Dark26 Posté(e) le 7 août 2003 Partager Posté(e) le 7 août 2003 voila la question...j'ai vu shorewall ça a l'air pas mal.... si quelqu'un sais comment on fait du PAT ça m'interesse.. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sentinel Posté(e) le 7 août 2003 Partager Posté(e) le 7 août 2003 Personnellement j'utilise les iptables, que je configure à la main. Ca me fait firewall et routage en même temps : je bloque tout, sauf les quelques ports que je veux laisser passer, et éventuellement je les redigige d'une machine sur l'autre. Je ne connais pas shorewall, donc je ne peux pas te conseiller dessus... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dark26 Posté(e) le 7 août 2003 Auteur Partager Posté(e) le 7 août 2003 Personnellement j'utilise les iptables, que je configure à la main.Ca me fait firewall et routage en même temps : je bloque tout, sauf les quelques ports que je veux laisser passer, et éventuellement je les redigige d'une machine sur l'autre. Je ne connais pas shorewall, donc je ne peux pas te conseiller dessus... je crois qu'iptable est install sur mon sever.. si tu me dis comment le comment le configurer lancer et faire le port mapping ça m'interesse.. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dark26 Posté(e) le 7 août 2003 Auteur Partager Posté(e) le 7 août 2003 # Example iptables config file. # Note the this file uses the format of iptables-save # What follows is an example of this output. However, # the actual rule lines have been commented out. # DO NOT USE THE -t (table) OPTION IN THIS FILE! *mangle :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A PREROUTING -p tcp --dport 22 -j TOS --set-tos 0x10 COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A FORWARD -i ppp0 -j ACCEPT COMMIT *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -o ppp0 -j MASQUERADE COMMIT voila mon fichier de config que j'avais modifié à la mano sans savoir exactement ce que je faisait.... en fait j'ai juste modifié ppp0 au lieu de eth0 pour ma connexion modem.... si tu sais comment bloqué tous les prts et en laisser certain ouvert et du port mapping.... un exemple de fichier ??? http://www.shorewall.net Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sentinel Posté(e) le 7 août 2003 Partager Posté(e) le 7 août 2003 Houlala ! Faut pas éditer ce fichier à la main ! Grand fou va ! Le mieux c'est de se faire un fichier à soi, avec les commandes iptables dedans, et de faire iptables-save ensuite. Sinon pour la config c'est assez simple à comprendre : carte réseau ---PREROUTING--+-----> FORWARD -----+---POSTROUTING--> carte réseau | /| |/ | INPUT OUTPUT | /| +-----> linux -------+ (wah c pas facile de faire des scémas avec des polices non-fixes) Attention, quand je dis "carte réseau", c'est TOUTES les cartes réseau. Donc, que ta trame arrive d'Internte ou du réseau interne, il faut considérer qu'elle arrive par la gauche du schéma. Le but du jeu est donc d'écrire les règles pour PREROUTING, POSTROUTING, INPUT, OUTPUT et FORWARD. - PREROUTING : permet de changer les informations des headers de la trame IP avant tout autre traitement (par exemple, changer l'adresse de destination afin de relayer la trame vers un autre pc...) - POSTROUTING : même chose, mais intervient tout à la fin de la chaîne. Cela permet par exemple de faire croire au Net que c'est la passerelle qui a envoyé la trame, au lieu d'un pc sur réseau local. - INPUT : règles pour savoir quelles trames doivent être transmises à linux et aux programmes qui tournent localement (un serveur web par exemple) - OUTPUT : idem, pour savoir sous quelles conditions la machine linux a le droit d'émettre des trames - FORWARD : pour savoir dans quel cas les trames sont relayées d'une interface réseau à l'autre. Bon, une fois qu'on a compris ça, quelques exemples : - pour un serveur web sur la machine linux : on ne touche pas au prerouting, en INPUT on vérifie que le port de destination est bien le port 80, en OUTPUT on accorde les émissions depuis le port 80 local, et rien en POSTROUTING. - Pour un jeu en réseau pour lequel on veut faire serveur sur un des pc du réseau local (une machine windows derrière la passerelle linux par exemple) : dans le PREROUTING on dit que si le port de destination est celui du jeu, on modifie l'IP de destination de la trame afin qu'elle corresponde à celle du Pc qui fait le serveur de jeu; puis, on autorise le FORWARD pour les trames dont le port et l'IP de destinatin correspondent au Pc serveur du jeu. Et rien en