Merci pour cette suggestion : je viens de l'essayer, et çà paraît
fonctionner. Une question cependant : qu'est-ce exactement que le mise à
jour de NetworkManager ? Cà opère à quelle fréquence, et çà fait
quoi ? Quels inconvénients y-a-t-il à laisser bloquée la maj de
NetworkManager ?
Merci pour cette suggestion : je viens de l'essayer, et çà paraît
fonctionner. Une question cependant : qu'est-ce exactement que le mise à
jour de NetworkManager ? Cà opère à quelle fréquence, et çà fait
quoi ? Quels inconvénients y-a-t-il à laisser bloquée la maj de
NetworkManager ?
Merci pour cette suggestion : je viens de l'essayer, et çà paraît
fonctionner. Une question cependant : qu'est-ce exactement que le mise à
jour de NetworkManager ? Cà opère à quelle fréquence, et çà fait
quoi ? Quels inconvénients y-a-t-il à laisser bloquée la maj de
NetworkManager ?
re-bonjour,
NetworkManager est un programme de gestion de connexion au
réseau. Son but est d'établir et de maintenir une connexion au rése au de
toutes les manières possibles. Tu l'utilise ou non; c'est selon les
goûts... Lorsque tu lance une mise à jour de ta distribution (aptitud e
update ou apt-get update) il se peut que des paquets intervenant d'une
manière ou d'une autre sur /etc/resolv.conf soient dans la liste
proposée. La mise à jour des paquets en question ne se fera dès lor s pas
(une erreur sera affichée). NetworkManager est un de ces paquets, mais
il y en a peut être d'autres. La mise à jour se fait soit parce que t u
la lance manuellement, lorsque tu apprends qu'il y a une amélioration d u
paquet par exemple, soit pour raison de sécurité, s'il y en a une. Tu
n'es pas obligé de faire la mise à jour, bien entendu. Mais s'il y a une
raison de sécurité, il vaut mieux la faire en enlevant l'attribut du
fichier /etc/resolv.conf puis en le repositionant par la suite.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
re-bonjour,
NetworkManager est un programme de gestion de connexion au
réseau. Son but est d'établir et de maintenir une connexion au rése au de
toutes les manières possibles. Tu l'utilise ou non; c'est selon les
goûts... Lorsque tu lance une mise à jour de ta distribution (aptitud e
update ou apt-get update) il se peut que des paquets intervenant d'une
manière ou d'une autre sur /etc/resolv.conf soient dans la liste
proposée. La mise à jour des paquets en question ne se fera dès lor s pas
(une erreur sera affichée). NetworkManager est un de ces paquets, mais
il y en a peut être d'autres. La mise à jour se fait soit parce que t u
la lance manuellement, lorsque tu apprends qu'il y a une amélioration d u
paquet par exemple, soit pour raison de sécurité, s'il y en a une. Tu
n'es pas obligé de faire la mise à jour, bien entendu. Mais s'il y a une
raison de sécurité, il vaut mieux la faire en enlevant l'attribut du
fichier /etc/resolv.conf puis en le repositionant par la suite.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
re-bonjour,
NetworkManager est un programme de gestion de connexion au
réseau. Son but est d'établir et de maintenir une connexion au rése au de
toutes les manières possibles. Tu l'utilise ou non; c'est selon les
goûts... Lorsque tu lance une mise à jour de ta distribution (aptitud e
update ou apt-get update) il se peut que des paquets intervenant d'une
manière ou d'une autre sur /etc/resolv.conf soient dans la liste
proposée. La mise à jour des paquets en question ne se fera dès lor s pas
(une erreur sera affichée). NetworkManager est un de ces paquets, mais
il y en a peut être d'autres. La mise à jour se fait soit parce que t u
la lance manuellement, lorsque tu apprends qu'il y a une amélioration d u
paquet par exemple, soit pour raison de sécurité, s'il y en a une. Tu
n'es pas obligé de faire la mise à jour, bien entendu. Mais s'il y a une
raison de sécurité, il vaut mieux la faire en enlevant l'attribut du
fichier /etc/resolv.conf puis en le repositionant par la suite.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
nameserver 81.253.149.1
nameserver 80.10.246.3
Car pour le moment, je n'arrive pas avoir le partage internet sur mon poste
client debian.
