Ubuntu reseau [Fermé]

Signaler
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
-
Messages postés
29229
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
11 mai 2020
-
Bonjour,
Avec Linux pas de problèmes. Depuis que j'ai installé FEDORA j'ai eu un probleme de configuration Reseau. Maintenant que j'ai UBUNTO j'ai le meme probleme qui est le suivant.
J'ai deux cartes reseaux dans la machine où tourne UBUNTO. Les deux cartes sont de marque REALTECK. L'une ETH0 avec une adresse IP dynamic et l'autre ETH1 avec une adresse IP statique pour mon reseau interne. Pour pouvoir me connecter sur internet je dois desactiver la carte ETH1 et pour pouvoir fair un ping sur ma carte reseau ETH1 d'un autre PC de mon reseau je dois desactiver ETH0. Les deux simultanemant ne me permer ni de faire un ping et de me connecter sur internet.
Merci pour une solution enventuelle.

35 réponses

Messages postés
29229
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
11 mai 2020
6 859
Ubunto -> ubuntu :-)

Peux-tu nous donner les résultats des commandes :
cat /etc/network/interfaces
/sbin/ifconfig
/sbin/route -n
cat /etc/resolv.conf

Et nous dire ce que ce PC est sensé faire (en particulier, doit il faire passerelle pour les autres PC de ton réseau local)

Bonne chance
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468
Salut,

j'admire ta patience, et pas seulement ;)

lami20j
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet dhcp

auto eth2
iface eth2 inet dhcp

auto ath0
iface ath0 inet dhcp

auto wlan0
iface wlan0 inet dhcp


eth0 Lien encap:Ethernet HWaddr 00:A1:B0:E0:8B:B5
inet adr:192.168.2.5 Bcast:192.168.2.255 Masque:255.255.255.0
adr inet6: fe80::2a1:b0ff:fee0:8bb5/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Packets reçus:211 erreurs:0 :0 overruns:0 frame:0
TX packets:161 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
Octets reçus:262091 (255.9 KiB) Octets transmis:15998 (15.6 KiB)
Interruption:5 Adresse de base:0x6e00

eth1 Lien encap:Ethernet HWaddr 00:A1:B0:E0:81:39
adr inet6: fe80::2a1:b0ff:fee0:8139/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Packets reçus:0 erreurs:0 :0 overruns:0 frame:0
TX packets:42 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
Octets reçus:0 (0.0 b) Octets transmis:12780 (12.4 KiB)
Interruption:11 Adresse de base:0x6d00

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
Packets reçus:9 erreurs:0 :0 overruns:0 frame:0
TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
Octets reçus:472 (472.0 b) Octets transmis:472 (472.0 b)



Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth0



search Belkin
nameserver 192.168.2.1
Voilà, sachant que les deux cartes sont activées. J'aimerais effectivement faire une passerelle

Merci pour ta réponse rapide. A bientot
Gerard
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
bonjour,
J'ai lu le lien de olivieraj pour pouvoir faire un firewall. Je suis désolé mais je ne parviens pas. Les routes sont erronées et je ne parviens plus a aller sur internet lorsque je lance mon firewall. J'utilise aussi le firewall que m'a gentillement envoyé lami et est modifié les adresses mais ça ne fonctionne pas. Il m'a super bien aidé et je ne veux le deranger. Puis je te demander de me concocter un firewall si je t'envois les parametres de mon reseau?
Merci
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468 >
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010

Salut,

pas de panique

je ne veux le deranger

Tu vois comment j'ai presenté mon reseau? ubuntu reseau#35

Fait de même et affiche le ici ou envoi par mail (dans mon profil tu as mon mail)

J'ai besoin aussi de tes routes sur les machines faisant partie de ton reseau

sous linux

route -n

windows

route PRINT

lami20j
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468
Salut,

tu as oublié cat /etc/network/interfaces

Je ne pense pas que nameserver 192.168.2.1 c'est l'IP de serveur DNS

Affiche aussi

iptables -v -L -n

Si tu as 2 cartes réseau il faut penser à la chaîne FORWARD de la table Filter

2 carte réseau sur le même pc?! - c'est bien pour un router ;)

Par exemple j'ai un pc sous linux avec 2 cartes réseau et j'utilise ce pc en tant que routeur.

lami20j
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
cat /etc/network/interfaces

