Voici le contenu du script qui initialise le partage de connexion:
#!/bin/bash
IFLAN=3Deth1
IFEXT=3Deth0
echo "Activation du Firewall : blocage de tout le traffic"
iptables -A INPUT -j DROP
iptables -A OUPUT -j DROP
iptables -A FORWARD -j DROP
echo -n "[Activation du partage de connexion]"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo -n "[Activation du masqueradind]"
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A INPUT -i $IFLAN -p tcp --dport 1111 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 4662 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -i $IFLAN -p tcp --dport 1112 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 4663 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4663 -j ACCEPT
iptables -A INPUT -i $IFLAN -p udp --dport 1111 -j ACCEPT
iptables -A OUTPUT -p udp --dport 4662 -j ACCEPT
iptables -A FORWARD -p udp --dport 4662 -j ACCEPT
iptables -A INPUT -i $IFLAN -p udp --dport 1112 -j ACCEPT
iptables -A OUTPUT -p udp --dport 4663 -j ACCEPT
iptables -A FORWARD -p udp --dport 4663 -j ACCEPT
echo -n "On laisse tout ouvert vers le net"
iptables -A OUTPUT -o $IFEXT -j ACCEPT
echo -n "autorise les r=C3=A9ponses de l'Internet vers mon LAN"
iptables -A FORWARD -j ACCEPT -m state --state established,related
Mais depuis deux jours lorsque j'active ce partage de connexion alors =20
mon serveur web (h=C3=A9berg=C3=A9 par ma machine debian qui est connect=C3=
=A9e =C3=A0 =20
internet) n'est plus accessible.
Qu'est-ce qui peut bien se mettre =C3=A0 foirer comme =C3=A7a, d'un coup ?
Quelles sont les lignes de ce script que je dois garder pour ne =20
partager que les connexions sur le port 80 ? Et est-ce que cela =20
suffira pour que les clients W$ puissent continuer =C3=A0 utiliser leur IM =
=20
? Ou pour chaque IM est-il n=C3=A9cessaire d'ouvrir un port particulier ?
Cordialement
Pascal
----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.
echo -n "On laisse tout ouvert vers le net" iptables -A OUTPUT -o $IFEXT -j ACCEPT
Cela revient à laisser OUTPUT en ACCEPT.
Une bonne lecture en français pour bien comprendre Netfilter et l'utilisation d'iptables: http://christian.caleca.free.fr/netfilter/
Cordialement
HTH - bon courage :-) -- Serge
Pascal Hambourg
Salut,
a écrit :
Voici le contenu du script qui initialise le partage de connexion:
#!/bin/bash IFLAN=eth1 IFEXT=eth0
[...]
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
^^^^ C'est bien la peine d'avoir défini des variables. ;-)
[...]
echo -n "autorise les réponses de l'Internet vers mon LAN" iptables -A FORWARD -j ACCEPT -m state --state established,related
Note : cette règle n'autorise pas seulement les réponses de l'internet vers le LAN mais de n'importe où vers n'importe où puisqu'aucune interface d'entrée ni de sortie n'est spécifiée. Aussi, cette règle gagne à être placée en début de chaîne car elle ramasse gnéralement la majorité des paquets.
Mais depuis deux jours lorsque j'active ce partage de connexion alors mon serveur web (hébergé par ma machine debian qui est connectée à internet) n'est plus accessible.
Qu'est-ce qui peut bien se mettre à foirer comme ça, d'un coup ?
En fait, ce qui est étonnant c'est que jusqu'ici le serveur ait été accessible avec ces règles. ;-) Comme Serge l'a relevé, aucune règle n'accepte les connexions entrantes sur le port TCP 80.
Quelles sont les lignes de ce script que je dois garder pour ne partager que les connexions sur le port 80 ?
Qu'entends-tu exactement par "partager les connexions sur le port 80" ?
Et est-ce que cela suffira pour que les clients W$ puissent continuer à utiliser leur IM ? Ou pour chaque IM est-il nécessaire d'ouvrir un port particulier ?
