| View previous topic :: View next topic |
| Author |
Message |
vibidoo
Guru
Joined: 27 Nov 2002
Posts: 409
|
 Posted: Fri Jan 24, 2003 1:04 pm Post subject: Iptables , simples questions |
 |
|
Salut
j'ai installé mes règles Iptables conformément au tutorials 1.1.16 .
Mon réseau ( ip dynamique ) fonctionne avec pas mal de modification par rapport au script de base .
J'ai juste un petit disfonctionnement :
J'ai déclarer la variable :
| Code: |
IP_LAN_RANGE="192.168.0.0/16"
|
Normalement cette variable devrait couvrir tout mon réseau interne ?
Ensuite je déclare dans la chaine INPUT
| Code: |
iptables -A INPUT -p all -i eth0 -s $IP_LAN_RANGE -j ACCEPT
|
Avec la ligne ci dessus , tout les types de packets provenant du réseau interne sont accepté .
Et pourtant j'arrive pas à accéder au firewall ( exemple FTP )
Pour que ça passe je suis obligé de :
| Code: |
IP_LAN_RANGE="192.168.0.0/16"
IP_LAN1="192.168.0.5"
IP_LAN2="192.168.0.6"
#############""
iptables -A INPUT -p all -i eth0 -s $IP_LAN_RANGE -j ACCEPT
iptables -A INPUT -p all -i eth0 -s $IP_LAN1 -j ACCEPT
iptables -A INPUT -p all -i eth0 -s $IP_LAN2 -j ACCEPT
|
Rajoutant les 4 lignes ci-dessus , mes 2 pc ( IP_LAN1 , IP_LAN2) , peuvent accéder aux service du firewall ( FTP) |
|
| Back to top |
|
 |
Mat_le_ouf
Apprentice
Joined: 13 Sep 2002
Posts: 257
Location: France
|
| Posted: Fri Jan 24, 2003 8:34 pm Post subject: |
|
|
Je ne sais pas si ça changera ghrand chose, mais tu pourrais très bien faire comme range : | Code: | | IP_LAN_RANGE="192.168.0.0/28" |
ce qui te laissera 4 bits pour tes ordis (soit 14 ordis quand même), et devrait être amplement suffisant.
Sinon je vois pas pourquoi ça fonctionnerait pas... |
|
| Back to top |
|
|
vibidoo
Guru
Joined: 27 Nov 2002
Posts: 409
|
| Posted: Mon Jan 27, 2003 3:48 pm Post subject: |
|
|
non c'est toujours pareil , je viens d'essayé
| Code: |
IP_LAN_RANGE="192.168.0.0/28"
#IP_LAN1="192.168.0.5"
#IP_LAN2="192.168.0.6"
|
Mes pc avec Ip ....5 et ....6 n'accèdent toujours pas au service FTP |
|
| Back to top |
|
|
Mat_le_ouf
Apprentice
Joined: 13 Sep 2002
Posts: 257
Location: France
|
| Posted: Mon Jan 27, 2003 6:23 pm Post subject: |
|
|
Bon, à ce moment là essaye un truc du genre: | Code: | | iptables -A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT |
normalement ça devrait fonctionner, te restera plus qu'à indiquer tous les autres services que tu veux partager...
Mais bon, pour ma part j'ai pas eu à faire ça...
