT #Acces au smtp pop imap $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp -m multiport --sports smtp,pop3,imap2 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp -m multiport --dports smtp,pop3,imap2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #Acces au DNS $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -i $EXTERNAL_IF -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #Ping $IPTABLES -A OUTPUT -p icmp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A INPUT -p icmp -m state --state NEW -m limit --limit 10/min -j ACCEPT #NTP # $IPTABLES -A INPUT -i $EXTERNAL_IF -p udp --sport ntp -m state --state ESTABLISHED,RELATED -j ACCEPT # $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p udp --dport ntp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #amsn #le port 6891 6892 etc permete le transfert di fichier $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --dport 6891 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --dport 6891 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #port indispensable pour ce connecter $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --dport 1863 -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --sport 38889 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #SSL #$IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --sport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ###### SERVEUR ###### #Serveur www #$IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --sport www -m state --state ESTABLISHED,RELATED -j ACCEPT #$IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --dport www -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #Serveur SSH vers un ip fixe # $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --sport ssh -d 192.168.1.2 -m state --state ESTABLISHED,RELATED -j ACCEPT # $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --dport ssh -s 192.168.1.2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #Serveur smtp # $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --sport smtp -m state --state ESTABLISHED,RELATED -j ACCEPT # $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --dport smtp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #Serveur pop # $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --sport pop3 -m state --state ESTABLISHED,RELATED -j ACCEPT # $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --dport pop3 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #Serveur imap #$IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --sport imap2 -m state --state ESTABLISHED,RELATED -j ACCEPT #$IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --dport imap2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #Serveur FTP #$IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp -m multiport --sports ftp,ftp-data -m state --state ESTABLISHED,RELATED -j ACCEPT #$IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp -m multiport --dports ftp,ftp-data -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #Serveur MySQL pour IP fixes # $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --sport mysql -d 192.168.1.2 -m state --state ESTABLISHED,RELATED -j ACCEPT # $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --dport mysql -s 192.168.1.2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #Partage de connection $IPTABLES -A POSTROUTING -t nat -o $EXTERNAL_IF -j MASQUERADE # Autoriser le forward pour le partage internet echo 1 > /proc/sys/net/ipv4/ip_forward #transfert de port #/sbin/iptables -t nat -A PREROUTING -p tcp --dport 2346 -j DNAT --to-destination 192.168.1.2:2346 /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #On fout tout dans le syslog $IPTABLES -A FORWARD -j LOG_DROP $IPTABLES -A INPUT -j LOG_DROP $IPTABLES -A OUTPUT -j LOG_DROP </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Voila le script que j'utilise je pense qu'ici d'autre t'en fourniron un mieux mais il fonctionne eth1 est mon interface internet eth0 pour mon local a toi de prendre ce qui t'interesse

par **kagou** » 10 Nov 2003 08:28

Installe shorewall <a href="http://www.shorewall.net/" target="_blank">http://www.shorewall.net/</a> Lit les docs ... Et tu y es <IMG SRC="images/smiles/icon_wink.gif"> _________________ Forum francophone d'entre aide pour la Debian <a href="http://www.andesi.org" target="_blank">http://www.andesi.org</a>

par **grimms** » 10 Nov 2003 08:36

tu a deja lancer un scan de tes port apres configuration de shorewall? a l'epoque ou j'avait tester la mandrake je l'avait fait bilan une 15ene de ports impossible a fermer <IMG SRC="images/smiles/icon_wink.gif">. J'oublier si tu a 1 ou 2 pc indique tes dns sur tes poste clients si tu en a plus install un serveur dns cahce sur ton serveur et tu indique l'ip de ton serveur sur tes clients

par **Sebastien65** » 10 Nov 2003 12:33

Salut, Merci de vos réponses les gars !! Je vais étudier le script de grimms et ensuite voir le lien que tu m'as proposé... Tien au fait tant que j'y suis : Grimms on ne C pas déjà croisé sur un forum qui est l'inverse de Linux ?????

par **Vinzstyle** » 10 Nov 2003 12:52

J'ai une Mandrake, entre autre, et j'ai jamais rencontrer ce problème de ports impossibles à fermer. t'as dû oublier de faire qqchose. Tu as toujours ce problème ?

par **Vinzstyle** » 10 Nov 2003 12:56

J'ai une Mandrake, entre autre, et j'ai jamais rencontrer ce problème de ports impossibles à fermer. t'as dû oublier de faire qqchose. Tu as toujours ce problème ?

