A voir également:
- Acces apache de l exterieur
- Le chemin d'accès spécifié est introuvable ✓ - Forum Téléchargement
- Apache openoffice - Télécharger - Suite bureautique
- Logiciel amenagement exterieur gratuit - Télécharger - Architecture & Déco
- Redemarrer apache - Forum Linux / Unix
- Câble téléphonique extérieur aérien - Forum câblage
1 réponse
Grunt
Messages postés
2773
Date d'inscription
jeudi 17 janvier 2008
Statut
Contributeur
Dernière intervention
3 avril 2009
300
10 mars 2008 à 00:03
10 mars 2008 à 00:03
Tu regardes ton site avec http://ton_ip:442 j'espère?
Et ça donne quoi comme message d'erreur, de l'extérieur?
Et ça donne quoi comme message d'erreur, de l'extérieur?
10 mars 2008 à 12:09
vivi je met bien le port 442. le message est le suivant:
La connexion a échoué
Firefox ne peut établir de connexion avec le serveur à l'adresse 82.127.40.8:442
* Le site est peut-être temporairement indisponible ou surchargé. Réessayez plus
tard ;
* Si vous n'arrivez à naviguer sur aucun site, vérifiez la connexion
au réseau de votre ordinateur ;
* Si votre ordinateur ou votre réseau est protégé par un pare-feu ou un proxy,
assurez-vous que Firefox a l'autorisation d'accéder au Web.
tout ca apres cherché un bon moment
10 mars 2008 à 12:41
10 mars 2008 à 21:23
#!/bin/sh
# DEBUT de la definition des variables necessaires au bon fonctionnement du script
# IPT = Alias pour le binaire de iptables
IPT=/sbin/iptables
# ICOM = Interface reliee au reseau commercial
ICOM=eth0
# ITEC = Interface reliee au reseau technique
ITEC=eth1
# INET = Interface reliee a Internet
INET=eth2
# IWLAN = Interface reliee au reseau sans fil
IWLAN=eth3
# Adresse MAC de Laurent
MAC_LAURENT=00:0A:5E:40:58:89
# Adresse MAC de Laurent 2
MAC_LAURENT_2=00:e0:4c:03:04:51
# Adresse MAC de Boris
MAC_BORIS=00:0E:35:39:EB:5B
# Adresse MAC du Wyse 1
MAC_WYSE_1=00:80:64:44:7f:8d
# Adresse MAC du Wyse 2
MAC_WYSE_2=00:80:64:44:6C:25
# Adresse MAC du Wyse 3
MAC_WYSE_3=00:80:64:42:76:4f
# Adresse MAC du Wyse 4
MAC_WYSE_4=00:80:64:44:6c:c4
# Adresse MAC de tux
MAC_TUX=00:0A:5E:51:1E:8F
# FIN DE LA DEFINITION DES VARIABLES
# Chargement des modules
modprobe ip_conntrack_ftp
# On autorise le forward de paquets
echo 1 > /proc/sys/net/ipv4/ip_forward
# REMISE a ZERO des regles de filtrage
$IPT -F
$IPT -t nat -F
# DEBUT des "politiques par defaut"
# Je veux que les connexions entrantes soient bloquées par défaut
$IPT -P INPUT DROP
# Je veux que les connexions destinees a etre forwardees
# soient acceptees par defaut
$IPT -P FORWARD DROP
# Je veux que les connexions sortantes soient acceptees par defaut
$IPT -P OUTPUT ACCEPT
# FIN des "politiques par defaut"
# COnfiguration des logs
# Regle pour les refus de paquets
# iptables -N LOG_DROP
# iptables -A LOG_DROP -j ULOG --ulog-prefix='[IPTABLES DROP] :'
# iptables -A LOG_DROP -j DROP
# Regle pour les acceptations de paquets
# iptables -N LOG_ACCEPT
# iptables -A LOG_ACCEPT -j ULOG --ulog-prefix='[IPTABLES ACCEPT] :'
# iptables -A LOG_ACCEPT -j ACCEPT
# DEBUT des regles de filtrage
# Pas de filtrage sur l'interface de "loopback"
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# J'accepte le protocole ICMP (i.e. le "ping")
$IPT -A INPUT -p icmp -j ACCEPT
$IPT -A OUTPUT -p icmp -j ACCEPT
$IPT -A FORWARD -p icmp -j ACCEPT
# J'accepte le protocole IGMP (pour le multicast)
$IPT -A INPUT -p igmp -j ACCEPT
