A voir également:
- Serveur mdk, client xp, autoriser un port ???
- Orange service client - Guide
- Formate pour taxer client frigo vide ✓ - Forum Matériel & Système
- Nettoyer port usb c - Guide
- Port icmp ✓ - Forum Réseau
- Formate pour taxer client sur nourriture - Forum Loisirs / Divertissements
16 réponses
je cherche ... et es ce que ca aurait un rapport avec iptable par hasard ...
j'ai du mal a trouvé des tuto la dessus ...
Nico
j'ai du mal a trouvé des tuto la dessus ...
Nico
salut
Je ne suis pas expert dans ce domaine... En revanche je me permet d'intervenir car franchement edonkey marche du feu de dieu sous linux...En plus tu le pilotes de windows ou linux...Sinon je sais pas si ca peut marcher pour toi, mais dans le drakefirewall, ajoute les 4662/tcp 4672/udp dans la ligne avancé.. (Mais je ne suis pas sûre que ça marchera)
en clair: si tu tiens pas trop à le laisser sur le pc windows...
[url=http://www.edonkey2000.com/downloads.php]lien vers edonkey site[/url]
sinon
je sais pas trop désolé
salut
Je ne suis pas expert dans ce domaine... En revanche je me permet d'intervenir car franchement edonkey marche du feu de dieu sous linux...En plus tu le pilotes de windows ou linux...Sinon je sais pas si ca peut marcher pour toi, mais dans le drakefirewall, ajoute les 4662/tcp 4672/udp dans la ligne avancé.. (Mais je ne suis pas sûre que ça marchera)
en clair: si tu tiens pas trop à le laisser sur le pc windows...
[url=http://www.edonkey2000.com/downloads.php]lien vers edonkey site[/url]
sinon
je sais pas trop désolé
salut
merci bien, mais vu que le pc serveur, n'est pas la de facon permanente (c'est mon pc donc il voyage avec moi ..) je souhaiterez que la mule reste sous xp afin que je n'est pas a refaire des transfert de fichier a chaque fois que le serveur part en voayge :-)
sinon j'ai remarqué que sur ma mdk iptables ne tourne pas et que parcontre shorewall tourne ...
je creuse donc de ce coté.
mais se serait sympa de m'expliquer a quoi sert /etc/service ???
Nico.
sinon j'ai remarqué que sur ma mdk iptables ne tourne pas et que parcontre shorewall tourne ...
je creuse donc de ce coté.
mais se serait sympa de m'expliquer a quoi sert /etc/service ???
Nico.
Fis
Messages postés
87
Date d'inscription
lundi 22 novembre 2004
Statut
Membre
Dernière intervention
7 février 2006
10
7 déc. 2004 à 20:13
7 déc. 2004 à 20:13
Voici un lien utile pour configurer shorewall facilement:
http://doc.mandrakelinux.com/MandrakeLinux/100/fr/Starter.html/tinyfirewall.html
http://doc.mandrakelinux.com/MandrakeLinux/100/fr/Starter.html/tinyfirewall.html
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
merci bien mais ca marche pas :-(
j'ai rajouter le port 4662/tcp et 4672/udp
relancé shorewall et toujours pas autorisé depuis xp ....
t'as une idée de ou ca peut provenir ???
merci bcp en tout cas ..
Nico.
j'ai rajouter le port 4662/tcp et 4672/udp
relancé shorewall et toujours pas autorisé depuis xp ....
t'as une idée de ou ca peut provenir ???
merci bcp en tout cas ..
Nico.
Fis
Messages postés
87
Date d'inscription
lundi 22 novembre 2004
Statut
Membre
Dernière intervention
7 février 2006
10
7 déc. 2004 à 20:53
7 déc. 2004 à 20:53
En effet, il ne suffit pas d'ouvrir les ports.. puisque ton but est visiblement d'utiliser ça sur ta machine windows. Il faut donc aussi rediriger ces ports ouverts vers la machine windows.
Ceci n'est pas facilement faisable via l'interface graphique... Mieux vaut passer par iptables.
Mais comme tu dis que c'est une configuration changeante... mieux vaut peut-être de s'abstenir.
Ceci n'est pas facilement faisable via l'interface graphique... Mieux vaut passer par iptables.
Mais comme tu dis que c'est une configuration changeante... mieux vaut peut-être de s'abstenir.
ma configuration changeante c'est juste que certains fois je repart avec mon serveur linux ailleurs.Mais le changement au niveau du xp est null, sauf que a ce moment la il est directement relié au modem pour internet;
Donc si tu peut me dire rapidement comment faire avec iptables ou me donner un lien vers un site qui explique comment lire le fichier j'en serais vraiment ravit ....
En fait j'ai trouvé pas mal de truc qui explique comment faire pour creer un bon firewall avec iptable, mais rien qui explique comment le lire et deduire de "iptable -F" les regles deja en place.
Nico.
Donc si tu peut me dire rapidement comment faire avec iptables ou me donner un lien vers un site qui explique comment lire le fichier j'en serais vraiment ravit ....
En fait j'ai trouvé pas mal de truc qui explique comment faire pour creer un bon firewall avec iptable, mais rien qui explique comment le lire et deduire de "iptable -F" les regles deja en place.
Nico.
Fis
Messages postés
87
Date d'inscription
lundi 22 novembre 2004
Statut
Membre
Dernière intervention
7 février 2006
10
7 déc. 2004 à 21:28
7 déc. 2004 à 21:28
Ben justement, j'ai passé un bon bout de temps sur ce sujet dans un post récent...
"rapidement" je peux pas le faire... mais lis le post, tu y apprendras l'essentiel.
Le reste de la doc, c'est la page de manuel de iptables (man iptables) et le "Masquerading HOWTO".
le post : http://www.commentcamarche.net/forum/affich-1028485-Probleme-reseau-ss-linux-mandrake
"rapidement" je peux pas le faire... mais lis le post, tu y apprendras l'essentiel.
