A voir également:
- Probleme reseau ss linux mandrake
- Entrer les informations d'identification reseau - Guide
- Imprimante reseau - Guide
- Linux mint - Télécharger - Systèmes d'exploitation
- Roblox linux - Forum Ubuntu
- Partage reseau - Guide
73 réponses
Fis
Messages postés
87
Date d'inscription
lundi 22 novembre 2004
Statut
Membre
Dernière intervention
7 février 2006
10
25 nov. 2004 à 21:09
25 nov. 2004 à 21:09
De rien... mais si tu trouves un jour la solution, je t'en supplie : poste la!!!!!!
Pour vérifier que tout est bon :
iptables -v -L
et
iptables -t NAT -v -L
...mais on verra toutes les règles en cours, donc avec les changements.
Si tu veux être sûr, soit tu redémarres le linux et tu fais ces commandes APRES, soit tu envoies le fichiers /etc/sysconfig/iptables.
voilà voilà...
Pour vérifier que tout est bon :
iptables -v -L
et
iptables -t NAT -v -L
...mais on verra toutes les règles en cours, donc avec les changements.
Si tu veux être sûr, soit tu redémarres le linux et tu fais ces commandes APRES, soit tu envoies le fichiers /etc/sysconfig/iptables.
voilà voilà...
Voici iptables :
# Generated by iptables-save v1.2.9 on Sun Nov 14 19:29:19 2004
*mangle
:PREROUTING ACCEPT [132104:66800972]
:INPUT ACCEPT [57483:29650462]
:FORWARD ACCEPT [74503:37134636]
:OUTPUT ACCEPT [31708:19506224]
:POSTROUTING ACCEPT [107664:56853454]
COMMIT
# Completed on Sun Nov 14 19:29:19 2004
# Generated by iptables-save v1.2.9 on Sun Nov 14 19:29:19 2004
*nat
:PREROUTING ACCEPT [26848:1358961]
:POSTROUTING ACCEPT [2044:250824]
:OUTPUT ACCEPT [3222:325260]
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sun Nov 14 19:29:19 2004
# Generated by iptables-save v1.2.9 on Sun Nov 14 19:29:19 2004
*filter
:INPUT DROP [218:10545]
:FORWARD ACCEPT [232:13934]
:OUTPUT ACCEPT [86:5649]
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth1 -p icmp -j ACCEPT
COMMIT
# Completed on Sun Nov 14 19:29:19 2004
# Generated by iptables-save v1.2.9 on Sun Nov 14 19:29:19 2004
*mangle
:PREROUTING ACCEPT [132104:66800972]
:INPUT ACCEPT [57483:29650462]
:FORWARD ACCEPT [74503:37134636]
:OUTPUT ACCEPT [31708:19506224]
:POSTROUTING ACCEPT [107664:56853454]
COMMIT
# Completed on Sun Nov 14 19:29:19 2004
# Generated by iptables-save v1.2.9 on Sun Nov 14 19:29:19 2004
*nat
:PREROUTING ACCEPT [26848:1358961]
:POSTROUTING ACCEPT [2044:250824]
:OUTPUT ACCEPT [3222:325260]
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sun Nov 14 19:29:19 2004
# Generated by iptables-save v1.2.9 on Sun Nov 14 19:29:19 2004
*filter
:INPUT DROP [218:10545]
:FORWARD ACCEPT [232:13934]
:OUTPUT ACCEPT [86:5649]
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth1 -p icmp -j ACCEPT
COMMIT
# Completed on Sun Nov 14 19:29:19 2004
Fis
Messages postés
87
Date d'inscription
lundi 22 novembre 2004
Statut
Membre
Dernière intervention
7 février 2006
10
25 nov. 2004 à 22:12
25 nov. 2004 à 22:12
Ok... il y a des lignes inutiles, pour être propre il faudrait virer 4 lignes :
3 qui se suivent :
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
et la 4ème plus bas :
-A INPUT -i eth1 -p icmp -j ACCEPT
Comme çà tu auras une tables bien propre.
Pour les virer, tu utilises ton éditeur de texte préféré (ex: Kwrite) en tant que root. Si tu maîtrises vi, c'est parfait aussi.
Pour le reste c'est bon.