# J'accepte les packets entrants relatifs a des connexions deja etablies
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
###########################################################
###########################################################
# DEFINITION DES OUVERTURES DE PORTS
###########################################################
###########################################################
###########################################################
# INTERFACE EXTERNE
###########################################################
############################
# Internet --> Serveur
############################
# Serveur SSH accessible depuis Internet
$IPT -A INPUT -i $INET -p tcp --dport 22 -j ACCEPT
# Serveur VPN accessible depuis Internet
$IPT -A INPUT -i $INET -p tcp --dport 1194 -j ACCEPT
# Mail
$IPT -A INPUT -i $INET -p tcp --dport 25 -j ACCEPT
# WWW
$IPT -A INPUT -i $INET -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i $INET -p tcp --dport 442 -j ACCEPT
# POP
$IPT -A INPUT -i $INET -p tcp --dport 110 -j ACCEPT
# glpi sur serveur tse
#$IPT -A INPUT -i $INET -p tcp --dport 83 -j ACCEPT
############################
# Internet --> Commercial
############################
# TSE
$IPT -A FORWARD -i $INET -o $ICOM -p tcp --dport 3389 -d 192.168.0.200 -j ACCEPT
$IPT -A FORWARD -i $INET -o $ICOM -p tcp --dport 80 -d 192.168.0.200 -j ACCEPT
$IPT -A FORWARD -i $INET -o $ICOM -p tcp --dport 83 -d 192.168.0.200 -j ACCEPT
# OWA
#$IPT -A FORWARD -i $INET -o $ICOM -p tcp --dport 81 -d 192.168.0.1 -j ACCEPT
#$IPT -A FORWARD -i $INET -o $ICOM -p tcp --dport 80 -d 192.168.0.1 -j ACCEPT
###########################################################
# INTERFACE COMMERCIAL
###########################################################
############################
# Commercial --> Internet
############################
# Autorisation destination 53 (DNS)
$IPT -A FORWARD -i $ICOM -o $INET -p udp --dport 53 -j ACCEPT
# Autorisation destination port 80,443 (http)
$IPT -A FORWARD -i $ICOM -o $INET -p tcp --dport 80 -j ACCEPT
$IPT -A FORWARD -i $ICOM -o $INET -p tcp --dport 443 -j ACCEPT
$IPT -A FORWARD -i $ICOM -o $INET -p tcp --dport 8080 -j ACCEPT
# Autorisation destination ports 20,21 (ftp)
$IPT -A FORWARD -i $ICOM -o $INET -p tcp --dport 20 -j ACCEPT
$IPT -A FORWARD -i $ICOM -o $INET -p tcp --dport 21 -j ACCEPT
# Autorisation destination ports 110,143,25 (pop,imap,smtp)
$IPT -A FORWARD -i $ICOM -o $INET -p tcp --dport 110 -j ACCEPT
$IPT -A FORWARD -i $ICOM -o $INET -p tcp --dport 143 -j ACCEPT
$IPT -A FORWARD -i $ICOM -o $INET -p tcp --dport 25 -j ACCEPT
# Autorisation destination ports 5900 (VNC)
$IPT -A FORWARD -i $ICOM -o $INET -p tcp --dport 5900 -j ACCEPT
# Autorisation destination port 3389 (tse)
$IPT -A FORWARD -i $ICOM -o $INET -p tcp --dport 3389 -j ACCEPT
# Autorisation destination port 22 (SSH)
$IPT -A FORWARD -i $ICOM -o $INET -p tcp --dport 22 -j ACCEPT
# Autorisation destination 119 (NNTP)
$IPT -A FORWARD -i $ICOM -o $INET -p tcp --dport 119 -j ACCEPT
# Tux est le roi
$IPT -A FORWARD -i $ICOM -o $INET -m mac --mac-source $MAC_TUX -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $INET -m mac --mac-source $MAC_TUX -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $ICOM -m mac --mac-source $MAC_TUX -j ACCEPT