Ça dépend du protocole de messagerie instantanée des clients (MSN, Yahoo, AOL...)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
pascal@linuxorable.fr a écrit :
Voici le contenu du script qui initialise le partage de connexion:
#!/bin/bash
IFLAN=eth1
IFEXT=eth0
[...]
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
^^^^
C'est bien la peine d'avoir défini des variables. ;-)
[...]
echo -n "autorise les réponses de l'Internet vers mon LAN"
iptables -A FORWARD -j ACCEPT -m state --state established,related
Note : cette règle n'autorise pas seulement les réponses de l'internet
vers le LAN mais de n'importe où vers n'importe où puisqu'aucune
interface d'entrée ni de sortie n'est spécifiée. Aussi, cette règle
gagne à être placée en début de chaîne car elle ramasse gnéralement la
majorité des paquets.
Mais depuis deux jours lorsque j'active ce partage de connexion alors
mon serveur web (hébergé par ma machine debian qui est connectée à
internet) n'est plus accessible.
Qu'est-ce qui peut bien se mettre à foirer comme ça, d'un coup ?
En fait, ce qui est étonnant c'est que jusqu'ici le serveur ait été
accessible avec ces règles. ;-) Comme Serge l'a relevé, aucune règle
n'accepte les connexions entrantes sur le port TCP 80.
Quelles sont les lignes de ce script que je dois garder pour ne
partager que les connexions sur le port 80 ?
Qu'entends-tu exactement par "partager les connexions sur le port 80" ?
Et est-ce que cela suffira
pour que les clients W$ puissent continuer à utiliser leur IM ? Ou pour
chaque IM est-il nécessaire d'ouvrir un port particulier ?
Ça dépend du protocole de messagerie instantanée des clients (MSN,
Yahoo, AOL...)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Voici le contenu du script qui initialise le partage de connexion:
#!/bin/bash IFLAN=eth1 IFEXT=eth0
[...]
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
^^^^ C'est bien la peine d'avoir défini des variables. ;-)
[...]
echo -n "autorise les réponses de l'Internet vers mon LAN" iptables -A FORWARD -j ACCEPT -m state --state established,related
Note : cette règle n'autorise pas seulement les réponses de l'internet vers le LAN mais de n'importe où vers n'importe où puisqu'aucune interface d'entrée ni de sortie n'est spécifiée. Aussi, cette règle gagne à être placée en début de chaîne car elle ramasse gnéralement la majorité des paquets.
Mais depuis deux jours lorsque j'active ce partage de connexion alors mon serveur web (hébergé par ma machine debian qui est connectée à internet) n'est plus accessible.
Qu'est-ce qui peut bien se mettre à foirer comme ça, d'un coup ?
En fait, ce qui est étonnant c'est que jusqu'ici le serveur ait été accessible avec ces règles. ;-) Comme Serge l'a relevé, aucune règle n'accepte les connexions entrantes sur le port TCP 80.
Quelles sont les lignes de ce script que je dois garder pour ne partager que les connexions sur le port 80 ?
Qu'entends-tu exactement par "partager les connexions sur le port 80" ?
Et est-ce que cela suffira pour que les clients W$ puissent continuer à utiliser leur IM ? Ou pour chaque IM est-il nécessaire d'ouvrir un port particulier ?
Ça dépend du protocole de messagerie instantanée des clients (MSN, Yahoo, AOL...)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Serge Cavailles a écrit :
iptables -A INPUT -i $IFLAN -p tcp --dport 80 -j ACCEPT permettrait l'accès depuis le lan au serveur web de l'hôte, pour autant que le serveur web écoute sur cet interface.
J'aurais tendance à penser qu'un serveur écoute généralement sur une adresse plutôt qu'une interface, sauf cas particuliers comme DHCP.
Pour que le client reçoive sa réponse, il faudra de plus ajouter iptables -A OUTPUT -o $IFLAN -p tcp --sport 80 -j ACCEPT
C'est mal de se baser seulement sur le port source. Gros trou de sécurité en vue.
