[Tuto][Initié] Topic officiel Gentoo

[Duke98]

je viens d'installer frozen-bubble sur gentoo

et il me met

* Remember, in order to play games, you have to

* be in the 'games' group.

je ne comprend pas l'interet de ce groupe, logiquement un membre du groupe users dvrait pouvoir jouer...

je voudrais juste savoir pour quelle raison jouer necessite l'apartenance à un groupe particulier

[Minimalist]

C'est comme ça dans Gentoo, t'y peut pas grand chose.

Je ne comprends pas plus que toi l'interet d'interdir à un utilisateur de jouer.

[tuXXX]

C'est comme ça dans Gentoo, t'y peut pas grand chose.

Je ne comprends pas plus que toi l'interet d'interdir à un utilisateur de jouer.

pour le boulot

Nan mais le fait d'être dans le group "games" implique aussi quelques concessions au niveau hardware, donc quelqu'un dans ce groupe a des accès privilégiés à certaines parties "hard" de la machine...

[Duke98]

Nan mais le fait d'être dans le group "games" implique aussi quelques concessions au niveau hardware, donc quelqu'un dans ce groupe a des accès privilégiés à certaines parties "hard" de la machine...

dans ce cas la d'accord ca se comprend. bien que je ne vois pas trop quelles acces provilégiés ca implique mais bon..

[lorinc]

pour le boulot

et apres on dis que linux est plus chere que windaube en entreprise... (campagne M$)

[Duke98]

tuxx je viens de suivre ton tuto pour les driver nvidia

bon quelques commentaire en vrac :

en faisant ce que tu ecris

il me gueulait sévérement sur les dépendances, du coup il a fallut que je mette :

media-video/nvidia-kernel ~x86
media-video/nvidia-glx ~x86
media-video/nvidia-settings ~x86
x11-base/opengl-update ~x86

dans mon package.keywords

Le coup des >= ca lui plaisait pas trop.... du coup j'herite d'une v6111

autre truc tes comandes xdm start et xdm stop c'est pas très universel.... non ???

sinon je suis de nouveau sous x donc c'est passé

[tuXXX]

tuxx je viens de suivre ton tuto pour les driver nvidia

bon quelques commentaire en vrac :

en faisant ce que tu ecris

il me gueulait sévérement sur les dépendances, du coup il a fallut que je mette :

media-video/nvidia-kernel ~x86
media-video/nvidia-glx ~x86
media-video/nvidia-settings ~x86
x11-base/opengl-update ~x86

dans mon package.keywords

Le coup des >= ca lui plaisait pas trop.... du coup j'herite d'une v6111

Tient? bizarre, je vais regarder ça...

autre truc tes comandes xdm start et xdm stop c'est pas très universel.... non ???

comment ça?

ben ça fait partie des scripts gentoo...

si tu veux que ça soit universel, utilise startx, mais bon, autant faire bien...

[Duke98]

ah ben j'ai je savais pas qu'il y avais un truc special sous gentoo pour lancer x, je connaissais startx avant, je suis jamais allé voir plus loin. donc je retire cette remarque

[tuXXX]

l'avantage de "/etc/init.d/xdm", c'est qu'on peut le lancer au démarrage ("rc-update add xdm default")...

Enfin bon, c'est comme xdm, quoi (sauf que là on peut choisir xdm/gdm/kdm dans le rc.conf)

[Duke98]

j'en suis encore au stade de lancer à la main

[theocrite]

Je suis un peu (beaucoup) à la bourre, mais je ne vois pas en quoi c'est plus choquant d'appartenir à un groupe pour jouer que pour ouvrir un CDROM par exemple...

C'est juste un avis.

[Duke98]

bon je suis en train d'essayer de faire marcher mon réseau et il y a encore plein de truc qui m'échappent. J'ai beau essayer de me documenter j'ai du mal a faire le liens entre toutes les info

ma situation: sur ma machine principale j'ai 3 cartes réseau (eth0, eth1 et eth2 correctement configurées). J'ai construit un bridge br0 (ipfixe 192.168.0.1) regroupant les 3. et ma connection internet initiallement sur eth2 est passée sur br0 après création du bridge (ce qui est normal je pense). 2 clients (un sous winXP 192.168.0.3 et un sous 98 192.168.0.2... et oui j'ai honte mais pour l'instant je peux pas faire autrement) sont reliés aux deux cartes ethernet restantes. je ping toutes les machines dans tous les sens que je veux tout passe sur le réseau privé.