Voici mon fichier /etc/hosts :
serv1:/etc# cat hosts
127.0.0.1 localhost
192.168.10.1 serv1.aslantz.com serv1
192.168.10.2 pc1.aslantz.com pc1
192.168.10.3 pc2.aslantz.com pc2
et mon fichier /etc/network/interfaces :
serv1:/etc# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# L'interface "loopback"
auto lo
iface lo inet loopback
# L'interface "eth0" connect e Internet (configuration par DHCP)
auto eth0
iface eth0 inet dhcp
# L'interface "eth1" connect e au r seau local (IP priv e fixe)
auto eth1
iface eth1 inet static
address 192.168.10.1
netmask 255.255.255.0
broadcast 192.168.10.255
nameserver 81.253.149.1
nameserver 80.10.246.3
Car pour le moment, je n'arrive pas avoir le partage internet sur mon poste
client debian.
Voici mon fichier /etc/hosts :
serv1:/etc# cat hosts
127.0.0.1 localhost
192.168.10.1 serv1.aslantz.com serv1
192.168.10.2 pc1.aslantz.com pc1
192.168.10.3 pc2.aslantz.com pc2
et mon fichier /etc/network/interfaces :
serv1:/etc# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# L'interface "loopback"
auto lo
iface lo inet loopback
# L'interface "eth0" connect e Internet (configuration par DHCP)
auto eth0
iface eth0 inet dhcp
# L'interface "eth1" connect e au r seau local (IP priv e fixe)
auto eth1
iface eth1 inet static
address 192.168.10.1
netmask 255.255.255.0
broadcast 192.168.10.255
nameserver 81.253.149.1
nameserver 80.10.246.3
Car pour le moment, je n'arrive pas avoir le partage internet sur mon poste
client debian.
Voici mon fichier /etc/hosts :
serv1:/etc# cat hosts
127.0.0.1 localhost
192.168.10.1 serv1.aslantz.com serv1
192.168.10.2 pc1.aslantz.com pc1
192.168.10.3 pc2.aslantz.com pc2
et mon fichier /etc/network/interfaces :
serv1:/etc# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# L'interface "loopback"
auto lo
iface lo inet loopback
# L'interface "eth0" connect e Internet (configuration par DHCP)
auto eth0
iface eth0 inet dhcp
# L'interface "eth1" connect e au r seau local (IP priv e fixe)
auto eth1
iface eth1 inet static
address 192.168.10.1
netmask 255.255.255.0
broadcast 192.168.10.255
Bonjour,
Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...
> nameserver 81.253.149.1
> nameserver 80.10.246.3
Je mets les ip des serveurs de nom dans le fichier interfaces. Mais pas
sur les clients, car ceux ci en dhcp obtiennent le dns du serveur. On
utilise « dns-nameservers » dans le fichier dans la partie de
description de l'interface
> Car pour le moment, je n'arrive pas avoir le partage internet sur mon
poste
> client debian.
> Voici mon fichier /etc/hosts :
> serv1:/etc# cat hosts
> 127.0.0.1 localhost
> 192.168.10.1 serv1.aslantz.com serv1
> 192.168.10.2 pc1.aslantz.com pc1
> 192.168.10.3 pc2.aslantz.com pc2
Est ce celui du client, ou du serveur ?
> et mon fichier /etc/network/interfaces :
> serv1:/etc# cat /etc/network/interfaces
> # This file describes the network interfaces available on your system
> # and how to activate them. For more information, see interfaces(5).