Voilà le résultat de iptables-save chez moi : | Code: | # Generated by iptables-save v1.2.7a on Mon Jan 27 19:15:35 2003
*nat
:PREROUTING ACCEPT [366640:19877437]
:POSTROUTING ACCEPT [911:54572]
:OUTPUT ACCEPT [24193:1461208]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.0.1
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Mon Jan 27 19:15:35 2003
# Generated by iptables-save v1.2.7a on Mon Jan 27 19:15:35 2003
*mangle
:PREROUTING ACCEPT [3686671:1459915685]
:INPUT ACCEPT [1171706:154795345]
:FORWARD ACCEPT [2514790:1305110095]
:OUTPUT ACCEPT [859116:294736658]
:POSTROUTING ACCEPT [3373906:1599846753]
COMMIT
# Completed on Mon Jan 27 19:15:35 2003
# Generated by iptables-save v1.2.7a on Mon Jan 27 19:15:35 2003
*filter
:INPUT ACCEPT [68284:17746612]
:FORWARD ACCEPT [1116618:67973186]
:OUTPUT ACCEPT [859117:294736982]
:tcprules - [0:0]
-A INPUT -i ppp0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 6891 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -j tcprules
-A FORWARD -i ppp0 -p tcp -m tcp --dport 5900 -j ACCEPT
-A FORWARD -i ppp0 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -j tcprules
-A tcprules -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A tcprules -i ! ppp0 -m state --state NEW -j ACCEPT
-A tcprules -i ppp0 -m state --state INVALID,NEW -j DROP
COMMIT |
Je t'avouerais que je me suis inspiré d'autres configs, mais ça fonctionne très bien en tout cas! |
|
| Back to top |
|
|
vibidoo
Guru
Joined: 27 Nov 2002
Posts: 409
|
| Posted: Mon Jan 27, 2003 8:57 pm Post subject: |
|
|
T'as raison mat , je peux faire ça !! 
encore une question , comme tu as une connection dynamique comment t'as initialisé adresse Ip de ppp0 ?
je pensais faire :
| Code: |
INET_IP=" ifconfig ppp0 | grep inet | cut -d : -f 2 | cut -d ' ' -f 1 "
|
mais en déclaration de variable ppp0 n'est jamais accepté .
En fait je suis obligé de rentrer manuellement l'adresse IP de ppp0 avant chaque démarrage de iptables !!! |
|
| Back to top |
|
|
Mat_le_ouf
Apprentice
Joined: 13 Sep 2002
Posts: 257
Location: France
|
| Posted: Tue Jan 28, 2003 9:41 am Post subject: |
|
|
| vibidoo wrote: | | encore une question , comme tu as une connection dynamique comment t'as initialisé adresse Ip de ppp0 ? |
Je n'initialise pas l'IP de ppp0, c'est, si j'ai bien compris, le -A POSTROUTING -o ppp0 -j MASQUERADE qui me permet de faire ça de façon transparente.
Sinon évidemment l'IP de ppp0 m'est gracieusement fournie par mon provider  |
|
| Back to top |
|
|
pounard
Tux's lil' helper
Joined: 17 Oct 2002
Posts: 143
|
| Posted: Tue Feb 11, 2003 11:21 pm Post subject: |
|
|
perso moi g une mis une range 198.168.1.0/24
et heu ca marche nickel (je c pas si 28 ca marche)
_________________
<!-- ceci est une signature libre -->
Ceci n'est pas un virus, rassurez vous, aucune MST ne passe par les groupes pornos sur usenet; |
|
| Back to top |
|
|
pounard
Tux's lil' helper
Joined: 17 Oct 2002
Posts: 143
|
| Posted: Tue Feb 11, 2003 11:23 pm Post subject: |
|
|
[quote]INET_IP=" ifconfig ppp0 | grep inet | cut -d : -f 2 | cut -d ' ' -f 1 "
heu essye plutot :
INET_IP=` ifconfig ppp0 | grep inet | cut -d : -f 2 | cut -d ' ' -f 1 `
avec des " il te retroune skia dedans en string, avec les ` il retrourne le résultat d' une commande
_________________
<!-- ceci est une signature libre -->
Ceci n'est pas un virus, rassurez vous, aucune MST ne passe par les groupes pornos sur usenet; |
|
| Back to top |
|
|
vibidoo
Guru
Joined: 27 Nov 2002
Posts: 409
|
| Posted: Wed Feb 12, 2003 1:01 am Post subject: |
|
|
cool ça marche pour mon INET
merci
j'ai toujours le problème du range , mais ça c'est pas urgent du tout
merci à vous |
|
| Back to top |
|
|
|
French