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet dhcp

auto eth2
iface eth2 inet dhcp

auto ath0
iface ath0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
J'ai un belkin WIFI pour mon portable qui abien l'IP 192.168.2.1.
Mais pourquoi ça fonctionné avec Linux???
vous etes adorables d'aider les gens
Merci à cous
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
iptables -v -L -n

FATAL: Error inserting ip_tables (/lib/modules/2.6.15-26-386/kernel/net/ipv4/netfilter/ip_tables.ko): Operation not permitted
iptables v1.3.3: can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468 >
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010

Salut,

Permission denied (you must be root)

il faut passer en root linux utiliser la commande su

lami20j
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
tu as reçu mon mail?
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468
Re,

je me suis trompé pour /etc/network/interfaces, tu l'as déjà afficé mais je n'ai pas fait attention.

En revanche je ne sais pas si je saisie bien.

tu dit Mais pourquoi ça fonctionné avec Linux???

Et c'est avec quoi que ça ne fonctionne pas?

lami20j
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
avec linux, je n'ai eu aucun probleme a ce sujet mais avec ferdora et ubunto bien. J'ai installé ubunto maintenant pour savoir si ça irait mieux mais NON................. GRRRRRRRRRRRRRRR
En revanche en faisant ce que tu m'as demandé il est inscrit fatale erreur?????????????????
Voir mon envoye prededant
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468 >
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010

Re,

Fedora et Ubuntu sont aussi des distributions linux.


Voir mon envoye prededant et toi regarde mon message N° 9 puisque j'ai déjà vu le tien.

lami20j
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2 >
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019

hello, je viens de m'inscrire, comment voir les messages precedents?
merci$
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468 >
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010

Re,

ben, tu montes dans la page avec la mollette de ta souris, sinon tu peux utiliser la barre de défilement verticale

Mon message est ubuntu reseau#9

lami20j
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
c'est fait mais il me demande un mot de passe que je n'ai pas pour le root.
Aucune question concernant un mot de passe root m'a été demandé lors de l'installation
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468
Re,

essaie

sudo iptables -v -L -n

lami20j
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
voila ce qu'il me met
sudo iptables -v -L -n

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468
Re,

enfin tu as réussi. c'est bien.

On va commence avec la mauvaise nouvelle.
Tu n'as pas le firewall configuré. Ce qui veut dire que tout le monde peut entrer chez toi.


Maintenant qu'on est là et vu que tu es débutant (si je me trompe dit le) je pense qu'il faut expliquer un peu en détail ce que tu as es ce que tu veux faire.

Tu as combien des pc? Je te demande ça puisque tu parles d'un réseau interne.

Tu passe sur internet par un routeur, modem,...?

D'ailleurs mamiemando t'as déjà demande Et nous dire ce que ce PC est sensé faire (en particulier, doit il faire passerelle pour les autres PC de ton réseau local)

lami20j
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
oui, il doit faire routeur avec 2 pc
Messages postés
29229
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
11 mai 2020
6 859
j'admire ta patience, et pas seulement ;)
rooooh :-)

Bon on reprend je vois que vous avez beaucoup discuté :)
Alors en fait niveau pare-feu c'est vrai que c'est mieux si tu en as un mais bon on va déjà essayer de faire marcher le bazar comme ça et on mettra un pare feu apres (shorewall, iptables...).

1) Préliminaires

1)a) Au sujet du root


Et oui c'est une ubuntu donc c'est normal on fait tout avec sudo. Mais un compte root on aura beau dire c'est plus pratique. Pour tout savoir à ce sujet :
http://doc.ubuntu-fr.org/applications/sudo

Par la suite tout ce que je te fais faire est à faire en root...

1)b) Réseaux locaux

Si j'ai bien tout compris tu vas avoir deux réseaux locaux. Je te dit tout de suite qu'il serait beaucoup plus simple que tout tes PC soient directement connectés aux routeurs, d'autant plus que le PC qui fait passerelle devra être allumé pour que les autres aient accès au Net.

Ton réseau devrait au final ressembler à ca :

routeur
192.168.2.1
  |
  |
192.168.2.2 (eth0)
pc
192.168.1.1 (eth1)
  |
  |
LAN 192.168.1.*

Arrête-moi si je me suis trompée... En supposant que ce ne soit pas le cas, et que ce soit bien ce que tu veuilles faire, voici la suite...