Le reste de la doc, c'est la page de manuel de iptables (man iptables) et le "Masquerading HOWTO".
le post : http://www.commentcamarche.net/forum/affich-1028485-Probleme-reseau-ss-linux-mandrake
salut,
désolé de t'ennuyer encore avec ca, mais je galere vraiment trop dans ce nouveau monde linuxien ...
j'ai regarder des docs iptables, j'aimerais bien me lancer dedans mais impossible de lancer iptables via le centre de controle mandrake et services... iptables apparé arreter et le fait de clicker sur demarer ni fait rien ...
j'ai essayé de modifier le fichier iptable avec des lignes de commande comme tu l'avais décrit dans le poste vers lequel tu m'a rediriger et quand je fais iptables -L j'ai rien de correspondant qui sors ....
j'obtient un fichier hypper long qui corespond si j'ai bien compris tes postes a shorewall..
coment je peut faire pour utiliser iptables ?????
Nico.
désolé de t'ennuyer encore avec ca, mais je galere vraiment trop dans ce nouveau monde linuxien ...
j'ai regarder des docs iptables, j'aimerais bien me lancer dedans mais impossible de lancer iptables via le centre de controle mandrake et services... iptables apparé arreter et le fait de clicker sur demarer ni fait rien ...
j'ai essayé de modifier le fichier iptable avec des lignes de commande comme tu l'avais décrit dans le poste vers lequel tu m'a rediriger et quand je fais iptables -L j'ai rien de correspondant qui sors ....
j'obtient un fichier hypper long qui corespond si j'ai bien compris tes postes a shorewall..
coment je peut faire pour utiliser iptables ?????
Nico.
Fis
Messages postés
87
Date d'inscription
lundi 22 novembre 2004
Statut
Membre
Dernière intervention
7 février 2006
10
8 déc. 2004 à 22:23
8 déc. 2004 à 22:23
shorewall est installé sur la machine... c'est celui qui est "piloté" par l'interface graphique (via le centre de contrôle).
iptables ne se gère pas via l'interface graphique... il faut le manipuler à la main dans un shell. (Il existe certainement des frontends pour le gérer graphiquement, mais je ne peux pas te donner de nom comme çà..)
Donc, si tu veux utiliser iptables, il faut virer shorewall. Attention, quand tu le vires, tu n'as plus de protection jusqu'à ce que tu configure iptables! (il n'est pas configuré par défaut!!!)
Une fois shorewall viré, les commandes minimales à executer pour retrouver une sécurité correcte sont les suivantes:
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
Les effets sont immédiats, mais seront effacés dès le prochain démarrage! Pour sauvegarder les changements de manières à ce qu'ils se remmettent en place automatiquement à chaquie démarrage, tu dois faire cette commande:
iptables-save > /etc/sysconfig/iptables
Avec tout çà, tu autorises juste cette machine à se connecter au net. Selon tes objectifs et ta configuration physique, il faudra encore ajouter des règles...
Si j'ai bien compris, ton linux est connecté au net et sert de passerelle pour le XP. Est-ceun modem USB, ethernet? L'idéal dans ce genre de config est d'avoir un routeur... si t'en as un c'est le plus simple!
Quand tu est connecté au net, fais la commande "ifconfig" et poste le résultat si tu veux que je puisse te guider plus!
iptables ne se gère pas via l'interface graphique... il faut le manipuler à la main dans un shell. (Il existe certainement des frontends pour le gérer graphiquement, mais je ne peux pas te donner de nom comme çà..)
Donc, si tu veux utiliser iptables, il faut virer shorewall. Attention, quand tu le vires, tu n'as plus de protection jusqu'à ce que tu configure iptables! (il n'est pas configuré par défaut!!!)
Une fois shorewall viré, les commandes minimales à executer pour retrouver une sécurité correcte sont les suivantes:
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
Les effets sont immédiats, mais seront effacés dès le prochain démarrage! Pour sauvegarder les changements de manières à ce qu'ils se remmettent en place automatiquement à chaquie démarrage, tu dois faire cette commande:
iptables-save > /etc/sysconfig/iptables
Avec tout çà, tu autorises juste cette machine à se connecter au net. Selon tes objectifs et ta configuration physique, il faudra encore ajouter des règles...
Si j'ai bien compris, ton linux est connecté au net et sert de passerelle pour le XP. Est-ceun modem USB, ethernet? L'idéal dans ce genre de config est d'avoir un routeur... si t'en as un c'est le plus simple!
Quand tu est connecté au net, fais la commande "ifconfig" et poste le résultat si tu veux que je puisse te guider plus!
salut,
alors j'ai encore plusieur questions.
1-
je me suis penché un peu sur iptables et je commence a y voir plus clair.
deja quand je vais dans le centre de controle mandrake et que je regarde la liste des services, iptables apparait comme arreter et je comprends pas pourkoi .. surtout que juste avant je fais "service iptables restart".
enfin bon, j'ai fait un "service shorewall stop" et ensuite j'ai balancer un script iptables que tu avais transmis dans l'autre poste.
et je me retrouve avec le resultat suivant :
[root@localhost iptables]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
2-
Ce qui, si j'ai tout compris veut dire que j'accepte absolument tout ... pourtant dans les postes un gars se retrouve avec ca et tu as l'air de dire que c'est ok ... comprends pas trop ???