3 qui se suivent :
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
et la 4ème plus bas :
-A INPUT -i eth1 -p icmp -j ACCEPT
Comme çà tu auras une tables bien propre.
Pour les virer, tu utilises ton éditeur de texte préféré (ex: Kwrite) en tant que root. Si tu maîtrises vi, c'est parfait aussi.
Pour le reste c'est bon.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
comperta
Messages postés
18
Date d'inscription
mardi 28 septembre 2004
Statut
Membre
Dernière intervention
30 novembre 2004
28 nov. 2004 à 14:26
28 nov. 2004 à 14:26
Salut François c'est encore comperta
j'ai quelques questions :
dans le post n°38 datant du 07/11 tu m'as dis de tester iptable
avec cette configuration :
si j'ai bien compris je donne acces a toutes machines qui se connecte a mon reseau local, c'est bien ça ?
si oui, les lignes suivantes peuvent t'elles autoriser seulement certaines machines (seulement celle qui sont reelement connecté) ?
Autre chose, iptable "bloque" l'accé depuis internet, cela signifie t'il que je peux rencontrer des problemes de partage de fichier (exemple tout con : j'ai du mal a envoyer des fichier via msn (par contre je recois super bien) , j'ai aussi installé AMULE enfin de verifier si le probleme viens de la et a chaque fois que je me connecte je suis en LOW ID (j'aime bien amule pour tester l'envoie de fichier via le net )est ce iptable qui bloque l'envoie de fichier ? )
Comperta
j'ai quelques questions :
dans le post n°38 datant du 07/11 tu m'as dis de tester iptable
avec cette configuration :
Voici les règles : #on nettoie tout: iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD #on règle ce qui peut entrer depuis internet: iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT #pour permette aux applications de communiquer entre-elle sur le linux: iptables -A INPUT -i lo -j ACCEPT #il faut permettre aux machines internes de passer: iptables -A INPUT -i eth0 -j ACCEPT #il faut faire du "masquerading" (NAT) pour partager la conexion: iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE #pour pouvoir faire un ping depuis le réseau interne: iptables -A INPUT -i eth0 -p icmp -j ACCEPT #enfin, il faut bloquer le reste: iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT
si j'ai bien compris je donne acces a toutes machines qui se connecte a mon reseau local, c'est bien ça ?
si oui, les lignes suivantes peuvent t'elles autoriser seulement certaines machines (seulement celle qui sont reelement connecté) ?
iptables -t nat -A POSTROUTING -s 192.168.1.X -o ppp0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.1.Y -o ppp0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.1.Z -o ppp0 -j MASQUERADE
Autre chose, iptable "bloque" l'accé depuis internet, cela signifie t'il que je peux rencontrer des problemes de partage de fichier (exemple tout con : j'ai du mal a envoyer des fichier via msn (par contre je recois super bien) , j'ai aussi installé AMULE enfin de verifier si le probleme viens de la et a chaque fois que je me connecte je suis en LOW ID (j'aime bien amule pour tester l'envoie de fichier via le net )est ce iptable qui bloque l'envoie de fichier ? )
Comperta
Fis
Messages postés
87
Date d'inscription
lundi 22 novembre 2004
Statut
Membre
Dernière intervention
7 février 2006
10
28 nov. 2004 à 17:33
28 nov. 2004 à 17:33
Tout juste... tu peux ainsi choisir les machines qui peuvent aller sur le net. De manière individuelle comme ci-dessus, ou par sous-réseau... en utilisant la notation suivante :
iptables -t nat -A POSTROUTING -s 192.168.1.0/28 -o ppp0 -j MASQUERADE
où 28 est le nombre de bits du masque de sous-réseau. Tu peux également utiliser la notation longue : 255.255.255.240
Dans ce cas-ci, tu ouvres l'accès aux machines du sous-réseau limité par les adresses 192.168.1.0 et 192.168.1.15. Il ne faut pas oublié que la première et la dernière adresse d'un sous réseau sont réservées! (&ère = adresse réseau, der= adresse broadcast) Donc les seules adresses utilisables par les PC dans ce sous réseau vont de 192.168.1.1 à 192.168.1.14. (Voir les nombreux cours/tutoriels réseaux sur internet et bien entendu celui sur CCM)
Pour tes problèmes de transfert de fichiers tu as vu juste aussi.