2) Ta configuration /etc/network/interfaces

Manifestement tu n'utilises que lo, eth0 et eth1 donc tu peux commenter toutes autres interfaces qui ne feront que ralentir inutilement le démarrage de ton ubuntu :
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet dhcp

#auto eth2
#iface eth2 inet dhcp

#auto ath0
#iface ath0 inet dhcp

#auto wlan0
#iface wlan0 inet dhcp 



3) eth0 et le réseau 192.168.2.*

Ensuite mes yeux ne m'abusent eth0 récupère une ip sur le réseau 192.168.2.*. Pourquoi pas si un serveur dhcp (ton routeur ?) est présent pour ce réseau. Sinon il y a déjà un problème à ce niveau. Vu tes routes ça à l'air d'être ça puisque tu as une route par défaut (0.0.0.0) qui passe par 192.168.2.1 et que ton routeur (192.168.1.1) fait DNS.

J'imagine donc qu'à ce stade tu parviens à aller sur internet avec ce PC, est ce que tu peux me le confirmer ? Si ce n'est pas le cas, peux tu me donner le résultat des commandes :
ping -c2 192.168.2.1
nslookup www.google.fr
ping -c2 www.google.fr


4) et eth1....

La c'est pas très clair pour moi il faudrait que tu me dises quelle ip tu veux attribuer à eth1 sur ton réseau local. Ce réseau local doit commencer par 192.168 mais le 3e nombre ne doit pas être 2 puisque tu l'utilises déjà. Tu n'as qu'à mettre 1 par exemple. Supposons que l'on mette du coup pour eth1 192.168.1.1. Il faut alors corriger /etc/network/interfaces :
auto eth1
iface eth1 inet static
  address 192.168.1.1
  netmask 255.255.255.0
  network 192.168.1.0
  broadcast 192.168.1.255
  gateway 192.168.1.1

Sauve et quitte. Pour prendre ces modifications en compte :
ifconfig eth1 down
ifconfig eth1 up

A présent fait un :
/sbin/route -n

Théoriquement une route supplémentaire a dû apparaître pour ton réseau local (192.168.1.1). Si c'est bien le cas tu dois désormais pouvoir pinguer les autres PC de ton LAN et qui sont sensés avoir également une ip statique en 192.168.1.*

5) Mise en place d'un pont réseau

Si tu parviens à les pinguer c'est presque dans la poche, il ne reste plus qu'à faire un "pont réseau" entre eth0 et eth1. Et ça, ça se fait avec la commande brctl :
https://linux.die.net/man/8/brctl

Et pour savoir comment on fait ça il suffit de lire et de s'inspirer de ça :
http://www.fwbuilder.org/archives/cat_bridging_fw.html

Bonne chance
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
Re à toi,
Je resume. Mon adresse IP du routeur Belkin est 192.168.2.1. J'ai mis cette l'adresse IP statique de ma carte ETH1 192.168.2.3

ping -c2 192.168.2.1
PING 192.168.2.1 (192.168.2.1) 56(84) bytes of data.
64 bytes from 192.168.2.1: icmp_seq=1 ttl=64 time=4.55 ms
64 bytes from 192.168.2.1: icmp_seq=2 ttl=64 time=0.732 ms


nslookup www.google.fr
Server: 192.168.2.1
Address: 192.168.2.1#53

Non-authoritative answer:
www.google.fr canonical name = www.google.com.
www.google.com canonical name = www.l.google.com.
Name: www.l.google.com
Address: 66.249.91.104
Name: www.l.google.com
Address: 66.249.91.147
Name: www.l.google.com
Address: 66.249.91.99


ping -c2 www.google.fr
PING www.l.google.com (66.249.91.147) 56(84) bytes of data.
64 bytes from 66.249.91.147: icmp_seq=1 ttl=241 time=13.2 ms
64 bytes from 66.249.91.147: icmp_seq=2 ttl=241 time=14.4 ms

--- www.l.google.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1003ms
rtt min/avg/max/mdev = 13.261/13.873/14.486/0.623 ms