Es ce que tu peux m'éclairer un peu la dessus please ...
pour repondre a tes question je passe par un modem usb .
voila le resultat de ifconfig:
eth0 Lien encap:Ethernet HWaddr 00:50:22:8D:2E:A8
inet adr:192.168.1.1 Bcast:192.168.1.255 Masque:255.255.255.0
adr inet6: fe80::250:22ff:fe8d:2ea8/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7584353 errors:12 dropped:0 overruns:0 frame:15
TX packets:6663504 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:551519182 (525.9 Mb) TX bytes:3356626894 (3201.1 Mb)
Interruption:12 Adresse de base:0x9f00
eth1 Lien encap:Ethernet HWaddr 00:60:4C:35:40:B8
adr inet6: fe80::260:4cff:fe35:40b8/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:65535 Metric:1
RX packets:6903573 errors:0 dropped:0 overruns:0 frame:0
TX packets:7673671 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:3507161553 (3344.6 Mb) TX bytes:585289773 (558.1 Mb)
lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:49244 errors:0 dropped:0 overruns:0 frame:0
TX packets:49244 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:4509568 (4.3 Mb) TX bytes:4509568 (4.3 Mb)
ppp0 Lien encap:Protocole Point-à-Point
inet adr:83.113.224.81 P-t-P:193.253.160.3 Masque:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:135358 errors:0 dropped:0 overruns:0 frame:0
TX packets:186442 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:3
RX bytes:25327104 (24.1 Mb) TX bytes:162699929 (155.1 Mb)
Nico
alors j'ai encore plusieur questions.
1-
je me suis penché un peu sur iptables et je commence a y voir plus clair.
deja quand je vais dans le centre de controle mandrake et que je regarde la liste des services, iptables apparait comme arreter et je comprends pas pourkoi .. surtout que juste avant je fais "service iptables restart".
enfin bon, j'ai fait un "service shorewall stop" et ensuite j'ai balancer un script iptables que tu avais transmis dans l'autre poste.
et je me retrouve avec le resultat suivant :
[root@localhost iptables]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
2-
Ce qui, si j'ai tout compris veut dire que j'accepte absolument tout ... pourtant dans les postes un gars se retrouve avec ca et tu as l'air de dire que c'est ok ... comprends pas trop ???
Es ce que tu peux m'éclairer un peu la dessus please ...
pour repondre a tes question je passe par un modem usb .
voila le resultat de ifconfig:
eth0 Lien encap:Ethernet HWaddr 00:50:22:8D:2E:A8
inet adr:192.168.1.1 Bcast:192.168.1.255 Masque:255.255.255.0
adr inet6: fe80::250:22ff:fe8d:2ea8/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7584353 errors:12 dropped:0 overruns:0 frame:15
TX packets:6663504 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:551519182 (525.9 Mb) TX bytes:3356626894 (3201.1 Mb)
Interruption:12 Adresse de base:0x9f00
eth1 Lien encap:Ethernet HWaddr 00:60:4C:35:40:B8
adr inet6: fe80::260:4cff:fe35:40b8/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:65535 Metric:1
RX packets:6903573 errors:0 dropped:0 overruns:0 frame:0
TX packets:7673671 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:3507161553 (3344.6 Mb) TX bytes:585289773 (558.1 Mb)
lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:49244 errors:0 dropped:0 overruns:0 frame:0
TX packets:49244 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:4509568 (4.3 Mb) TX bytes:4509568 (4.3 Mb)
ppp0 Lien encap:Protocole Point-à-Point
inet adr:83.113.224.81 P-t-P:193.253.160.3 Masque:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:135358 errors:0 dropped:0 overruns:0 frame:0
TX packets:186442 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:3
RX bytes:25327104 (24.1 Mb) TX bytes:162699929 (155.1 Mb)
Nico
Fis
Messages postés
87
Date d'inscription
lundi 22 novembre 2004
Statut
Membre
Dernière intervention
7 février 2006
10
12 déc. 2004 à 21:44
12 déc. 2004 à 21:44
OK... donc en fait, l'interface par laquelle tu te connectes à internet est bien la ppp0.
Si tu fais "iptables -L -v" tu auras plus de détails. Tu verras notamment que les deux lignes qui semblent ouvrir tout à tout le monde ne concernent en fait que les interfaces eth0 (le réseau local) et lo (les connexions issues du PC lui-même).
La ligne concernant l'ICMP dans le script que j'ai donné est en fait inutile : je l'avais mis parce que je comptais aller plus loin dans les détails... mais on peut s'en passer!
En clair, les instructions suivantes suffisent pour le PC lui-même:
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
Si en plus tu veux partager ta connexion internet, il faut faire du NAT, c'est à dire mettre en place une traduction des adresses internes vers l'internet. Dans TON cas, il suffit de faire ceci:
iptables -A INPUT -i eth0 -j ACCEPT
iptables -t NAT -A POSTROUTING -o ppp0 -j MASQUERADE
En résumer, cette dernière ligne veut dire que tout ce qui sort via l'interface ppp0 (internet) doit être géré de manière à permettre aux PC internes d'aller sur internet sous le "nom" (IP publique) du PC linux.
De plus il faut activer le routage sur la machine, c'est le rôle de l'instruction "echo 1 > /proc/sys/net/ipv4/ip_forward".
Une fois toute la configuration faite, ne pas oublier de la sauvegarder :
iptables-save > /etc/sysconfig/iptables
Par contre, pour résoudre le problème qu'iptables est à l'arrêt, il faut :
- désinstaller shorewall si c'est pas déjà fait ("urpme shorewall")
- cocher la case d'activation d'iptables dans la liste des services.
Si tu fais "iptables -L -v" tu auras plus de détails. Tu verras notamment que les deux lignes qui semblent ouvrir tout à tout le monde ne concernent en fait que les interfaces eth0 (le réseau local) et lo (les connexions issues du PC lui-même).
La ligne concernant l'ICMP dans le script que j'ai donné est en fait inutile : je l'avais mis parce que je comptais aller plus loin dans les détails... mais on peut s'en passer!
En clair, les instructions suivantes suffisent pour le PC lui-même:
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
Si en plus tu veux partager ta connexion internet, il faut faire du NAT, c'est à dire mettre en place une traduction des adresses internes vers l'internet. Dans TON cas, il suffit de faire ceci:
iptables -A INPUT -i eth0 -j ACCEPT
iptables -t NAT -A POSTROUTING -o ppp0 -j MASQUERADE
En résumer, cette dernière ligne veut dire que tout ce qui sort via l'interface ppp0 (internet) doit être géré de manière à permettre aux PC internes d'aller sur internet sous le "nom" (IP publique) du PC linux.