$IPT -A FORWARD -m mac --mac-source 00:0e:a6:67:E6:30 -j ACCEPT
# Autorisation SoftPhone (VoIP)
$IPT -A FORWARD -i $ICOM -o $INET -p tcp --dport 5060 -j ACCEPT
$IPT -A FORWARD -i $ICOM -o $INET -p tcp --dport 8000 -j ACCEPT
# Autorisation NTP
$IPT -A FORWARD -i $ICOM -o $INET -p tcp --dport 123 -j ACCEPT
# Autorisation SambaEDU (909)
$IPT -A FORWARD -i $ICOM -o $INET -p tcp --dport 909 -j ACCEPT
############################
# Commercial --> WLAN
############################
# Le réseau commercial peut accedder à l'AP
$IPT -A FORWARD -i $ICOM -o $IWLAN -d 192.168.4.245 -p tcp --dport 80 -j ACCEPT
############################
# Commercial --> Technique
############################
# Le serveur peut aller dire coucou coté technique
$IPT -A FORWARD -i $ICOM -o $ITEC -s 192.168.0.1 -j ACCEPT
$IPT -A FORWARD -i $ICOM -o $ITEC -s 192.168.0.200 -j ACCEPT
############################
# Commercial --> Serveur
############################
# Serveur SSH accessible depuis le reseau commercial
$IPT -A INPUT -i $ICOM -p tcp --dport 22 -j ACCEPT
# Serveur de mail accessible depuis le reseau commercial
$IPT -A INPUT -i $ICOM -p tcp --dport 25 -j ACCEPT
# Serveur Web accessible depuis le reseau commercial
$IPT -A INPUT -i $ICOM -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i $ICOM -p tcp --dport 443 -j ACCEPT
# Serveur Proxy accessible depuis le réseau commercial
$IPT -A INPUT -i $ICOM -p tcp --dport 3128 -j ACCEPT
# Serveur Samba Accessible depuis le réseau commercial
$IPT -A INPUT -i $ICOM -p udp --dport 137 -j ACCEPT
$IPT -A INPUT -i $ICOM -p udp --dport 138 -j ACCEPT
$IPT -A INPUT -i $ICOM -p tcp --dport 139 -j ACCEPT
$IPT -A INPUT -i $ICOM -p udp --dport 445 -j ACCEPT
$IPT -A INPUT -i $ICOM -p tcp --dport 445 -j ACCEPT
$IPT -A INPUT -i $ICOM -p tcp --dport 901 -j ACCEPT
# Serveur Webmin
$IPT -A INPUT -i $ICOM -p tcp --dport 10000 -j ACCEPT
# Serveur Hylafax
$IPT -A INPUT -i $ICOM -p tcp --dport 4559 -j ACCEPT
$IPT -A INPUT -i $ICOM -p tcp --dport 4557 -j ACCEPT
$IPT -A INPUT -i $ICOM -p tcp --dport 444 -j ACCEPT
# Serveur OpenVPN
$IPT -A INPUT -i $ICOM -p tcp --dport 1194 -j ACCEPT
# Tux rulez da world
$IPT -A INPUT -i $ICOM -m mac --mac-source $MAC_TUX -j ACCEPT
# IMAP
$IPT -A INPUT -i $ICOM -p tcp --dport 143 -j ACCEPT
###########################################################
# INTERFACE WLAN
###########################################################
############################
# WLAN --> INTERNET
############################
# Le PC de Boris peut accedder à Internet
$IPT -A FORWARD -i $IWLAN -o $INET -p tcp --dport 80 -m mac --mac-source $MAC_BORIS -j ACCEPT
# Regles definies au cas par cas grace a l'interface d'admin du wireless
############################
# WLAN --> SERVEUR
############################
# Serveur DNS accessible depuis le réseau Technique
$IPT -A INPUT -i $IWLAN -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i $IWLAN -p udp --dport 53 -j ACCEPT
############################
# WLAN --> Commercial
############################
# Le PC de Boris peut acceder a TSE
$IPT -A FORWARD -i $IWLAN -o $ICOM -m mac --mac-source $MAC_BORIS -d 192.168.0.200 -p tcp --dport 3389 -j ACCEPT
###########################################################
# INTERFACE TECHNIQUE
###########################################################
############################
# TECHNIQUE --> INTERNET
############################