> # L'interface "loopback"
> auto lo
> iface lo inet loopback
> # L'interface "eth0" connect e Internet (configuration par DHCP)
> auto eth0
> iface eth0 inet dhcp
> # L'interface "eth1" connect e au r seau local (IP priv e fixe)
> auto eth1
> iface eth1 inet static
> address 192.168.10.1
> netmask 255.255.255.0
> broadcast 192.168.10.255
Même question. Pourtant, l'adresse semble être celle du serveur, serv 1 si
j'interprète bien. Il manque l'adresse du réseau avec
network 192.168.10.0
Bonjour,
Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...
> nameserver 81.253.149.1
> nameserver 80.10.246.3
Je mets les ip des serveurs de nom dans le fichier interfaces. Mais pas
sur les clients, car ceux ci en dhcp obtiennent le dns du serveur. On
utilise « dns-nameservers » dans le fichier dans la partie de
description de l'interface
> Car pour le moment, je n'arrive pas avoir le partage internet sur mon
poste
> client debian.
> Voici mon fichier /etc/hosts :
> serv1:/etc# cat hosts
> 127.0.0.1 localhost
> 192.168.10.1 serv1.aslantz.com serv1
> 192.168.10.2 pc1.aslantz.com pc1
> 192.168.10.3 pc2.aslantz.com pc2
Est ce celui du client, ou du serveur ?
> et mon fichier /etc/network/interfaces :
> serv1:/etc# cat /etc/network/interfaces
> # This file describes the network interfaces available on your system
> # and how to activate them. For more information, see interfaces(5).
> # L'interface "loopback"
> auto lo
> iface lo inet loopback
> # L'interface "eth0" connect e Internet (configuration par DHCP)
> auto eth0
> iface eth0 inet dhcp
> # L'interface "eth1" connect e au r seau local (IP priv e fixe)
> auto eth1
> iface eth1 inet static
> address 192.168.10.1
> netmask 255.255.255.0
> broadcast 192.168.10.255
Même question. Pourtant, l'adresse semble être celle du serveur, serv 1 si
j'interprète bien. Il manque l'adresse du réseau avec
network 192.168.10.0
Bonjour,
Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...
> nameserver 81.253.149.1
> nameserver 80.10.246.3
Je mets les ip des serveurs de nom dans le fichier interfaces. Mais pas
sur les clients, car ceux ci en dhcp obtiennent le dns du serveur. On
utilise « dns-nameservers » dans le fichier dans la partie de
description de l'interface
> Car pour le moment, je n'arrive pas avoir le partage internet sur mon
poste
> client debian.
> Voici mon fichier /etc/hosts :
> serv1:/etc# cat hosts
> 127.0.0.1 localhost
> 192.168.10.1 serv1.aslantz.com serv1
> 192.168.10.2 pc1.aslantz.com pc1
> 192.168.10.3 pc2.aslantz.com pc2
Est ce celui du client, ou du serveur ?
> et mon fichier /etc/network/interfaces :
> serv1:/etc# cat /etc/network/interfaces
> # This file describes the network interfaces available on your system
> # and how to activate them. For more information, see interfaces(5).
> # L'interface "loopback"
> auto lo
> iface lo inet loopback
> # L'interface "eth0" connect e Internet (configuration par DHCP)
> auto eth0
> iface eth0 inet dhcp
> # L'interface "eth1" connect e au r seau local (IP priv e fixe)
> auto eth1
> iface eth1 inet static
> address 192.168.10.1
> netmask 255.255.255.0
> broadcast 192.168.10.255
Même question. Pourtant, l'adresse semble être celle du serveur, serv 1 si
j'interprète bien. Il manque l'adresse du réseau avec
network 192.168.10.0
Peux tu acc der au net depuis le serveur ?
Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et pc2.
apr s avoir fait sur le serveur serv1 :
/etc/init.d/networking restart
toujours pas de connexion sur pc1 et pc2 au net.
Peux tu acc der au net depuis le serveur ?
Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et pc2.
apr s avoir fait sur le serveur serv1 :
/etc/init.d/networking restart
toujours pas de connexion sur pc1 et pc2 au net.