De plus il faut activer le routage sur la machine, c'est le rôle de l'instruction "echo 1 > /proc/sys/net/ipv4/ip_forward".
Une fois toute la configuration faite, ne pas oublier de la sauvegarder :
iptables-save > /etc/sysconfig/iptables
Par contre, pour résoudre le problème qu'iptables est à l'arrêt, il faut :
- désinstaller shorewall si c'est pas déjà fait ("urpme shorewall")
- cocher la case d'activation d'iptables dans la liste des services.
alors voila ou j'en suis...
je n'arrete pas de lire des docs sur iptables..
j'ai fait le script suivant:
#################################################
###### PREMIERE REGLE DE SECURITÉ #######
#################################################
#on supprime toutes les regles deja en place:
iptables -t filter -F
iptables -t filter -X
#on definit une premiere regle de sécurité qui consiste a tout détruire et ne rien laissé passé
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
#a ce stade toutes les connexions réseaux sont hors service
#on va maintenant autoriser toutes les connexions passant par l'interface lo
#puisque cette interface ne represente aucun risque pour la sécurité du reseau
iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
#on va maintenant passé a l'interface du reseau local.
#ici eth0 et autoriser toutes les connexions entre les deux ordi
iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
#acces spécial emule
#iptables -A INPUT -i ppp0 -p tcp --dport 4662 -j ACCEPT
#maintenant la connexion internet
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p all -m state --state ! INVALID -j ACCEPT
##############################################
###### PARTAGE DE LA CONNEXION #######
##############################################
#on fait derouter les paquets qui sont a destination de la machine XP et on lui transfert
iptables -t filter -A FORWARD -i eth0 -o ppp0 -s 192.168.1.0/24 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A FORWARD -i ppp0 -o eth0 -s 0.0.0.0/0 -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
#on supprime toutes les regles deja en place pour la table nat:
iptables -t nat -F
iptables -t nat -X
#on accepte les paquets, la securité etant géré par la table filter
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
#a ce stade lorsque XP fait une demande il le fait avec son ip qui n'est pas routable...
#on va donc faire intervenir la notion de masquerading
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
########################################
###### REDIRECTION PORT EMULE ######
########################################
# tous les paquets entrant a destination du port 4662 seront rediriger vers le xp
iptables -t nat -A PREROUTING -i ppp0 -s 0.0.0.0/0 -p tcp --dport 4662 -j DNAT --to-destination 192.168.1.253
#on reforme le paquets pour faire croire au xp qu'il doit renvoyer le paquets au linux
iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -d 192.168.1.253 -p tcp --dport 4662 -j SNAT --to-source 192.168.1.1
tout marche bien sauf ma redirection de port ....
j'aimerais savoir si tu connais un moyen de pister un paquets qui rentre ? par exemple il a été traité par la regle x dans la prerouting, puis y dans forwarding, ect ...
y'a un truc que je pige pas bien ... je me suis inspiré de certains site pour faire ce script et par exemple la ligne qui gere le forwarding pour un paquets qui rentre par le net et qui est a destination de 192.168.1.0/24 .... c'est une adresse non routable ca, alors comment un paquets peu arrivé avec cette adresse la ????
a la limite je pourrais comprendre pour le fameux paquets destiné au port 4662 du xp mais parce qu'on a changé son adresse destination en prérouting ...
Voila si au vue de tout ca tu vois des incoherence ou que tu es capable de m'aider pour faire cette foutu redirectionde port ....
je viens quand meme d'y passer casiment 4h d'affiler non stop et ca marche tjs pas :-(((
Mais d'un autre coté je commence a bien comprendre le fonctionnement et la puissance d'iptables enfin je pense ;-)
En tout cas merci pour ton aide ....
je n'arrete pas de lire des docs sur iptables..
j'ai fait le script suivant:
#################################################
###### PREMIERE REGLE DE SECURITÉ #######
#################################################
#on supprime toutes les regles deja en place:
iptables -t filter -F
iptables -t filter -X
#on definit une premiere regle de sécurité qui consiste a tout détruire et ne rien laissé passé
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
#a ce stade toutes les connexions réseaux sont hors service
#on va maintenant autoriser toutes les connexions passant par l'interface lo
#puisque cette interface ne represente aucun risque pour la sécurité du reseau
iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
#on va maintenant passé a l'interface du reseau local.
#ici eth0 et autoriser toutes les connexions entre les deux ordi
iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
#acces spécial emule
#iptables -A INPUT -i ppp0 -p tcp --dport 4662 -j ACCEPT
#maintenant la connexion internet
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p all -m state --state ! INVALID -j ACCEPT
##############################################
###### PARTAGE DE LA CONNEXION #######
##############################################
#on fait derouter les paquets qui sont a destination de la machine XP et on lui transfert
iptables -t filter -A FORWARD -i eth0 -o ppp0 -s 192.168.1.0/24 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A FORWARD -i ppp0 -o eth0 -s 0.0.0.0/0 -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
#on supprime toutes les regles deja en place pour la table nat:
iptables -t nat -F
iptables -t nat -X
#on accepte les paquets, la securité etant géré par la table filter
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
#a ce stade lorsque XP fait une demande il le fait avec son ip qui n'est pas routable...