(ou bien utiliser le state related)
Les paquets de réponse sont plutôt classés dans l'état ESTABLISHED. RELATED c'est pour les messages d'erreur ICMP et les connexions liées des protocoles compliqués comme FTP.
echo -n "On laisse tout ouvert vers le net" iptables -A OUTPUT -o $IFEXT -j ACCEPT
Cela revient à laisser OUTPUT en ACCEPT.
Pas tout à fait : ça n'accepte que ce qui sort vers l'extérieur mais pas vers le LAN.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Serge Cavailles a écrit :
iptables -A INPUT -i $IFLAN -p tcp --dport 80 -j ACCEPT
permettrait l'accès depuis le lan au serveur web de l'hôte, pour autant que
le serveur web écoute sur cet interface.
J'aurais tendance à penser qu'un serveur écoute généralement sur une
adresse plutôt qu'une interface, sauf cas particuliers comme DHCP.
Pour que le client reçoive sa réponse, il faudra de plus ajouter
iptables -A OUTPUT -o $IFLAN -p tcp --sport 80 -j ACCEPT
C'est mal de se baser seulement sur le port source. Gros trou de
sécurité en vue.
(ou bien utiliser le state related)
Les paquets de réponse sont plutôt classés dans l'état ESTABLISHED.
RELATED c'est pour les messages d'erreur ICMP et les connexions liées
des protocoles compliqués comme FTP.
echo -n "On laisse tout ouvert vers le net"
iptables -A OUTPUT -o $IFEXT -j ACCEPT
Cela revient à laisser OUTPUT en ACCEPT.
Pas tout à fait : ça n'accepte que ce qui sort vers l'extérieur mais pas
vers le LAN.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
iptables -A INPUT -i $IFLAN -p tcp --dport 80 -j ACCEPT permettrait l'accès depuis le lan au serveur web de l'hôte, pour autant que le serveur web écoute sur cet interface.
J'aurais tendance à penser qu'un serveur écoute généralement sur une adresse plutôt qu'une interface, sauf cas particuliers comme DHCP.
Pour que le client reçoive sa réponse, il faudra de plus ajouter iptables -A OUTPUT -o $IFLAN -p tcp --sport 80 -j ACCEPT
C'est mal de se baser seulement sur le port source. Gros trou de sécurité en vue.
(ou bien utiliser le state related)
Les paquets de réponse sont plutôt classés dans l'état ESTABLISHED. RELATED c'est pour les messages d'erreur ICMP et les connexions liées des protocoles compliqués comme FTP.
echo -n "On laisse tout ouvert vers le net" iptables -A OUTPUT -o $IFEXT -j ACCEPT
Cela revient à laisser OUTPUT en ACCEPT.
Pas tout à fait : ça n'accepte que ce qui sort vers l'extérieur mais pas vers le LAN.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact org
---------------------------------------------------------------- This message was sent using IMP, the Internet Messaging Program.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian. org
----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact org
---------------------------------------------------------------- This message was sent using IMP, the Internet Messaging Program.
Serge Cavailles
Je me doutais bien que si vous passiez par là je me ferais ramasser :-)
> (ou bien utiliser le state related)
Les paquets de réponse sont plutôt classés dans l'état ESTABLISHE D. RELATED c'est pour les messages d'erreur ICMP et les connexions liées des protocoles compliqués comme FTP.
Oups, erreur de ma part effectivement.
-- Serge
Je me doutais bien que si vous passiez par là je me ferais ramasser :-)
> (ou bien utiliser le state related)
Les paquets de réponse sont plutôt classés dans l'état ESTABLISHE D.
RELATED c'est pour les messages d'erreur ICMP et les connexions liées
des protocoles compliqués comme FTP.
Je me doutais bien que si vous passiez par là je me ferais ramasser :-)
> (ou bien utiliser le state related)
Les paquets de réponse sont plutôt classés dans l'état ESTABLISHE D. RELATED c'est pour les messages d'erreur ICMP et les connexions liées des protocoles compliqués comme FTP.