POSTROUTING Bon, je pense que ça commence à devenir clair pour le principe. Dans la pratique ça donne ça pour le serveur web sur linux : echo "Pour apache linux" iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT Je traduis : -A INPUT : ajouter une règle pour la section INPUT des IPTables -p tcp : protocole tcp (mais il y a aussi udp, icmp, etc...) --dport : port de destination. Ici, le port 80 pour Apache. --sport : port source. Port 80 aussi. -j ACCEPT : l'opération est permise. Mettre DROP pour refuser. Donc, par ces deux règles je dis : Si une trame arrive, qu'elle est en TCP en direction du port 80, je la prends sur le serveur. De même, si le serveur veut émettre à partir de son port 80, c'est autorisé. Voilà pour l'exemple. Il ne reste plus qu'à faire pareil pour toutes les règles dont tu as besoin, puis à lancer ton script afin que les règles iptables soient appliquées. Ensuite si tu veux, tu fais iptables-save pour que IPtables enregistre tout ça dans son propre format imbitable (comme ça, ce sera appliqué dès le boot, sinon il faut relancer ton script à chaque fois). Si tu veux je pourrai t'envoyer mon script personnel, il y a de tout dedans ; pour les jeux, pour SSH, pour le serveur web... Voilà, à+ Sentinel Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dark26 Posté(e) le 7 août 2003 Auteur Partager Posté(e) le 7 août 2003 impressionner j'ai presque tout compris.... va falloir que je l'imprime je suis très interessé par ton script et non je suis pas mazo :8 au point d'avoir tout fait à la main... c'est juste qu'avec le partage de connexion mandrake je sais pas pourquoi, il ne voulait pas prendre ppp0 et ni mon interface réseaux virtuelle...... et du coup je lui ai demandé de faire un truc bidon et j'ai changé (bidouillé) jusqu'a ce que ça marche ton script , très interessé.... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sentinel Posté(e) le 7 août 2003 Partager Posté(e) le 7 août 2003 Ben, envoie-moi ton mail... sur le mien ou en PM, ou par pigeon voyageur ou par télépathie, comme tu veux Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dark26 Posté(e) le 7 août 2003 Auteur Partager Posté(e) le 7 août 2003 Ben, envoie-moi ton mail... sur le mien ou en PM, ou par pigeon voyageur ou par télépathie, comme tu veux comme tu veux je te mp Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sentinel Posté(e) le 7 août 2003 Partager Posté(e) le 7 août 2003 Hop voilà, fichier + explications envoyés Ca devrait être assez clair je pense... Hein que j'explique bien Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dark26 Posté(e) le 7 août 2003 Auteur Partager Posté(e) le 7 août 2003 Hop voilà, fichier + explications envoyés Ca devrait être assez clair je pense... Hein que j'explique bien Tu as a jamais pensé a faire une page xeb la dessus?? car franchement quand tu tapes firewall linux dans google, et bien avant de trouver des explications simples à comprendre comment ça marche, c'ets le bout du monde... je suis près à t'hébergé ( je faire un mini tutorial pour mantage d'un serveur sous nunux....si j'ai le temps ) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dark26 Posté(e) le 7 août 2003 Auteur Partager Posté(e) le 7 août 2003 c'est vraiment trop fort......... ça me donne vraiment envie de reinstaller mon serveur rien que pour tester ça...... du coup l'achat du modem adsl avec firewall sera vraiment optionnel ( le firewall) vu que tu as l'air super calé, pour le vpn ou le VPN pass through, c'est supporté ou pas ??? une autre question.... ( je sais je suis chiant ) vu que tu n'a pas l'air d'avoir de DHCP ( normal pas beaucoup de bécane), tu crois qu'il y a moyen de mettre de noms de machines plutôt que des ips pour le port forwarding ( faut une résolution de nom mais bon..) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sentinel Posté(e) le 7 août 2003 Partager Posté(e) le 7 août 2003 Euh pour le VPN je sais pas du tout... mais si mes souvenirs sont bons, le VPN permet d'établuir un réseau local avec une machine distante, non ? Donc dans ce cas ça devrait aller, si le protocole est transparent. tu crois qu'il y a moyen de mettre de noms de machines plutôt que des ips pour le port forwarding ( faut une résolution de nom mais bon..) Ben si linux sait faire la résolution de noms locaux, ça ne devrait pas poser de problèmes je pense... mais je n'ai pas testé. Quant à une page web d'explications, je mettrai ça plutôt dans mon manuel debian plutôt... Mais bon je ne suis pas spécialiste de