#on va donc faire intervenir la notion de masquerading
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
########################################
###### REDIRECTION PORT EMULE ######
########################################
# tous les paquets entrant a destination du port 4662 seront rediriger vers le xp
iptables -t nat -A PREROUTING -i ppp0 -s 0.0.0.0/0 -p tcp --dport 4662 -j DNAT --to-destination 192.168.1.253
#on reforme le paquets pour faire croire au xp qu'il doit renvoyer le paquets au linux
iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -d 192.168.1.253 -p tcp --dport 4662 -j SNAT --to-source 192.168.1.1
tout marche bien sauf ma redirection de port ....
j'aimerais savoir si tu connais un moyen de pister un paquets qui rentre ? par exemple il a été traité par la regle x dans la prerouting, puis y dans forwarding, ect ...
y'a un truc que je pige pas bien ... je me suis inspiré de certains site pour faire ce script et par exemple la ligne qui gere le forwarding pour un paquets qui rentre par le net et qui est a destination de 192.168.1.0/24 .... c'est une adresse non routable ca, alors comment un paquets peu arrivé avec cette adresse la ????
a la limite je pourrais comprendre pour le fameux paquets destiné au port 4662 du xp mais parce qu'on a changé son adresse destination en prérouting ...
Voila si au vue de tout ca tu vois des incoherence ou que tu es capable de m'aider pour faire cette foutu redirectionde port ....
je viens quand meme d'y passer casiment 4h d'affiler non stop et ca marche tjs pas :-(((
Mais d'un autre coté je commence a bien comprendre le fonctionnement et la puissance d'iptables enfin je pense ;-)
En tout cas merci pour ton aide ....
Fis
Messages postés
87
Date d'inscription
lundi 22 novembre 2004
Statut
Membre
Dernière intervention
7 février 2006
10
13 déc. 2004 à 11:48
13 déc. 2004 à 11:48
Ben voilà... félicitations, tu as tout compris! j'aurai juste deux ou trois commentaires, mais avant çà je réponds à tes questions:
tout marche bien sauf ma redirection de port ....
>>c'est normal... ta dernière ligne est de trop! (iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -d 192.168.1.253 -p tcp --dport 4662 -j SNAT --to-source 192.168.1.1 )
elle revient à dire au PC interne à ton réseau que tout ce qu'il reçoit vient du PC linux... c'est faux!!! justement, ce qui vient par ce port vient de l'extérieur. çà sera plus clair dans quelques instants... (NAT)
un moyen de pister un paquets qui rentre ?
>> tu peux utiliser la destination "-j LOG"... ainsi des messages apparaîtront dans les logs du serveur. Pour les lire, il te suffit de taper la commande "dmesg". Il te renverra tous les messages du serveur, pas que ceux d'iptables...
Donc pour faire le ménage, la première chose est de rajouter également un --log-prefix "iptables:" à la suite de la ligne contenant -j LOG.
ensuite, pour lire uniquement ces lignes là : "dmesg | grep iptables"
(note importante : une ligne dont la destination est "-j LOG" n'altère en rien le paquet! donc tu peux les intercaler là où tu veux)
192.168.1.0/24 .... c'est une adresse non routable ca, alors comment un paquets peu arrivé avec cette adresse la ????
>>ben.. justement tout est dans le NAT (Network Address Translation) en clair le but du NAT est justement de traduire les adresses non-routables pour qu'elles soient accessibles!
C'est le "-j MASQUERADE" qui active ce nat... en clair tu dis que tout ce qui sort par ppp0 doit sortir avec l'adresse source du linux (qui lui a une adresse publique sur ppp0).
Si tu veux, le "-j MASQUERADE" est équivalent au "-j SNAT". la seule différence, c'est que masquerade devine automatiquement l'adresse source (utile si ton provider te fournit une IP dynamiquement) alors que pour le "-j SNAT" tu spécifies toi même l'IP source (donc il te faut une IP fixe de ton provider!).
Bien entendu, le système est intelligent et retient toutes les connexions qui sortent "masqueradées" pour que les infos en retour d'internet soient redirigées vers le PC qui les a appelées!
Maintenant mes petites remarques...
> C'est nickel côté sécurité! et c'est bien propre! (au moins, là t'as bien tout compris).
Le truc, c'est que tu es un peu "extrémiste"! (notamment quand tu bloques le FORWARD et le OUTPUT). C'est très bien au niveau de la sécurité... j'dirais même que c'est l'idéal! Par contre, c'est très sensible à un défaut de configuration, donc si un jour tu as un problème avec un programme, que le traffic est interrompu ou peu fluide, pense à chercher du côté du firewall.
>"iptables -t filter -X " sert à virer une ligne à la fois et "iptables -t filter -F" vire tout d'un coup, donc "iptables -t filter -X" est inutile là où tu l'as mis... c'est pas une faute ou une erreur, c'est simplement inutile. (comme çà tu le sais quoi...)
>Une chose très importante qu'on oublie à tous les coups... l'option "-P" (pour les politiques par défaut) sont à appliquer tout à la fin, après avoir ouvert le reste.
Il ne faut pas oublier que l'effet des commandes iptables sont immédiates! Donc si tu interdis tout dès le début, tu bloques toutes les communications entre les programmes sur le poste lui-même! En clair, il faut éviter que les connexions liées à l'interface de loopback (lo) soient coupée à un quelconque moment! (sinon certain programmes ou services peuvent planter!!!)
99% du temps tout se passera bien car les règles une fois enregistrées sont executée très rapidement au démarrage... mais il reste 1%!!! (et en informatique, ça pardonne pas!) et crois moi, c'est dur de trouver le problème!!! (un iptables -L -v ne te donne pas cette information!)
Voilà voilà... j'espère que c'est un peu plus clair comme çà. En tt cas, t'as compris l'essentiel, et maintenant tu vas commencer à t'amuser à aller plus loin dans les détails!
A quand un mini-howto ou une page pour les débutants??? :-)
F.
PS: ça en vallait la peine, non?
tout marche bien sauf ma redirection de port ....
>>c'est normal... ta dernière ligne est de trop! (iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -d 192.168.1.253 -p tcp --dport 4662 -j SNAT --to-source 192.168.1.1 )
elle revient à dire au PC interne à ton réseau que tout ce qu'il reçoit vient du PC linux... c'est faux!!! justement, ce qui vient par ce port vient de l'extérieur. çà sera plus clair dans quelques instants... (NAT)
un moyen de pister un paquets qui rentre ?