par **Vinzstyle** » 10 Nov 2003 12:56

J'ai une Mandrake, entre autre, et j'ai jamais rencontrer ce problème de ports impossibles à fermer. t'as dû oublier de faire qqchose. Tu as toujours ce problème ?

par **Rbill** » 10 Nov 2003 13:38

[joke] eh Vinzstyle! Tu as 3 PC mandrake ? [/joke] Autrement pas de pb de ports avec shorewall sur mandrake 9.2rc2

par **kagou** » 10 Nov 2003 13:58

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-11-10 07:36, grimms a écrit: tu a deja lancer un scan de tes port apres configuration de shorewall? a l'epoque ou j'avait tester la mandrake je l'avait fait bilan une 15ene de ports impossible a fermer <IMG SRC="images/smiles/icon_wink.gif">. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Et bien soit ton scan était foireux (certains dispo sur le net le sont), soit tu as raté ta configuration <IMG SRC="images/smiles/icon_biggrin.gif">

par **grimms** » 10 Nov 2003 15:39

Seb65 si je confirme je squater un autre forum que tu connait Pour shorewall je passer par un pote qui scanner mes ports de maniere un peu plus soutenu que le font les sites et je tourne sous debian donc maintenant je n'ai plus le probleme configurant manuelemnt iptables puit franchement editer un script ou lancer un soft pour configurer je trouve le script plus simple. Quand a la remarque tu croie vraiment qu'une personne ayant installer linux calerait sur iptables?

par **kagou** » 10 Nov 2003 16:00

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-11-10 14:39, grimms a écrit: Seb65 si je confirme je squater un autre forum que tu connait Pour shorewall je passer par un pote qui scanner mes ports de maniere un peu plus soutenu que le font les sites </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Et bien ta configuration était mauvaise alors. En mettant la politique par défaut ("net fw DROP" et/ou "net loc DROP" et/ou "net dmz DROP") dans policy, et en ouvrant que les ports dans rules ("net fw tcp www ACCEPT") il n'y a pas de problèmes. C'est d'ailleurs la manière de procéder recommandée par Tom, ainsi que celle fournie dans les fichiers de configuration d'exemple pour 1 ou 2 ou 3 interfaces. <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-11-10 14:39, grimms a écrit: puit franchement editer un script ou lancer un soft pour configurer je trouve le script plus simple. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Si tu veux, mais réfléchit à mes questions : Penses-tu que ton script soit plus efficace que shorewall utilisé/maintenu/amélioré depuis quelques années et par des miliers de personnes ? Penses-tu être suffisemment compétent pour écrire un firewall efficace ? Et donc as tu pris en compte les différentes attaques que peut subir un firewall ? Connais-tu toutes ces attaques ? Dire que ton script est plus simple que la configuration de shorewall ne veut absolument rien dire. <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-11-10 14:39, grimms a écrit: Quand a la remarque tu croie vraiment qu'une personne ayant installer linux calerait sur iptables? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Oh que oui <IMG SRC="images/smiles/icon_biggrin.gif"> Amicalement <IMG SRC="images/smiles/icon_smile.gif">

par **grimms** » 10 Nov 2003 18:14

Tu devrait savoir que shorewall n'est qu'une interface pour cree les script iptables donc que tu utilise un script iptables ou que tu utilise un logiciel qui creera le meme type de script ou est le changement? Deplsu je dit nullement que je peut cree des script iptables de meilleur qualiter mais une recherche google et en demandant a l'admin d'un serveur internet le script iptables qu'ils utilise et en rajoutant les ligne pour le reseaux privee tu peut aariver a quelque choses de tres bien Un detail je voulait dire que quelqu'un qui installerait linux calerait sur shorewall desoler mon patron arriver a ce moment la <IMG SRC="images/smiles/icon_biggrin.gif">

par **Sebastien65** » 10 Nov 2003 18:21

Ha sacré Grigri <IMG SRC="images/smiles/icon_bise.gif"> Bon je vais me mettre au boulot alors Grimms avec ton script <IMG SRC="images/smiles/icon_wink.gif"> Donc si je calle j'espère que tu sera dans les parages <IMG SRC="images/smiles/icon_up.gif">

Help !! PArtage de connexion !!

Qui est en ligne ?