Probleme: je n'accède pas à internet sur les clients. Mon réseau existait avant avec 192.168.0.1 sous xp exctement meme config, j'ai pas touché les clients (passerelle, dns, tout marchait).

je m'en sort pas...

autre question iptables est d'après ce que j'ai compris juste un firewall, donc en son absence ca devrait marcher (???). Je suis quand meme en train d'essayer de configurer le machin, mais les info données après le emerge me laisse très perplexe:

* This package now includes an initscript which loads and saves
* rules stored in /var/lib/iptables/rules-save
* This location can be changed in /etc/conf.d/iptables
* 
* If you are using the iptables initsscript you should save your
* rules using the new iptables version before rebooting.
* 
* If you are upgrading to a >=2.4.21 kernel you may need to rebuild
* iptables.
* 
* !!! ipforwarding is now not a part of the iptables initscripts.
* Until a more permanent solution is implemented adding the following
* to /etc/conf.d/local.start will enable ipforwarding at bootup:
*   echo "1" > /proc/sys/net/ipv4/conf/all/forwarding
* Caching service dependencies...
*  Can't find service 'logger' needed by 'iptables';  continuing...

je doit etre une buse mais je comprends pas de quel script il s'agit, et dans le cas ou on voudrait mettre ses regles à la main ou faut il les coller /var/lib/iptables/rules-save ??

je commencais à m'habituer au fait que sous gentoo les scripts de démarrage sont dans le /etc/init.d et que le fichier de conf etait dans le /etc/conf.d ....

[theocrite]

Tu as un tutorial pour iptables par Rémy et Sandeman

Je verrais plutôt ta question dans le topic securiser son linux

Pour ton problème, as tu spécifié l'ip de ta machine principale ou celle de ton provider dans ton /etc/resolv.conf ?

[Duke98]

dans le resolv.conf j'ai juste ceux du provider, faut que j'ajoute l'ip principale ??

pour le iptable c'est pas le contenu du fichier qui me dérange, vu ce que j'ai lu je sais quoi mettre dedant à 80 %, mais je me mefie de la gentoo qui fait pas tout comme tout le monde, donc je met dans gentoo (enfin je le voyais comme ca)...

et puis le tuto de rem il est pas encore fini , mais j'attends avec INpatience

[theocrite]

Moi aussi.

Non, le resolv.conf est niquel. Quand tu pinge les ip de ton resolv.conf des ordis clients, ça fonctionne ?

[Duke98]

non je peux pas pinger les dns du provider des clients

[theocrite]

Alors essaye de remplacer les IPs par celle de ta passerelle.

[Duke98]

sur le client ??? ca marche pas

en y reflechissant si ca passe pas en pinguant l'ip du dns du provider, ca veut dire que le client peut pas sortir... donc qu'il y a un truc qui bloque

[theocrite]

Essaye sur un client et sur ta passerelle

/sbin/route/
ifconfig 
cat /etc/resolv.conf
cat /etc/network/interfaces
ping www.google.fr
ping  216.239.59.99

[Duke98]

cat /etc/network/interfaces

ca c'est debian

sur le server les ping passent bien

et

duron21 init.d # cat /etc/conf.d/net
# /etc/conf.d/net:
# $Header: /home/cvsroot/gentoo-src/rc-scripts/etc/conf.d/net,v 1.7 2002/11/18 19:39:22 azarah Exp $

# Global config file for net.* rc-scripts

# This is basically the ifconfig argument without the ifconfig $iface
#
iface_br0="up"
iface_eth0="broadcast"
iface_eth1="broadcast"
iface_eth2="broadcast"
iface_br0="192.168.0.1 broadcast 192.168.0.255 netmask 255.255.255.0" 


# For DHCP set iface_eth? to "dhcp"
# For passing options to dhcpcd use dhcpcd_eth?
#
#iface_eth0="dhcp"
#dhcpcd_eth0="..."

# For adding aliases to a interface
#
#alias_eth0="192.168.0.3 192.168.0.4"

# NB:  The next is only used for aliases.
#
# To add a custom netmask/broadcast address to created aliases,
# uncomment and change accordingly.  Leave commented to assign
# defaults for that interface.
#
#broadcast_eth0="192.168.0.255 192.168.0.255"
#netmask_eth0="255.255.255.0 255.255.255.0"


# For setting the default gateway
#
#gateway="br0/192.168.0.1"

duron21 init.d # route
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
d213-101-242-1. *               255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     *               255.255.255.0   U     0      0        0 br0
loopback        localhost       255.0.0.0       UG    0      0        0 lo
default         d213-101-242-1. 0.0.0.0         UG    0      0        0 ppp0

duron21 init.d # ifconfig
br0       Lien encap:Ethernet  HWaddr 00:08:54:04:A1:E3  
         inet adr:192.168.0.1  Bcast:192.168.0.255  Masque:255.255.255.0
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:1825857 errors:0 dropped:0 overruns:0 frame:0
         TX packets:1855448 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 lg file transmission:0 
         RX bytes:1288027267 (1228.3 Mb)  TX bytes:190666251 (181.8 Mb)