>> tu peux utiliser la destination "-j LOG"... ainsi des messages apparaîtront dans les logs du serveur. Pour les lire, il te suffit de taper la commande "dmesg". Il te renverra tous les messages du serveur, pas que ceux d'iptables...
Donc pour faire le ménage, la première chose est de rajouter également un --log-prefix "iptables:" à la suite de la ligne contenant -j LOG.
ensuite, pour lire uniquement ces lignes là : "dmesg | grep iptables"
(note importante : une ligne dont la destination est "-j LOG" n'altère en rien le paquet! donc tu peux les intercaler là où tu veux)
192.168.1.0/24 .... c'est une adresse non routable ca, alors comment un paquets peu arrivé avec cette adresse la ????
>>ben.. justement tout est dans le NAT (Network Address Translation) en clair le but du NAT est justement de traduire les adresses non-routables pour qu'elles soient accessibles!
C'est le "-j MASQUERADE" qui active ce nat... en clair tu dis que tout ce qui sort par ppp0 doit sortir avec l'adresse source du linux (qui lui a une adresse publique sur ppp0).
Si tu veux, le "-j MASQUERADE" est équivalent au "-j SNAT". la seule différence, c'est que masquerade devine automatiquement l'adresse source (utile si ton provider te fournit une IP dynamiquement) alors que pour le "-j SNAT" tu spécifies toi même l'IP source (donc il te faut une IP fixe de ton provider!).
Bien entendu, le système est intelligent et retient toutes les connexions qui sortent "masqueradées" pour que les infos en retour d'internet soient redirigées vers le PC qui les a appelées!
Maintenant mes petites remarques...
> C'est nickel côté sécurité! et c'est bien propre! (au moins, là t'as bien tout compris).
Le truc, c'est que tu es un peu "extrémiste"! (notamment quand tu bloques le FORWARD et le OUTPUT). C'est très bien au niveau de la sécurité... j'dirais même que c'est l'idéal! Par contre, c'est très sensible à un défaut de configuration, donc si un jour tu as un problème avec un programme, que le traffic est interrompu ou peu fluide, pense à chercher du côté du firewall.
>"iptables -t filter -X " sert à virer une ligne à la fois et "iptables -t filter -F" vire tout d'un coup, donc "iptables -t filter -X" est inutile là où tu l'as mis... c'est pas une faute ou une erreur, c'est simplement inutile. (comme çà tu le sais quoi...)
>Une chose très importante qu'on oublie à tous les coups... l'option "-P" (pour les politiques par défaut) sont à appliquer tout à la fin, après avoir ouvert le reste.
Il ne faut pas oublier que l'effet des commandes iptables sont immédiates! Donc si tu interdis tout dès le début, tu bloques toutes les communications entre les programmes sur le poste lui-même! En clair, il faut éviter que les connexions liées à l'interface de loopback (lo) soient coupée à un quelconque moment! (sinon certain programmes ou services peuvent planter!!!)
99% du temps tout se passera bien car les règles une fois enregistrées sont executée très rapidement au démarrage... mais il reste 1%!!! (et en informatique, ça pardonne pas!) et crois moi, c'est dur de trouver le problème!!! (un iptables -L -v ne te donne pas cette information!)
Voilà voilà... j'espère que c'est un peu plus clair comme çà. En tt cas, t'as compris l'essentiel, et maintenant tu vas commencer à t'amuser à aller plus loin dans les détails!
A quand un mini-howto ou une page pour les débutants??? :-)
F.
PS: ça en vallait la peine, non?
salut francois,
j'ai encore plein de souci :-)
c'est vrai que je suis content de comprendre un peu le principe de fonctionnement et de pouvoir transformer mon pc en chambre forte mais je galere quand meme pas mal !!!!
c'est normal... ta dernière ligne est de trop! (iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -d 192.168.1.253 -p tcp --dport 4662 -j SNAT --to-source 192.168.1.1 )
>>j'avais deja essayé de virrait cette ligne car je trouvais ca bizart aussi, mais ca change rien au pb ... j'avais vu ca sur se site: http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-08.html
vers la fin de la page... d'ailleur il est vraiment bien fait ce site si tu as d'autre personne qui t'embette tu pourra leur conseiller :-)
"iptables -t filter -X " sert à virer une ligne à la fois
>> ben dans le site ils disent que ca sert a virer les chaines perso ajouté. et il me semble que j'ai compris ca aussi en lisant le man ...
mais bon je suis pas bien sur ...
l'option "-P"
>> ca j'ai pas bien compris mais je vais me plongé dedans pour voir un peu ...
alors les pb maintenant ....
deja un que je comprends pas bien a partir de mon poste xp je n'ai pas accés aux boite hotmail ??? alors que du linux aucun souci ...
je sais pas si tu vois d'ou ca pourrais venir .
ensuite un qui me fait douter de ma compréhension d'iptable :
j'ai ajouter cette ligne dans le script iptable pour essayé d'avancé un peu dans la résolution du pb sur le port d'emule...
#acces spécial emule
iptables -A INPUT -i ppp0 -p tcp --dport 4662 -j ACCEPT
aprés ca je teste via un site l'accés au port 4662 et il me retourne un resultat indiquant que mon port est sécurisé ?????????? alors je pige pas du tout !?