# Autorisation VPN
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 1723 -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $INET -p gre -j ACCEPT
# Autorisation destination port 80,443 (http)
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 80 -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 8080 -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 443 -j ACCEPTIP
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 442 -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 83 -j ACCEPT
# Autorisation destination ports 20,21 (ftp)
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 20 -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 21 -j ACCEPT
# Autorisation destination ports 110,143 (pop,imap)
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 110 -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 143 -j ACCEPT
# Autorisation destination ports 5900 (VNC)
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 5900 -j ACCEPT
# Autorisation destination port 3389 (tse)
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 3389 -j ACCEPT
# Autorisation destination port 22 (SSH)
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 22 -j ACCEPT
# Autorisation 1234 (VLC)
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 1234 -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 1618 -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $INET -p udp --dport 1618 -j ACCEPT
# Autorisation NTP
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 123 -j ACCEPT
# TEMP
$IPT -A FORWARD -i $ITEC -o $INET -p tcp --dport 1863 -j ACCEPT
############################
# Technique --> Serveur
############################
# Serveur SSH accessible depuis le reseau technique
$IPT -A INPUT -i $ITEC -p tcp --dport 22 -j ACCEPT
# Serveur Nessus accessible
$IPT -A INPUT -i $ITEC -m mac --mac-source $MAC_LAURENT -j ACCEPT
# Serveur Web accessible depuis le reseau technique
$IPT -A INPUT -i $ITEC -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i $ITEC -p tcp --dport 83 -j ACCEPT
# Serveur Samba Accessible depuis le réseau technique
$IPT -A INPUT -i $ITEC -p udp --dport 137 -j ACCEPT
$IPT -A INPUT -i $ITEC -p udp --dport 138 -j ACCEPT
$IPT -A INPUT -i $ITEC -p tcp --dport 139 -j ACCEPT
$IPT -A INPUT -i $ITEC -p udp --dport 445 -j ACCEPT
$IPT -A INPUT -i $ITEC -p tcp --dport 445 -j ACCEPT
$IPT -A INPUT -i $ITEC -p tcp --dport 901 -j ACCEPT
# Serveur HylaFAX accessible depuis le réseau technique
$IPT -A INPUT -i $ITEC -p tcp --dport 4559 -j ACCEPT
$IPT -A INPUT -i $ITEC -p tcp --dport 4557 -j ACCEPT
$IPT -A INPUT -i $ITEC -p tcp --dport 444 -j ACCEPT
# Serveur DNS accessible depuis le réseau Technique
$IPT -A INPUT -i $ITEC -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i $ITEC -p udp --dport 53 -j ACCEPT
############################
# Technique --> Commercial
############################
# Le PC de Laurent peut acceder a TSE et imprimer sur la 1200 et la 1100
$IPT -A FORWARD -i $ITEC -o $ICOM -m mac --mac-source $MAC_LAURENT -d 192.168.0.200 -p tcp --dport 3389 -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $ICOM -m mac --mac-source $MAC_LAURENT -d 192.168.0.7 -p tcp -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $ICOM -m mac --mac-source $MAC_LAURENT -d 192.168.0.6 -p tcp -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $ICOM -m mac --mac-source $MAC_LAURENT -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT
# Le PC de Laurent 2 peut acceder a TSE
$IPT -A FORWARD -i $ITEC -o $ICOM -m mac --mac-source $MAC_LAURENT_2 -d 192.168.0.200 -p tcp --dport 3389 -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $ICOM -m mac --mac-source $MAC_LAURENT_2 -d 192.168.0.7 -p tcp -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $ICOM -m mac --mac-source $MAC_LAURENT_2 -d 192.168.0.6 -p tcp -j ACCEPT
# Les Wyses peuvent accedder a TSE
$IPT -A FORWARD -i $ITEC -o $ICOM -m mac --mac-source $MAC_WYSE_1 -d 192.168.0.200 -p tcp --dport 3389 -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $ICOM -m mac --mac-source $MAC_WYSE_2 -d 192.168.0.200 -p tcp --dport 3389 -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $ICOM -m mac --mac-source $MAC_WYSE_3 -d 192.168.0.200 -p tcp --dport 3389 -j ACCEPT
$IPT -A FORWARD -i $ITEC -o $ICOM -m mac --mac-source $MAC_WYSE_4 -d 192.168.0.200 -p tcp --dport 3389 -j ACCEPT
# Tutux peut acceder a TSE
$IPT -A FORWARD -i $ITEC -o $ICOM -m mac --mac-source $MAC_TUX -d 192.168.0.200 -p tcp --dport 3389 -j ACCEPT
############################
# VPN --> Commercial
############################
# Les clients VPN peuvent accéder à TSE
#$IPT -A FORWARD -o $ICOM -s 192.168.3.0/24 -d 192.168.0.1 -p tcp --dport 3389 -j ACCEPT
# Les clients VPN peuvent acceder a tout le reseau commercial
$IPT -A FORWARD -o $ICOM -s 192.168.3.0/24 -d 192.168.0.1 -j ACCEPT
# Les clients VPN sortent sur Internet
$IPT -A FORWARD -o $INET -s 192.168.3.0/24 -j ACCEPT
############################
# Serveur --> Commercial
############################
# Le serveur peut acceder à tout
$IPT -A OUTPUT -o $ICOM -j ACCEPT
$IPT -A OUTPUT -o $ITEC -j ACCEPT
$IPT -A OUTPUT -o $INET -j ACCEPT
##########################################################
##########################################################
# FIN DE LA DEFINITION DES OUVERTURES DE PORTS
##########################################################
##########################################################
# FIN des regles de filtrage
# DEBUT des regles pour le partage de connexion (i.e. le NAT)
# Decommentez la ligne suivante pour que le systeme fasse office de
# "serveur NAT" et remplacez "eth0" par le nom de l'interface connectee
# a Internet
$IPT -t nat -A POSTROUTING -o $INET -j MASQUERADE
# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confrontee au fameux probleme du MTU. En resume,
# le probleme vient du fait que le MTU de la liaison entre votre
# fournisseur d'acces et le serveur NAT est un petit peu inferieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derriere le NAT. Pour resoudre ce probleme, decommentez la ligne
# suivante et remplacez "eth0" par le nom de l'interface connectee a
# Internet.
$IPT -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0 --clamp-mss-to-pmtu
# FIN des regles pour le partage de connexion (i.e. le NAT)
# DEBUT des regles de "port forwarding"
# Forwarding des ports pour TSE
$IPT -t nat -A PREROUTING -i $INET -p tcp --destination-port 3389 -j DNAT --to-destination 192.168.0.200:3389
# Et pour OWA
$IPT -t nat -A PREROUTING -i $INET -p tcp --destination-port 442 -j DNAT --to-destination 192.168.0.200:80
# FIN des regles de "port forwarding"
echo "Firewall Actif"
11 mars 2008 à 14:21