Pb sous Iptables (linux ) ! URGENT SVP !!!!!
Gilles
-
Gilles -
Gilles -
Hello !!!
J'ai installé un firewall+proxy sous linux ds mon réseau local. Avec iptables, j'ai pu autoriser différentes entrées et sorties sur mon réseau. Le pb, c'est que j'arrive pas à pinger sur mon firewall, qui fait aussi proxy,et inversement...
Pouvez-vous m'aidre ???
Merci
J'ai installé un firewall+proxy sous linux ds mon réseau local. Avec iptables, j'ai pu autoriser différentes entrées et sorties sur mon réseau. Le pb, c'est que j'arrive pas à pinger sur mon firewall, qui fait aussi proxy,et inversement...
Pouvez-vous m'aidre ???
Merci
A voir également:
- Pb sous Iptables (linux ) ! URGENT SVP !!!!!
- Linux reader - Télécharger - Stockage
- Backtrack linux - Télécharger - Sécurité
- R-linux - Télécharger - Sauvegarde
- Toutou linux - Télécharger - Systèmes d'exploitation
- Linux mint 22.1 - Accueil - Linux
4 réponses
autorisation du protocole ICMP ?
si ton firewall a deux pattes IP (deux adresses différentes), il n'est pas sûr que tu puisses faire un ping de ton réseau local sur l'adresse externe de ton firewall.
tchô
Loran;-D
si ton firewall a deux pattes IP (deux adresses différentes), il n'est pas sûr que tu puisses faire un ping de ton réseau local sur l'adresse externe de ton firewall.
tchô
Loran;-D
Je ne veux pas faire des pings sur l'adresse externe mais sur l'adresse interne. En bref, je veux pouvoir taper des pings sur mon proxy-firewall vers des postes de mon réseau, et inversement.
Actuellement, l'opération est refusée pr raison de sécurité !!!
Merci de ton aide !!!
Actuellement, l'opération est refusée pr raison de sécurité !!!
Merci de ton aide !!!
tu n'arrive pas a pinger ton firewall ou a partir de ton firewall ?
alors ca ca depend des filtres mis en place.
si tu drop tout en sortie du firewall ( ce qui est normal ) sur la chaine output, pour faire fin il faudrait autoriser la sortie des requete ping et les reponses en entrée.
iptables -A output -p icmp --icmp-type icmp-request -j ACCEPT
iptables -A INPUT -i $INTERFACE -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $INTERFACE -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
alors ca ca depend des filtres mis en place.
si tu drop tout en sortie du firewall ( ce qui est normal ) sur la chaine output, pour faire fin il faudrait autoriser la sortie des requete ping et les reponses en entrée.
iptables -A output -p icmp --icmp-type icmp-request -j ACCEPT
iptables -A INPUT -i $INTERFACE -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $INTERFACE -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Je suis peut-être un peu con, ms ta ligne de commande est un peu flou pr moi... Sorry.
Peux-tu être plus expliciter, paske pr l'instant j'ai des lignes plus simples du type :
" iptables -A output -p tcp --dport 80 -jACCEPT"
Peux-tu être plus expliciter, paske pr l'instant j'ai des lignes plus simples du type :
" iptables -A output -p tcp --dport 80 -jACCEPT"
Ooops la premiere ligne a rien afaire la.
Je t'explique :
iptables -A INPUT -i $INTERFACE -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
$INTERFACE est a remplacer par l'interface concerné par le filtre, genre ppp0 pour ta connexion au net, ou eth0 pour ton rezo interne. Ca indique que l'on accepte tous les paquets de type icmp en entrée sauf les demandes de ping ( NEW ), ESTABLISHED et RELATED servent a indiquer les paquets appartenants a une session. Donc en gros tu accepte en entrée toutes les réponses icmp et pas les demandes icmp. ce qui te permet d'avoir les réponses pour les pings que tu fais a partir de la machine.
iptables -A OUTPUT -o $INTERFACE -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Cette ligne va te permettre de pouvoir envoyer tes paquets de demandes de ping. tu autorise en sortie tous les paquets faisant ou non partie d'une session. l'equivalent a un icmp-request.
idem $INTERFACE est a remplacer par l'interface reseau concernée par le filtrage.
tu peu enlever les -i $INTERFACE , dans ce cas ton filtrage concernera toutes les interfaces reseau.
--state te permet de gerer l'etat des paquets, NEW equivaut a un paquet de demande de connexion. si tu vire tous ces type de paquets aucune connexion ne peut etre etablie. ESTABLISHED et RELATED correspondent ( en gros ) aux paquets appartenant a une connexion ou une session deja ouverte.
c'est plus clair, avec ces ptites explications ?
Je t'explique :
iptables -A INPUT -i $INTERFACE -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
$INTERFACE est a remplacer par l'interface concerné par le filtre, genre ppp0 pour ta connexion au net, ou eth0 pour ton rezo interne. Ca indique que l'on accepte tous les paquets de type icmp en entrée sauf les demandes de ping ( NEW ), ESTABLISHED et RELATED servent a indiquer les paquets appartenants a une session. Donc en gros tu accepte en entrée toutes les réponses icmp et pas les demandes icmp. ce qui te permet d'avoir les réponses pour les pings que tu fais a partir de la machine.
iptables -A OUTPUT -o $INTERFACE -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Cette ligne va te permettre de pouvoir envoyer tes paquets de demandes de ping. tu autorise en sortie tous les paquets faisant ou non partie d'une session. l'equivalent a un icmp-request.
idem $INTERFACE est a remplacer par l'interface reseau concernée par le filtrage.
tu peu enlever les -i $INTERFACE , dans ce cas ton filtrage concernera toutes les interfaces reseau.
--state te permet de gerer l'etat des paquets, NEW equivaut a un paquet de demande de connexion. si tu vire tous ces type de paquets aucune connexion ne peut etre etablie. ESTABLISHED et RELATED correspondent ( en gros ) aux paquets appartenant a une connexion ou une session deja ouverte.
c'est plus clair, avec ces ptites explications ?