Voila mes regles :
[root@localhost iptables]# iptables -L -v
Chain INPUT (policy DROP 112 packets, 8600 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo any anywhere anywhere
11 2130 ACCEPT all -- eth0 any 192.168.1.0/24 192.168.1.0/24
0 0 ACCEPT tcp -- ppp0 any anywhere anywhere tcp dpt:emule
2225 1878K ACCEPT all -- ppp0 any anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy DROP 37 packets, 2008 bytes)
pkts bytes target prot opt in out source destination
10906 13M ACCEPT all -- eth0 ppp0 192.168.1.0/24 anywhere state NEW,RELATED,ESTABLISHED,UNTRACKED
7660 316K ACCEPT all -- ppp0 eth0 anywhere 192.168.1.0/24 state RELATED,ESTABLISHED
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- any lo anywhere anywhere
8 3274 ACCEPT all -- any eth0 192.168.1.0/24 192.168.1.0/24
2119 317K ACCEPT all -- any ppp0 anywhere anywhere state NEW,RELATED,ESTABLISHED,UNTRACKED
je n'est pas encore essayé les logs me je vais m'y plongé des que possible, ca me permettra de comprendre un peu mieux ce qui se passe.
Nico
j'ai encore plein de souci :-)
c'est vrai que je suis content de comprendre un peu le principe de fonctionnement et de pouvoir transformer mon pc en chambre forte mais je galere quand meme pas mal !!!!
c'est normal... ta dernière ligne est de trop! (iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -d 192.168.1.253 -p tcp --dport 4662 -j SNAT --to-source 192.168.1.1 )
>>j'avais deja essayé de virrait cette ligne car je trouvais ca bizart aussi, mais ca change rien au pb ... j'avais vu ca sur se site: http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-08.html
vers la fin de la page... d'ailleur il est vraiment bien fait ce site si tu as d'autre personne qui t'embette tu pourra leur conseiller :-)
"iptables -t filter -X " sert à virer une ligne à la fois
>> ben dans le site ils disent que ca sert a virer les chaines perso ajouté. et il me semble que j'ai compris ca aussi en lisant le man ...
mais bon je suis pas bien sur ...
l'option "-P"
>> ca j'ai pas bien compris mais je vais me plongé dedans pour voir un peu ...
alors les pb maintenant ....
deja un que je comprends pas bien a partir de mon poste xp je n'ai pas accés aux boite hotmail ??? alors que du linux aucun souci ...
je sais pas si tu vois d'ou ca pourrais venir .
ensuite un qui me fait douter de ma compréhension d'iptable :
j'ai ajouter cette ligne dans le script iptable pour essayé d'avancé un peu dans la résolution du pb sur le port d'emule...
#acces spécial emule
iptables -A INPUT -i ppp0 -p tcp --dport 4662 -j ACCEPT
aprés ca je teste via un site l'accés au port 4662 et il me retourne un resultat indiquant que mon port est sécurisé ?????????? alors je pige pas du tout !?
Voila mes regles :
[root@localhost iptables]# iptables -L -v
Chain INPUT (policy DROP 112 packets, 8600 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo any anywhere anywhere
11 2130 ACCEPT all -- eth0 any 192.168.1.0/24 192.168.1.0/24
0 0 ACCEPT tcp -- ppp0 any anywhere anywhere tcp dpt:emule
2225 1878K ACCEPT all -- ppp0 any anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy DROP 37 packets, 2008 bytes)
pkts bytes target prot opt in out source destination
10906 13M ACCEPT all -- eth0 ppp0 192.168.1.0/24 anywhere state NEW,RELATED,ESTABLISHED,UNTRACKED
7660 316K ACCEPT all -- ppp0 eth0 anywhere 192.168.1.0/24 state RELATED,ESTABLISHED
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- any lo anywhere anywhere
8 3274 ACCEPT all -- any eth0 192.168.1.0/24 192.168.1.0/24
2119 317K ACCEPT all -- any ppp0 anywhere anywhere state NEW,RELATED,ESTABLISHED,UNTRACKED
je n'est pas encore essayé les logs me je vais m'y plongé des que possible, ca me permettra de comprendre un peu mieux ce qui se passe.
Nico
en relisant y'a des trucs qui me paraissent pas clair dans mon poste...
d'abord quand je te dis que j'arrive pas acceder aux boites hotmail en faite c'est au site hotmail que je n'accede pas depuis le xp tandis que du linux pas de souci.
et par rapport a la regle sur le port 4662 qui marche pas es ce que ca pourrait venir de la toute derniere ligne du script:
iptables -t nat -A PREROUTING -i ppp0 -s 0.0.0.0/0 -p tcp --dport 4662 -j DNAT --to-destination 192.168.1.253
qui ferais que l'adresse destination de mon paquets est modifier et du coup il part directement en forwarding sans passé par la case input...
En faite j'ai un peu de mal a saisir l'enchainement des controles lorsqu'un paquet arrive... Dans quel sens il parcours les regles ???
Je n'est peut etre pas assez écumé les docs :(((((
Nico
d'abord quand je te dis que j'arrive pas acceder aux boites hotmail en faite c'est au site hotmail que je n'accede pas depuis le xp tandis que du linux pas de souci.
et par rapport a la regle sur le port 4662 qui marche pas es ce que ca pourrait venir de la toute derniere ligne du script:
iptables -t nat -A PREROUTING -i ppp0 -s 0.0.0.0/0 -p tcp --dport 4662 -j DNAT --to-destination 192.168.1.253
qui ferais que l'adresse destination de mon paquets est modifier et du coup il part directement en forwarding sans passé par la case input...
En faite j'ai un peu de mal a saisir l'enchainement des controles lorsqu'un paquet arrive... Dans quel sens il parcours les regles ???
Je n'est peut etre pas assez écumé les docs :(((((
Nico
Fis
Messages postés
87
Date d'inscription
lundi 22 novembre 2004
Statut
Membre
Dernière intervention
7 février 2006
10
13 déc. 2004 à 15:32
13 déc. 2004 à 15:32
"iptables -t filter -X " est bien pour virer les chaines persos... sorry, j'ai confondu avec le '-D". C'est donc utile si tu emploies le "-N" pour créer tes propres chaines.