Je sais effectivement me connecter sur le NET avec UBUNTO.
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
/etc/network/interfaces :



auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet dhcp

auto eth2
iface eth2 inet dhcp

auto ath0
iface ath0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468
Re,

Pour brctl tu dois avoir le paquet bridge-utils installé
apt-get install bridge-utils
lami20j
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
salut,
Dis moi, je suis parvnu à faire un ping grace à l'aide de mamie.
Peux tu m'expliquer pour faire un firewall avec iptables je crois?
Merci lami
Messages postés
29229
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
11 mai 2020
6 859
Ben ouais t'as la partie réseau 192.168.2.* qui est en place mais ni la partie 192.168.1.* ni le pont entre les deux. Suis simplement ce que j'ai marqué la dernière fois... Au besoin redonne nous les résultats de :
/sbin/ifconfig
/sbin/route -n


Bonne chance
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
Re toi,
Dis moi, j'ai modifié le fichier INTERFACES mais je ne parviens pas a l'enregistrer. Je me suis mis en SUDO via sudo /etc/init.d/networking start et il a accepté mon mot de passe. GRRRRRRRRR
Meric à toi
Messages postés
29229
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
11 mai 2020
6 859
Il faut être en root pour modifier ce fichier. Vu que sous ubuntu tout se fait par sudo le plus simple est de créer un compte root (cf mon premier post pour voir comment faire). Ou sinon tu lances ton éditeur texte via un sudo pour avoir les droits root...

Bonne chance
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
sorry, mais je ne parviens pas. Il n'accepte pas mon mot de passe snifffffffff
Messages postés
29229
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
11 mai 2020
6 859
Ben je peux pas te dire plus que ce qu'il y a sur le lien ! Tu as forcément oublié quelque chose en "root" si j'ose dire ;-)
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
Coucou,
Voilà je sais faire un ping cette fois. Un grand merci. Tu pourrais encore m'aider pour un parefeu (shorewall, iptables??
Tu es formidable.
UN TOUT GRAND MERCI
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468
Salut,

Ce que tu vois en gras il faut modifier en fonction de ta configuration.
Le nom d'utilisateur, l'interface utiliser pour se connecter sur net, l'IP, tu peux aussi changer le nom de fichier fw_gerard.sh

Il faut ajouter ça dans un fichier /home/gerard/fw_gerard.sh par exemple
#! /bin/sh
#
# Description: configuration de firewall netfilter/iptables
#
# Initialization de la table FILTER
#
iptables -F
iptables -X
iptables -P INPUT   DROP 
iptables -P OUTPUT  DROP
iptables -P FORWARD DROP # les 3 cmd = debranchement des cables

# Initialization de la table NAT
#
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING    ACCEPT
iptables -t nat -P POSTROUTING   ACCEPT
iptables -t nat -P OUTPUT        ACCEPT
#
# Initialisation de la table MANGLE
#
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING    ACCEPT
iptables -t mangle -P INPUT         ACCEPT
iptables -t mangle -P OUTPUT        ACCEPT
iptables -t mangle -P FORWARD       ACCEPT
iptables -t mangle -P POSTROUTING   ACCEPT

# interface lo
iptables -A INPUT -i lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT
iptables -A OUTPUT -o lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT

#                            table FILTER

iptables -A INPUT -i eth0 -d xxx.xxx.xxx.xxx -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT


Une fois le fichier créer voilà les manipulations à suivre en tant que root

chmod -v 0755 /home/gerard/fw_gerard.sh
echo "/home/gerard/fw_gerard.sh" >> /etc/init.d/rc.local
chmod -v 0744 /etc/init.d/rc.local
update-rc.d rc.local start 99 2 3 4 5 .
/etc/init.d/rc.local


Au prochain rédemarrage tu n'auras rien à taper, le firewall sera configurer.

lami20j

P.S c'est un firewall minimal dans le sens que tu peux aller où tu veux et personne ne peut entrer chez toi.

Après il faut adapter la configuration en fonction de tes besoins (serveurs ftp, web, ssh,....)
Si tu n'est qu'un utilisateur qui va surfer sur net sans avoir besoin de serveurs alors ce firewall est suffisant.