eth0      Lien encap:Ethernet  HWaddr 00:20:18:39:BC:92  
         UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
         RX packets:497 errors:0 dropped:0 overruns:0 frame:0
         TX packets:186 errors:1 dropped:0 overruns:0 carrier:1
         collisions:17 lg file transmission:1000 
         RX bytes:65737 (64.1 Kb)  TX bytes:20092 (19.6 Kb)
         Interruption:5 Adresse de base:0x9800 

eth1      Lien encap:Ethernet  HWaddr 00:50:8D:F5:C1:E7  
         UP BROADCAST PROMISC MULTICAST  MTU:1500  Metric:1
         RX packets:112 errors:0 dropped:0 overruns:0 frame:0
         TX packets:423 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 lg file transmission:1000 
         RX bytes:13644 (13.3 Kb)  TX bytes:58813 (57.4 Kb)
         Interruption:11 Adresse de base:0xd000 

eth2      Lien encap:Ethernet  HWaddr 00:08:54:04:A1:E3  
         UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
         RX packets:1825261 errors:0 dropped:0 overruns:0 frame:0
         TX packets:1855878 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 lg file transmission:1000 
         RX bytes:1313510962 (1252.6 Mb)  TX bytes:190774233 (181.9 Mb)
         Interruption:10 Adresse de base:0x9c00 

lo        Lien encap:Boucle locale  
         inet adr:127.0.0.1  Masque:255.0.0.0
         UP LOOPBACK RUNNING  MTU:16436  Metric:1
         RX packets:6715 errors:0 dropped:0 overruns:0 frame:0
         TX packets:6715 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 lg file transmission:0 
         RX bytes:5041534 (4.8 Mb)  TX bytes:5041534 (4.8 Mb)

ppp0      Lien encap:Protocole Point-à-Point  
         inet adr:**  P-t-P:**  Masque:255.255.255.255
         UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1452  Metric:1
         RX packets:1823847 errors:0 dropped:0 overruns:0 frame:0
         TX packets:1853939 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 lg file transmission:3 
         RX bytes:1273300436 (1214.3 Mb)  TX bytes:149830378 (142.8 Mb)

sur les clients: je peux juste faire les ping qui ne passent pas, j'ai pas d'infi supplémentaires c'est du windauze.....

bon au passage j'ai mis un server dns avec bind (merci alex pour le tuto meme si c'est pour debian...) sur le server, mais ca change rien (ce qui est stictement normal, je suis d'accord, mais comme j'avais prevu de le faire, j'en ai profité )

bon comme j'ai une autre vie, et que ce probleme me gonfle un peu, je vais partir cueillir des girolles et des pieds de mouton....

comment ca vous voyez pas le rapport

en tout cas merci pour le coup de main

[lorinc]

bon comme j'ai une autre vie, et que ce probleme me gonfle un peu, je vais partir cueillir des girolles et des pieds de mouton....

comment ca vous voyez pas le rapport

en tout cas merci pour le coup de main

c'est pour manger ou pour fumer, parce que là...

[Duke98]

bon lorinc petite ptecision:

1 les chanpignon ne se fument pas quoi qu'il arrive....

2 j'ai pas dis psylo

3 pour info le psylo, c'est plutot en infusion ou en omelette, enfin moi je sais pas c'est ce qu'on m'a dis, meme qu'il y en aurait près de chez moi

ps : "on" nie toute responsabilité

[theocrite]

Comment se fait-il que tu n'aie pas d'IP sur tes cartes réseaux ?

Et je te conseille de retirer celle de pppo.

[Duke98]

c'est normal, le br0 réuni les eth0 eth1 et eth2, donc l'ip est gobale pour les 3

retirer l'ip ??? parce qu'on peut la voir ou parce qu'il faut pas en mettre ??

je suis pas en ip fixe donc je change toute les 24h max, je pense pas que ca représente un gros risque

[miyamoto]

bon, je vais essayer de comprendre ta situation :)

tu as 3 cartes réseaux sur ton pc, 1 vers internet, et 2 vers des clients, donc en gros tu as 3 machines reliées entre elles sans switch.

ce que tu veux faire avec ton bridge, c'est partager la connexion entre toutes tes machines ...

sous windaube, effective ils font ce qu'on appelle un bridge entre les cartes graphiques, mais ce n'est pas la même chose que le bridge que tu as fais sous linux ... ce que tu as fait sert en fait à faire du channel bounding (créer une seule interface à partir de plusieurs).

donc en fait ce qu'il te faut, c'est virer ton bridge et activer le partage de connexion, ce qui se fait de manière assez simple :

echo 1 > /proc/sys/net/ipv4/ip_forward

pour ta question sur iptables-save, c'est un programme qui va prendre toutes tes règles iptables définie à ce moment et les sauvegarder pour le prochain lancement d'iptables.