Pour MSN, il faut libérer les ports TCP de 6891 à 6900. Tu peux également ouvrir le TCP 1863, ça améliorera la fluidité.
En général, pour un programme genre MSN ou autre, tu vas sur le site et dans la rubrique FAQ ou SUPPORT, tu trouveras les infos des ports à ouvrir et des dispositions spéciales à prendre pour passer le NAT. (NAT = Network Address Translation et tu l'utilises : c'est la ligne avec MASQUERADE)
iptables -t nat -A POSTROUTING -s 192.168.1.0/28 -o ppp0 -j MASQUERADE
où 28 est le nombre de bits du masque de sous-réseau. Tu peux également utiliser la notation longue : 255.255.255.240
Dans ce cas-ci, tu ouvres l'accès aux machines du sous-réseau limité par les adresses 192.168.1.0 et 192.168.1.15. Il ne faut pas oublié que la première et la dernière adresse d'un sous réseau sont réservées! (&ère = adresse réseau, der= adresse broadcast) Donc les seules adresses utilisables par les PC dans ce sous réseau vont de 192.168.1.1 à 192.168.1.14. (Voir les nombreux cours/tutoriels réseaux sur internet et bien entendu celui sur CCM)
Pour tes problèmes de transfert de fichiers tu as vu juste aussi.
Pour MSN, il faut libérer les ports TCP de 6891 à 6900. Tu peux également ouvrir le TCP 1863, ça améliorera la fluidité.
En général, pour un programme genre MSN ou autre, tu vas sur le site et dans la rubrique FAQ ou SUPPORT, tu trouveras les infos des ports à ouvrir et des dispositions spéciales à prendre pour passer le NAT. (NAT = Network Address Translation et tu l'utilises : c'est la ligne avec MASQUERADE)
comperta
Messages postés
18
Date d'inscription
mardi 28 septembre 2004
Statut
Membre
Dernière intervention
30 novembre 2004
28 nov. 2004 à 21:33
28 nov. 2004 à 21:33
finalement j'aime bien iptable , c'est un peu du chinois pour moi , mais je comprend de mieux en mieux !!
encore une petite question, j'ai sauvegardé mon fichier iptable dans :
/etc/sysconfig/iptables
si je veux modifier iptables, je peux le faire directement via la console avec GEDIT ? ou je dois refaire un fichier et retaper la commande : "iptables-save > /etc/sysconfig/iptables"?
me reste a trouver la commande pour liberer les port MSN.
Un grand merci à toi.
Comperta
encore une petite question, j'ai sauvegardé mon fichier iptable dans :
/etc/sysconfig/iptables
si je veux modifier iptables, je peux le faire directement via la console avec GEDIT ? ou je dois refaire un fichier et retaper la commande : "iptables-save > /etc/sysconfig/iptables"?
me reste a trouver la commande pour liberer les port MSN.
Un grand merci à toi.
Comperta
comperta
Messages postés
18
Date d'inscription
mardi 28 septembre 2004
Statut
Membre
Dernière intervention
30 novembre 2004
28 nov. 2004 à 21:40
28 nov. 2004 à 21:40
bon sauf erreur cela devrais donner un truc comme ça :
ai-je commis une erreur ?
Comperta
iptables -A INPUT -i ppp0 -p tcp --dport 1863 -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --sport 1863 -j ACCEPT iptables -A INPUT -i ppp0 -p udp --dport 1863 -j ACCEPT iptables -A OUTPUT -o ppp0 -p udp --sport 1863 -j ACCEPT iptables -A INPUT -i ppp0 -p tcp --dport 6891:6900 -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --sport 6891:6900 -j ACCEPT
ai-je commis une erreur ?
Comperta
comperta
Messages postés
18
Date d'inscription
mardi 28 septembre 2004
Statut
Membre
Dernière intervention
30 novembre 2004
28 nov. 2004 à 21:45
28 nov. 2004 à 21:45
encore une petite question :
dans le fichier iptables , je dois mettre où l'ouverture des ports et les lignes autorisant le passage de certaines machines du reseau local sur le net ?