Il y a pour linux des frontends pour administrer le firewall

regarde ici
linux installation d un firewall
securite mandriva parametrage shorewall

lami20j

P.S. Les choses peuvent se compliquer dans ton cas, si tu veux utiliser ton pc en tant que routeur vu que tu as 2 carte réseau

Il faut configurer pour ça le forwarding, la chaîne FORWARD de la table Filter et la table NAT
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
merci à toi
dans 'iptables -A INPUT -i eth0 -d xxx.xxx.xxx.xxx -m state --state ESTABLISHED,RELATED -j ACCEPT' je dois mettre uen IP à la place des 'X'?
Je ne vois pas de caractere en gras mais des couleurs rouge et noire.
Un grand merci à toi Au fait, je vais pouvoir me connecter avec mon portable via Ubunto maintenant?

Merci à toi en tous cas
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468 >
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010

Re,

oui au lie de xxx.xxx.xxx.xxx il faut mettre ton IP

Aussi regarde quelle interface tu utilises. Dans l'exemple j'ai mis eth0, peut être chez toi c'est autre chose.

Et regarde aussi les liens que je t'ai donne et tiens encore 3

http://christian.caleca.free.fr/netfilter/
http://lea-linux.org/cached/index/Reseau-secu-iptables.html
https://fr.wikipedia.org/wiki/Iptables

lami20j
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
encore une chose STP puis je vais te laisser car je veux surtout pas t'ennuyer. Tu m'as dejà tres bien aidé. les 'XX' sont l'adresse IP de ETH1(reseau interne ou l'adresse reseau ou une autre adresse?
2) comment voir si mon firewall fonctionne? A parement il fonctionne car je ne sais plus faire de ping de UBUNTIO vers mon portable.
3) connas tu un bon antivirus pour UBUNTO?
Encore un grand merci
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
encore une petite chose. mon portable ne parvient pas à ce connecter sur le net via ubuntu et pourta,t j'ai rajoué ' echo 1 > /proc/sys/net/ipv4/ip_forward
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468
Salut,

je veux surtout pas t'ennuyer
Ca c'est faux ;)

comment voir si mon firewall fonctionne?

la commande iptables -v -L -n t'affiche ce que ton firewall filtre

mon portable ne parvient pas à ce connecter sur le net via ubuntu et pourta,t j'ai rajoué ' echo 1 > /proc/sys/net/ipv4/ip_forward

comme je t'ai dit dans mes messages précedentes si tu veux te connecter sur net via un pc (ton cas ubuntu) alors Il faut configurer pour ça le forwarding, la chaîne FORWARD de la table Filter et la table NAT

lami20j

Voilà mon cas.
		  web
 	 	   |

      		freebox

		   |

      	routeur Netgear:10.0.0.254

	 	   |

      		debian
     (passerelle défaut: 10.0.0.254)
	  DNS1:212.27.32.xxx
	  DNS2:212.27.32.yyy

     |                           |

eth0:10.0.0.2/24 (wan)  eth1:192.168.1.1/24 (LAN)

                                |

			      WinXP

				|

			   Lan:192.168.1.2 
		  (passerelle défaut: 10.0.0.254)
			DNS1:212.27.32.xxx
			DNS2:212.27.32.yyy

Et voilà mon firewall (donc win va sur net via debian) - à adapter dans ton cas
#! /bin/sh
#
# Description: configuration de firewall netfilter/iptables
#
# Initialization de la table FILTER
#
iptables -F
iptables -X
iptables -P INPUT   DROP 
iptables -P OUTPUT  DROP
iptables -P FORWARD DROP # les 3 cmd presque la debranchement des cables

# Initialization de la table NAT
#
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING    ACCEPT
iptables -t nat -P POSTROUTING   ACCEPT
iptables -t nat -P OUTPUT        ACCEPT
#
# Initialisation de la table MANGLE
#
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING    ACCEPT
iptables -t mangle -P INPUT         ACCEPT
iptables -t mangle -P OUTPUT        ACCEPT
iptables -t mangle -P FORWARD       ACCEPT
iptables -t mangle -P POSTROUTING   ACCEPT

# interface lo
iptables -A INPUT -i lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT
iptables -A OUTPUT -o lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT

#                            table FILTER

# chaine INPUT
iptables -A INPUT -i eth0 -d 10.0.0.2 -m state --state ESTABLISHED,RELATED -j ACCEPT



# chaine FORWARD
iptables -A FORWARD -i eth0 -o eth1 -s 0.0.0.0/0 -d 192.168.1.2 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -s 192.168.1.2 -d 10.0.0.0/0 -m state --state ! INVALID -j ACCEPT