perso, je fais autrement : j'ai un script iptables (et qui en plus gère le partage de connexion) qui est lancé au démarrage.

si ça peut t'aider, le voici (c'est un script trouvé sur le net que j'ai modifié à ma convenance)

#!/bin/sh

################################################
#            -  P f i r e w a l l  - 
#
#                      0.2
#
#  Distribuez ! GPL !
#
#
# Ce script configure linux 2.4 en un firewall
# sécuritaire.
#
# La politique de base est d'authoriser tout 
# en sortie.
#
# Interdire tout en entrée sauf :
# - réponses DNS
# - réponses HTTP
# - requêtes HTTP (pour le serveur Web)
#
# D'autre part, il joue le rôle de passerelle
# entre le réseau local et internet (ip forwarding). 
#
#
# Ce script nécessite le support iptables (K2.4)
#
#                   Copyleft Alexis Sukrieh 2002
################################################

broots=192.168.x.x



# l'adresse du réseau à protéger 
centre=192.168.x.x/24

# l'ip de la machine qui fait le firewall 
FIREWALL=$broots

# l'ip du serveur Web 
WEB=192.168.x.x # mettre "" si aucun serveur web
PORT=80       # le port du serveur web

# les interfaces réseaux
INTERNE="eth0" # : interface vers le réseau à protéger
EXTERNE="ppp0" # : interface vers internet



mode=$1

case "$mode" in
'start')
 echo -n "Pfirewall : "	

 # on efface toutes les régles existantes
 for table in filter nat mangle; do
 	iptables -t $table -F
 	iptables -t $table -X
 done
 
 # avant tout, on accepte tout ce qui vient du réseau interne 
 iptables -t filter -A INPUT -s $centre -j ACCEPT

 # on accepte toute les reponses associées au trafic sortant
 iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 # on accepte les recherches DNS à partir des serveurs de nom connus (/etc/resolv.conf)
 for DNS in $(grep ^n /etc/resolv.conf | awk '{print $2}'); do
 	iptables -t filter -A INPUT -s $DNS -j ACCEPT
 done

               

 # on refuse et on entre dans le journal tout ce qui est entrant et qui n'est pas sur loopback 
 iptables -N logdeny
 iptables -t filter -A logdeny -j LOG --log-prefix "Pfirewall : "
 iptables -t filter -A logdeny -j DROP
 iptables -t filter -A INPUT -i ! lo -m state --state NEW,INVALID -j logdeny


 #pour emule -> pas lowid
 echo "EMULE"
 iptables -t filter -A INPUT -p tcp --destination-port 4662 -j ACCEPT
#	iptables -t nat -A PREROUTING  -p tcp --dport 4662 -j DNAT --to 192.168.x.x:4662
 
 
 # on active la conversion d'adresse réseau (IP forwarding)
 echo "IPFWD"
 if [ -n "$INTERNE" ]
 then
 	echo 1 > /proc/sys/net/ipv4/ip_forward
 	
 	# on accepte les paquets entre internet et le réseau interne si :
 	# - connexion existente
 	# inititation d'une nouvelle conexion par un membre du réseau interne
 	iptables -A FORWARD -i $EXTERNE -o $INTERNE -m state --state ESTABLISHED,RELATED -j ACCEPT
 	iptables -A FORWARD -i $INTERNE -o $EXTERNE -j ACCEPT

 	if [ $EXTERNE = ppp0 ]
 	then
   # on convertit toute adresse IP sortante en l'IP externe du firewall (dynamique ici)
   iptables -t nat -A POSTROUTING -s $centre -o $EXTERNE -j MASQUERADE
 	else
   # on convertit toute adresse IP sortante en l'IP externe du firewall (fixe ici)
   iptables -t nat -A POSTROUTING -o $EXTERNE -j SNAT --to $FIREWALL
 	fi
 fi
 	
 echo "[ OK ]"
;;

'stop')
 echo 0 > /proc/sys/net/ipv4/ip_forward

 # on efface toutes les régles existantes
 for table in filter nat mangle; do
 	iptables -t $table -F
 	iptables -t $table -X
 done
;;

*)
 echo "usage $0 start|stop"
;;
esac

 	

maintenant, pour qu'il se lance tout seul au démarrage :

tu sauves ton script (firewall.sh par exemple) dans /usr/local/bin

tu fais un ptit chmod+x pour qu'il soit exécutable

tu édites /etc/conf.d/local.start et tu rajoutes simplement

/usr/local/bin/firewall.sh

tu vérifies que /etc/init.d/local est bien présent dans un runlevel :

rc-status default
rc-status boot

et le cas échéant tu le rajoutes

rc-update add local default

voilà , j'espère que ça t'aide