Comperta
dans le fichier iptables , je dois mettre où l'ouverture des ports et les lignes autorisant le passage de certaines machines du reseau local sur le net ?
Comperta
Fis
Messages postés
87
Date d'inscription
lundi 22 novembre 2004
Statut
Membre
Dernière intervention
7 février 2006
10
29 nov. 2004 à 11:12
29 nov. 2004 à 11:12
Post 98 : Oui, au début c'est un peu chinois, mais avec un peu d'habitude ça paraît très logique! ...et puis il y a moyen de faire des réglages très fins... c'est assez comfortable je trouve.
Le fichier /etc/sysconfig/iptables est une petite aide bien agréable car il permet de restaurer automatiquement les règles AU DéMARRAGE du PC... Je ne te conseille pas de faire tes modifications là car d'une part tu ne vois pas quand tu fais une faute, et d'autre part tu ne verras pas les changements avant d'avoir redémarré le système ou le réseau.
Utilise plutôt iptables à la ligne de commande, tu peux ajouter, supprimer ou modifier des règles en temps réel, et si tu fais une erreur de synthaxe il te le dit de suite! ...quand tout est au point, alors tu feras une sauvegarde via iptables-save.
Post 99 : Tu n'as pas besoin de préciser le port source... car il peut différer. Avec le port de destination tu as assez. Je ne sais pas si l'udp est utilisé pour MSN. Là il faut que je précise une chose : avec ces règles, tu as ouvert le firewall pour le PC linux sur lequel est le firewall. Si tu veux que le transfert de fichiers marche avec une autre machine du réseau, alors il faut rediriger la connexion vers le bon PC. Malheureusement, la conception de MSN fait que tu ne pourras utiliser cela que pour un PC. Tu aurais le même problème avec un firewall d'un routeur ou n'importe quoi d'autre... Pour moi c'est une erreur de la par de MSN d'avoir utilisé des ports fixes non réglables pour le transfert de fichiers. ...il auraient dû utiliser un système similaire à ce qu'il emploient pour la partie "chat" de MSN.
Post 100 : Ne touche pas à ce fichier, sauf pour faire des petites correction éventuelles, mais utiise plutôt iptables à la ligne de commande. Tu as plusieurs tables.... celle par défaut est "filter", c'est celle qui conerne le PC lui-même. La tables concernant le réseau est la table 'nat"... Mais pour l'architecture de tout çà, je te conseille les tutoriels iptables et la page de manuel. Tu es déjà bien avancé, donc il te faudra pas beaucoup d'efforts pour comprendre le contenu!
Juste encore un détail : iptables est un outils extrêmement puissant... tu peux faire des configurations très complexes, mais ce n'est pas ton but actuel : donc ne t'acharne pas s'il y a des parties que tu comprends pas!
Le fichier /etc/sysconfig/iptables est une petite aide bien agréable car il permet de restaurer automatiquement les règles AU DéMARRAGE du PC... Je ne te conseille pas de faire tes modifications là car d'une part tu ne vois pas quand tu fais une faute, et d'autre part tu ne verras pas les changements avant d'avoir redémarré le système ou le réseau.
Utilise plutôt iptables à la ligne de commande, tu peux ajouter, supprimer ou modifier des règles en temps réel, et si tu fais une erreur de synthaxe il te le dit de suite! ...quand tout est au point, alors tu feras une sauvegarde via iptables-save.
Post 99 : Tu n'as pas besoin de préciser le port source... car il peut différer. Avec le port de destination tu as assez. Je ne sais pas si l'udp est utilisé pour MSN. Là il faut que je précise une chose : avec ces règles, tu as ouvert le firewall pour le PC linux sur lequel est le firewall. Si tu veux que le transfert de fichiers marche avec une autre machine du réseau, alors il faut rediriger la connexion vers le bon PC. Malheureusement, la conception de MSN fait que tu ne pourras utiliser cela que pour un PC. Tu aurais le même problème avec un firewall d'un routeur ou n'importe quoi d'autre... Pour moi c'est une erreur de la par de MSN d'avoir utilisé des ports fixes non réglables pour le transfert de fichiers. ...il auraient dû utiliser un système similaire à ce qu'il emploient pour la partie "chat" de MSN.