# chaine OUTPUT
iptables -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT
iptables -A OUTPUT -o eth1 -m state --state ! INVALID -j ACCEPT

#                        table NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.2 -j SNAT --to-source 10.0.0.2

Pour ne pas être obligé de récrire ça
echo 1 > /proc/sys/net/ipv4/ip_forward tu as 2 posibilités :

- écrire cette ligne dans /etc/init.d/rc.local
- ajouter dans le fichier /etc/sysctl.conf la ligne
net.ipv4.ip_forward=1
lami20j
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
Voilà ce que àa me donne losque je fais iptables -v -L -n

Chain INPUT (policy ACCEPT 646 packets, 428K bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 603 packets, 68981 bytes)
pkts bytes target prot opt in out source destination

Je regarderais dans les differents sites que tu m'as donné.
Merci encore
Gerard
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468 >
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010

Salut,

quand tu vois ça alors sache que ton firewall n'est pas configurer correctement (au moins d'après le script que je t'ai donné)

Voilà chez moi

table filter
Chain INPUT (policy DROP 8 packets, 1224 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
 4301  380K ACCEPT     all  --  eth0   *       0.0.0.0/0            10.0.0.2            state RELATED,ESTABLISHED 
 
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
32266   36M ACCEPT     all  --  eth0   eth1    0.0.0.0/0            192.168.1.2         state RELATED,ESTABLISHED 
25534 2256K ACCEPT     all  --  eth1   eth0    192.168.1.2          0.0.0.0/0           state NEW,RELATED,ESTABLISHED,UNTRACKED 


Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   34  2944 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
 8189   11M ACCEPT     all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED,UNTRACKED 
 196K 9151K ACCEPT     all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED,UNTRACKED 
table nat
avec la commande iptables -t nat -v -L -n
Chain PREROUTING (policy ACCEPT 1944 packets, 102K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DNAT       all  --  eth1   *       10.0.0.1             0.0.0.0/0           to:192.168.1.2 

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 1701 82524 SNAT       all  --  *      eth0    192.168.1.2          0.0.0.0/0           to:10.0.0.2 

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination       
lami20j

P.S. Tu remarques la politique DROP dans la table FILTER?
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468
Re,

essaie de respecter les étapes que je t'ai écrit dans ubuntu reseau#30

aussi de compredre la structure de ma config.

ensuite tu n'as qu'à adapter.

Bien sûr je ne t'ai pas donné la configuration complète de mon netfilter mais t'as le minimum pour pouvoir te connecter et être protegé (c'est une configuration minimale pour un client net)

lami20j
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
Salut,
C'est vrai que je t'avais dis que je ne t'ennuirais plus, mais j'ai oublié une question à te poser tout à l'heure (sourire....). Mon firewall ne se lance pas au démarrage, c'est ça le probleme. SNIFFFF
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468
Salut,

affiche les résultat des commandes suivantes
ls -l /etc/init.d/rc.local
find /etc/rc* -name '*rc.local'
cat /etc/init.d/rc.local
lami20j
Messages postés
137
Date d'inscription
mardi 8 août 2006
Statut
Membre
Dernière intervention
28 mars 2010
2
ls -l /etc/init.d/rc.local
-rwxr-xr-x 1 root root 546 2006-08-13 18:32 /etc/init.d/rc.local

find /etc/rc* -name '*rc.local'

/etc/rc2.d/S99rc.local
/etc/rc3.d/S99rc.local
/etc/rc4.d/S99rc.local
/etc/rc5.d/S99rc.local
/etc/rc.local


cat /etc/init.d/rc.local

#! /bin/sh

PATH=/sbin:/bin:/usr/sbin:/usr/bin
[ -f /etc/default/rcS ] && . /etc/default/rcS
. /lib/lsb/init-functions

do_start() {
if [ -x /etc/rc.local ]; then
log_begin_msg "Running local boot scripts (/etc/rc.local)"
/etc/rc.local
log_end_msg $?
fi
}

case "$1" in
start)
do_start
;;
restart|reload|force-reload)
echo "Error: argument '$1' not supported" >&2
exit 3
;;
stop)
;;
*)
echo "Usage: $0 start|stop" >&2
exit 3
;;
esac
/etc/init.d/firewall_sh
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 468
Re,

affiche aussi
find / -name 'firewall_sh'
lami20j