Par l'option"-P" je parle des règles par défaut, comme "iptables -P INPUT DROP". Cette commande dit de bloquer tte requête qui n'as pas été traitée par une commande spécifique. (politique par défaut, donc quand rien n'a été spécifié par d'autres règles)
Pour l'ordre des opérations, c'est un peu complexe et il y a plusieurs manières de représenter les choses... c'est pas ce qu'il y a de plus simple, mais c'est très puissant pour ceux qui maitrisent!
J'vais tenter de représenter cela comme çà:
Pour le PC linux: ce sont essentiellement les règles de la tables FILTER qui jouent, plus particulièrement INPUT et OUTPUT.
Pour le réseau local : c'est d'abord la chaine PREROUTING de NAT, ensuite FORWARD de FILTER et finalement POSTROUTING de NAT.
Oui je sais... chacune à une influence sur une ou plusieurs autres, et ça peut avoir des conséquences subtiles et dangereuses! Néanmoins... je persiste à dire que c'est extrêmement puissant quand on maitrise! (et j'ai pas du tout la prétention de maitriser cela à 100%, loin de là malheureusement!)
En clair, pour ton port 4662 (si c'est le bon!!), comme tu as utilisé la chaine PREROUTING du NAT, ben les paquets ne voient même pas le reste : ils vont directement au PC où tu l'as redirigé.
Pour tes problèmes de connexions au site hotmail (et d'autres peut-être!), c'est typiquement le genre de problème dont je parlais dans mon dernier poste : des règles très strictes sont bonnes pour la sécurité... mais posent parfois des problèmes très difficiles à localiser!.
Je serais toi, j'essaierai de relâcher la pression petit à petit. essentiellement sur les chaînes OUTPUT et FORWARD de la table FILTER.
Etant donné que tu te connectes sans problèmes depuis le linux, mais pas depuis le XP, alors c'est plus vers la FORWARD qu'il faut chercher.
Plus particulièrement, tu as une ligne
10906 13M ACCEPT all -- eth0 ppp0 192.168.1.0/24 anywhere state NEW,RELATED,ESTABLISHED,UNTRACKED
dans ton précédent post...
Je serais tenté d'être moins strict (surtout qu'ici la règle n'est pas vraiment utile) et de la ramener à une règle plus légère, plus flexible et tout autant sécuritaire:
iptables -A FORWARD -o ppp0 -j ACCEPT
A la fin de toutes tes règles, rajoute ceci pour faire un premier LOG:
iptables -A INPUT -j LOG --log-prefix "Rejeté par iptables: "
ensuite, après quelques minutes tu devrais commencer à voir des messages intéressant en faisant la commande "dmesg" dans le shell...
La écurité c'est très bien.. mais malheureusement sécurité et productivité sont souvent en conflit. Tout est affaire de compromis. 'faut voir si tu protèges ton petit PC de particulier ou si tu protèges la maison blanche... (enfin là de tte façon ils n'ont certainement pas les protections linux, ils font certainement plus confiance aux merveilleux produits Micro$oft... ;-))))
Par l'option"-P" je parle des règles par défaut, comme "iptables -P INPUT DROP". Cette commande dit de bloquer tte requête qui n'as pas été traitée par une commande spécifique. (politique par défaut, donc quand rien n'a été spécifié par d'autres règles)
Pour l'ordre des opérations, c'est un peu complexe et il y a plusieurs manières de représenter les choses... c'est pas ce qu'il y a de plus simple, mais c'est très puissant pour ceux qui maitrisent!
J'vais tenter de représenter cela comme çà:
Pour le PC linux: ce sont essentiellement les règles de la tables FILTER qui jouent, plus particulièrement INPUT et OUTPUT.
Pour le réseau local : c'est d'abord la chaine PREROUTING de NAT, ensuite FORWARD de FILTER et finalement POSTROUTING de NAT.
Oui je sais... chacune à une influence sur une ou plusieurs autres, et ça peut avoir des conséquences subtiles et dangereuses! Néanmoins... je persiste à dire que c'est extrêmement puissant quand on maitrise! (et j'ai pas du tout la prétention de maitriser cela à 100%, loin de là malheureusement!)
En clair, pour ton port 4662 (si c'est le bon!!), comme tu as utilisé la chaine PREROUTING du NAT, ben les paquets ne voient même pas le reste : ils vont directement au PC où tu l'as redirigé.
Pour tes problèmes de connexions au site hotmail (et d'autres peut-être!), c'est typiquement le genre de problème dont je parlais dans mon dernier poste : des règles très strictes sont bonnes pour la sécurité... mais posent parfois des problèmes très difficiles à localiser!.
Je serais toi, j'essaierai de relâcher la pression petit à petit. essentiellement sur les chaînes OUTPUT et FORWARD de la table FILTER.
Etant donné que tu te connectes sans problèmes depuis le linux, mais pas depuis le XP, alors c'est plus vers la FORWARD qu'il faut chercher.
Plus particulièrement, tu as une ligne
10906 13M ACCEPT all -- eth0 ppp0 192.168.1.0/24 anywhere state NEW,RELATED,ESTABLISHED,UNTRACKED
dans ton précédent post...
Je serais tenté d'être moins strict (surtout qu'ici la règle n'est pas vraiment utile) et de la ramener à une règle plus légère, plus flexible et tout autant sécuritaire:
iptables -A FORWARD -o ppp0 -j ACCEPT
A la fin de toutes tes règles, rajoute ceci pour faire un premier LOG:
iptables -A INPUT -j LOG --log-prefix "Rejeté par iptables: "
ensuite, après quelques minutes tu devrais commencer à voir des messages intéressant en faisant la commande "dmesg" dans le shell...
La écurité c'est très bien.. mais malheureusement sécurité et productivité sont souvent en conflit. Tout est affaire de compromis. 'faut voir si tu protèges ton petit PC de particulier ou si tu protèges la maison blanche... (enfin là de tte façon ils n'ont certainement pas les protections linux, ils font certainement plus confiance aux merveilleux produits Micro$oft... ;-))))