Post 100 : Ne touche pas à ce fichier, sauf pour faire des petites correction éventuelles, mais utiise plutôt iptables à la ligne de commande. Tu as plusieurs tables.... celle par défaut est "filter", c'est celle qui conerne le PC lui-même. La tables concernant le réseau est la table 'nat"... Mais pour l'architecture de tout çà, je te conseille les tutoriels iptables et la page de manuel. Tu es déjà bien avancé, donc il te faudra pas beaucoup d'efforts pour comprendre le contenu!
Juste encore un détail : iptables est un outils extrêmement puissant... tu peux faire des configurations très complexes, mais ce n'est pas ton but actuel : donc ne t'acharne pas s'il y a des parties que tu comprends pas!
comperta
Messages postés
18
Date d'inscription
mardi 28 septembre 2004
Statut
Membre
Dernière intervention
30 novembre 2004
30 nov. 2004 à 21:22
30 nov. 2004 à 21:22
Bonsoir françois
Iptables est effectivement puissant, est donc compliqué (pour moi en tout cas !!)
Donc avant de toucher à quoi que ce soit je fais faire un petit resumé :
Il faut que je rentre dans la console (je suppose en étant root) :
pour les adresse ip :
pour les ports :
puis si cela ne marche pas, il me suffit de redemarer pour annuler les modifications ?
par contre si ça marche je fais un :
c'est bien cela ?
autre chose, cette ligne là permet aux machines internes de passer :
"iptables -A INPUT -i eth0 -j ACCEPT"
cela signifie (sauf erreur) que les lignes concernant les ip sont inutiles, comment faire pour annuler "iptables -A INPUT -i eth0 -j ACCEPT" et ainsi avoir un controle total de mon reseau local ???
dans ton post 101, j'ai pas compris l'histoire des ports source/destination, est ce que tu parle de : 6891:6900 ??
j'avoue aussi avoir du mal à saisir le sens exact de ta phrase :
"Tu as plusieurs tables.... celle par défaut est "filter", c'est celle qui conerne le PC lui-même. La tables concernant le réseau est la table 'nat"... "
en fais pour etre precis je saisi pas comment, ou plutot ce que je dois faire pour, visualiser FILTER et NAT .
Au risque que tu te sente harcelé de questions , connais tu de bon site traitant du sujet iptables?
et de quel manuel parle tu dans ton post 101 ?
Comperta qui te remerci de ta patiente
Iptables est effectivement puissant, est donc compliqué (pour moi en tout cas !!)
Donc avant de toucher à quoi que ce soit je fais faire un petit resumé :
Il faut que je rentre dans la console (je suppose en étant root) :
pour les adresse ip :
iptables -t nat -A POSTROUTING -s 192.168.1.X -o ppp0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.1.Y -o ppp0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.1.Z -o ppp0 -j MASQUERADE
pour les ports :
iptables -A INPUT -i ppp0 -p tcp --dport 1863 -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --sport 1863 -j ACCEPT iptables -A INPUT -i ppp0 -p udp --dport 1863 -j ACCEPT iptables -A OUTPUT -o ppp0 -p udp --sport 1863 -j ACCEPT iptables -A INPUT -i ppp0 -p tcp --dport 6891:6900 -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --sport 6891:6900 -j ACCEPT
puis si cela ne marche pas, il me suffit de redemarer pour annuler les modifications ?
par contre si ça marche je fais un :
iptables-save > /etc/sysconfig/iptables
c'est bien cela ?
autre chose, cette ligne là permet aux machines internes de passer :
"iptables -A INPUT -i eth0 -j ACCEPT"
cela signifie (sauf erreur) que les lignes concernant les ip sont inutiles, comment faire pour annuler "iptables -A INPUT -i eth0 -j ACCEPT" et ainsi avoir un controle total de mon reseau local ???
dans ton post 101, j'ai pas compris l'histoire des ports source/destination, est ce que tu parle de : 6891:6900 ??
j'avoue aussi avoir du mal à saisir le sens exact de ta phrase :
"Tu as plusieurs tables.... celle par défaut est "filter", c'est celle qui conerne le PC lui-même. La tables concernant le réseau est la table 'nat"... "
en fais pour etre precis je saisi pas comment, ou plutot ce que je dois faire pour, visualiser FILTER et NAT .