quoi que ce soit, j'explique juste le peu que j'arrive à comprendre et à mettre en oeuvre, donc je conseille de lire les docs officielles... Il y avait un super howto sur le firewall justement, qui expliquait les iptables en détail, mais je ne sais plus où il est. Bon courage pour ta config ! Sentinel [rajout] Je viens de relire tout le thread... "partage de connexion de mandrake"... rhalala... C'set pour ça que je n'aime pas la Drake... trop d'assistants partout, ça bousille tous les fichiers de conf, et après impossible de savoir pourquoi ça ne marche pas... Alors qu'en lisant la doc et en faisant les trucs à la main calmement, ça marche tout seul :) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dark26 Posté(e) le 7 août 2003 Auteur Partager Posté(e) le 7 août 2003 je suis entièrement d'accord que les outils de config c'est pas bien.. d'ailleurs il y en a pas pour mon mon réseau virtuel pour les how to officiels c'est vrai qu'il y a tout mais souvent il est très dur de voir l'essentiel , et le manque d'exemple concrets est source de problème.... faut dire que j'ai mon monté mon serveur vitesse grand V et que j'étais pressé que ça fonctionne , et que j'ai pas le temps de tout regarder dans le détails ...... pour la debian, hmm, perso je suis (personnellement) un utilisation de pc, plutôt qu'un débugger d'OS .... c'est juste que debian est un peu lourd au niveau matos car très à la traine et du coup pour installer mon prenier nunux sur ma rage 128, ben il y avait pas le choix mais je suis d'accord pour dire que pour un serveur ou autre pc ou l'on est pas devant ça doit être cool Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sentinel Posté(e) le 7 août 2003 Partager Posté(e) le 7 août 2003 Rho le mesquin J'ai installé une Debian hier sur un rack, j'ai KDE3, le son avec ALSA (et non pas le vieux OSS), OpenOffice, et même des jeux (Chromium, Wolfenstein Enemy Territory, ...). J'ai mis Opera comme browser web (je l'utilise aussi sous windows)... Et bien sûr xmms pour lire mes flux mp3 online (comment vivre sans www.di.fm ?) Niveau matos j'ai une GeForce 4, et ma foi ça tourne très bien (1600x1200x32 @ 85Hz), accélération 3D hardware et tout Pour les geForce FX apparemment il faut prendre la version testing, mais elles sont supportées aussi. Donc, tu as beau dire, on fait quand même des choses avec une debian, faut pas croire... la différence avec mandrake, c'est qu'on doit configurer les trucs à la main (ou avec debconf). Et puis, la gestion des packages est quand même nettement plus robuste sous debian. Enfin bref, ce n'est pas le sujet du thread Tu ne m'as pas dit si tu arrivais à te débrouiller avec le script ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dark26 Posté(e) le 7 août 2003 Auteur Partager Posté(e) le 7 août 2003 Rho le mesquin J'ai installé une Debian hier sur un rack, j'ai KDE3, le son avec ALSA (et non pas le vieux OSS), OpenOffice, et même des jeux (Chromium, Wolfenstein Enemy Territory, ...). J'ai mis Opera comme browser web (je l'utilise aussi sous windows)... Et bien sûr xmms pour lire mes flux mp3 online (comment vivre sans www.di.fm ?) Niveau matos j'ai une GeForce 4, et ma foi ça tourne très bien (1600x1200x32 @ 85Hz), accélération 3D hardware et tout Pour les geForce FX apparemment il faut prendre la version testing, mais elles sont supportées aussi. Donc, tu as beau dire, on fait quand même des choses avec une debian, faut pas croire... la différence avec mandrake, c'est qu'on doit configurer les trucs à la main (ou avec debconf). Et puis, la gestion des packages est quand même nettement plus robuste sous debian. Enfin bref, ce n'est pas le sujet du thread Tu ne m'as pas dit si tu arrivais à te débrouiller avec le script ? j'ai pas dis que c'était pas faisable ( je met moins de 15 minutes pour installer windows 2000 sur le pc..) mais c'est long... et puis je vais me mettre à debian (qui sais je vais peut être aimer..) pour le script j'ai pas voulu tester ( car mldonkey qui tourne et je suis pas le seul sur la connection ) donc en gros faut pas qeu ça foute ma connection en l'air ... mais des que les d/l sont finis ( surtout le cd 1 de la debian) et mon mon serveur temporaire est fini de monter ( me manque juste le 56 K a mettre sous 2003 serveur ) je met tous le matos et zou je tente l'aventure..... ( j'aurait le temps car l'autre serveur est la pour ça..) faudra me dire quel package pour iptable et partage de connection.... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.