Au risque que tu te sente harcelé de questions , connais tu de bon site traitant du sujet iptables?
et de quel manuel parle tu dans ton post 101 ?
Comperta qui te remerci de ta patiente
Fis
Messages postés
87
Date d'inscription
lundi 22 novembre 2004
Statut
Membre
Dernière intervention
7 février 2006
10
1 déc. 2004 à 23:01
1 déc. 2004 à 23:01
Une page utile pour s'entraîner : http://iptables-script.dk/index1.php
Il ya les "howtos" sur le net... dans google, tape "iptables + howto" ou "iptables +tutorial".
LA source, c'est le site même de netfilter/iptables : http://www.netfilter.org/documentation/index.html#documentation-howto
Bien, sûr le site de Lea: http://lea-linux.org/reseau/iptables.html (a partir du point 2)
Puis encore celui-ci... http://www.linuxguruz.com/iptables/howto/
Enfin, la doc dont je parlais est la page de manuel de iptables : dans le shell, tape la commande "man iptables".
L'histoire des tables sera plus claire quand tu auras lu la doc... en fait, le firewall est constitué de plusieurs parties. Les deux principales sont "filter" (avec les chaines INPUT OUTPUT et FORWARD) et "nat" (avec les chaines PREROUTING et POSTROUTING). filter concerne tout ce qui entre dans le PC, nat tout ce qui transite par lui...
La ligne "iptables -A INPUT -i eth0 -j ACCEPT" n'est donc pas du tout inutile, elle permet aux PC internes de se connecter à ton PC linux... indispensable si tu veux partager des fichiers entre ces machines!
Par contre les lignes qui concernent la table "nat", donc celles qui commencent par "iptables -t nat" ont pour but le partage de connexion internet... elles ne font donc absolument pas double emploi!
Admettons que tu as trois machine internes qui doivent pouvoir aller sur le net et dont les adresses se terminent respectivement par 4,5,6.
Pour leur permettre à elles seule de passer vers internet, tu dois taper les commandes:
iptables -t nat -A POSTROUTING -s 192.168.1.4 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.5 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.6 -o ppp0 -j MASQUERADE
Pour MSN, malheureusement tu ne peux ouvrir la fonctionalité "transfert de fichiers" que vers un seul PC. Pour faire simple, ouvrons ces ports sur le PC linux lui-même:
iptables -A INPUT -i ppp0 -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 6891:6900 -j ACCEPT
C'est tout... inutile d'ouvrir en sortie (-o ppp0), car tout peut sortir par défaut. De plus, c'est bien les ports de destination qui sont à ouvrir, pas ceux de la source (--sport) car ceux-là peuvent varier! (et plus grave, si tu fais cela, tu fais un gros trou de sécurité dans ton firewall!!!)
Enfin, iptables est un outil qui te permet de modifier, supprimer et faire toutes sortes d'opérations, pas seulement ajouter des commandes! De plus, il faut toujours se souvenir que iptables utilises la table "filter" par défaut... donc si tu veux agir sur une autre (ex "nat"), il faut lui spécifier en utilisant le paramètre "-t".
Exemples:
visualiser la table filter : "iptables -l -v" ou "iptables -t filter -l -v" (le -v est pour avoir plus de détails)
visualiser la table nat : "iptables -t nat -l -v" (le -v est pour avoir plus de détails)
supprimer la première règle de la chaine INPUT de la table filter : "iptables -D INPUT 1" ou "iptables -t filter -D INPUT 1"
supprimer toutes les règles de la table nat : "iptables -t nat -F"
Tu visualises, tu ajoutes, tu supprimes... tous les changements sont fait en direct, mais ne seront pas sauvegardés pour le prochain démarrage! Donc si tu ne fais pas un "iptables-save"... ben tu auras tout perdu au démarrage suivant du PC.
Jette un oeil sur la doc... et demande si un point n'est pas clair, mais... faire un cour sur le foorum risque d'être long! ;-)
La page http://iptables-script.dk/index1.php est assez pratique pour s'entrainer.
Il ya les "howtos" sur le net... dans google, tape "iptables + howto" ou "iptables +tutorial".
LA source, c'est le site même de netfilter/iptables : http://www.netfilter.org/documentation/index.html#documentation-howto
Bien, sûr le site de Lea: http://lea-linux.org/reseau/iptables.html (a partir du point 2)
Puis encore celui-ci... http://www.linuxguruz.com/iptables/howto/
Enfin, la doc dont je parlais est la page de manuel de iptables : dans le shell, tape la commande "man iptables".
L'histoire des tables sera plus claire quand tu auras lu la doc... en fait, le firewall est constitué de plusieurs parties. Les deux principales sont "filter" (avec les chaines INPUT OUTPUT et FORWARD) et "nat" (avec les chaines PREROUTING et POSTROUTING). filter concerne tout ce qui entre dans le PC, nat tout ce qui transite par lui...
La ligne "iptables -A INPUT -i eth0 -j ACCEPT" n'est donc pas du tout inutile, elle permet aux PC internes de se connecter à ton PC linux... indispensable si tu veux partager des fichiers entre ces machines!
Par contre les lignes qui concernent la table "nat", donc celles qui commencent par "iptables -t nat" ont pour but le partage de connexion internet... elles ne font donc absolument pas double emploi!
Admettons que tu as trois machine internes qui doivent pouvoir aller sur le net et dont les adresses se terminent respectivement par 4,5,6.
Pour leur permettre à elles seule de passer vers internet, tu dois taper les commandes:
iptables -t nat -A POSTROUTING -s 192.168.1.4 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.5 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.6 -o ppp0 -j MASQUERADE
Pour MSN, malheureusement tu ne peux ouvrir la fonctionalité "transfert de fichiers" que vers un seul PC. Pour faire simple, ouvrons ces ports sur le PC linux lui-même:
iptables -A INPUT -i ppp0 -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 6891:6900 -j ACCEPT
C'est tout... inutile d'ouvrir en sortie (-o ppp0), car tout peut sortir par défaut. De plus, c'est bien les ports de destination qui sont à ouvrir, pas ceux de la source (--sport) car ceux-là peuvent varier! (et plus grave, si tu fais cela, tu fais un gros trou de sécurité dans ton firewall!!!)
Enfin, iptables est un outil qui te permet de modifier, supprimer et faire toutes sortes d'opérations, pas seulement ajouter des commandes! De plus, il faut toujours se souvenir que iptables utilises la table "filter" par défaut... donc si tu veux agir sur une autre (ex "nat"), il faut lui spécifier en utilisant le paramètre "-t".
Exemples:
visualiser la table filter : "iptables -l -v" ou "iptables -t filter -l -v" (le -v est pour avoir plus de détails)
visualiser la table nat : "iptables -t nat -l -v" (le -v est pour avoir plus de détails)
supprimer la première règle de la chaine INPUT de la table filter : "iptables -D INPUT 1" ou "iptables -t filter -D INPUT 1"
supprimer toutes les règles de la table nat : "iptables -t nat -F"
Tu visualises, tu ajoutes, tu supprimes... tous les changements sont fait en direct, mais ne seront pas sauvegardés pour le prochain démarrage! Donc si tu ne fais pas un "iptables-save"... ben tu auras tout perdu au démarrage suivant du PC.
Jette un oeil sur la doc... et demande si un point n'est pas clair, mais... faire un cour sur le foorum risque d'être long! ;-)
La page http://iptables-script.dk/index1.php est assez pratique pour s'entrainer.
Bonsoir a tous, je viens de parcourir tous ces posts, en espérant trouver une solution, mais hélàs....lol. Voila ma situation; j'ai un PC(hote) qui tourne sous XP et un portable (client) qui était encore sous peu sous XP. J'ai voulu tester linux, avec la Mdk 10.1, et je n'arrives pas a établir de connexion partagée.... J'ai gardé la partition d'XP au cas où, et j'ai bien fait! Je n'arrives pas a pinger l'hote, pourtant quand je suis sous linux, le réseau est "actif"... Je ne comprends rien du toooo ! Ca fait déja qqes jours que j'écume les forums, puis je suis arrivé ici par hasard. Merci d'avance à ceux qui prendraient le temps de me répondre! ++