Peux tu acc der au net depuis le serveur ?
Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et pc2.
apr s avoir fait sur le serveur serv1 :
/etc/init.d/networking restart
toujours pas de connexion sur pc1 et pc2 au net.
Bonjour,
Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...
> Peux tu acc der au net depuis le serveur ?
> Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et pc 2.
> apr s avoir fait sur le serveur serv1 :
> /etc/init.d/networking restart
> toujours pas de connexion sur pc1 et pc2 au net.
Il faudrait les fichiers interfaces des pc clients. Etre également sû r
que le forwarding est activé sur le serveur (`iptables -L FORWARD`).
Bonjour,
Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...
> Peux tu acc der au net depuis le serveur ?
> Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et pc 2.
> apr s avoir fait sur le serveur serv1 :
> /etc/init.d/networking restart
> toujours pas de connexion sur pc1 et pc2 au net.
Il faudrait les fichiers interfaces des pc clients. Etre également sû r
que le forwarding est activé sur le serveur (`iptables -L FORWARD`).
Bonjour,
Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...
> Peux tu acc der au net depuis le serveur ?
> Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et pc 2.
> apr s avoir fait sur le serveur serv1 :
> /etc/init.d/networking restart
> toujours pas de connexion sur pc1 et pc2 au net.
Il faudrait les fichiers interfaces des pc clients. Etre également sû r
que le forwarding est activé sur le serveur (`iptables -L FORWARD`).
2008/11/24 Anne sophie Lantz
Le 24 novembre 2008 12:29, Jean-Michel OLTRA <
a écrit :
Bonjour,
Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...
> Peux tu acc der au net depuis le serveur ?
> Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et
pc2.
> apr s avoir fait sur le serveur serv1 :
> /etc/init.d/networking restart
> toujours pas de connexion sur pc1 et pc2 au net.
Il faudrait les fichiers interfaces des pc clients. Etre également s ûr
que le forwarding est activé sur le serveur (`iptables -L FORWARD`).
pc2 : /etc/network/interfaces :
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.10.3
netmask 255.255.255.0
broadcast 192.168.10.255
gateway 192.168.10.1
pc2 : cat /etc/resolv.conf :
domain aslantz.com
search aslantz.com
nameserver 192.168.10.1
nameserver 81.253.149.1
nameserver 80.10.246.3
serv1:~# iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp
flags:SYN,RST/SYN TCPMSS clamp to PMTU
je vous joins aussi mon fichier iptables-start :
#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start
# Script qui démarre les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://formation-debian.via.ecp.fr/
# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F
# DEBUT des "politiques par défaut"
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT
# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT
# FIN des "politiques par défaut"
# DEBUT des règles de filtrage
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT
# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT
# J'accepte les packets entrants relatifs à des connexions déjà é tablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur FTP évent uel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur SSH éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur de mail éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur de DNS év entuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur Web éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur CUPS éven tuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 631 -j ACCEPT
#iptables -A INPUT -p udp --dport 631 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur Samba éve ntuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 139 -j ACCEPT
#iptables -A INPUT -p udp --dport 139 -j ACCEPT
# Décommentez la ligne suivante pour que des clients puissent se connec ter
# à l'ordinateur par XDMCP)
#iptables -A INPUT -p udp --dport 177 -j ACCEPT
# Décommentez la ligne suivante pour que l'odinateur puisse se connecte r
# par XDMCP à une machine distante)
#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur CVS éventuel
# soit joignable de l'extérieur via le mécanisme de "pserver"
# (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,
# seule la ligne concernant le serveur SSH doit être décommentée)
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT
# Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoL AN
# (ce sont des flux UDP entrants sur le port 1234)
#iptables -A INPUT -p udp --dport 1234 -j ACCEPT
# Décommentez la ligne suivante pour pouvoir reçevoir des annonces SA P
# (ce sont des annonces de session multicast)
#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT
# Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT
# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT
# FIN des règles de filtrage
# DEBUT des règles pour le partage de connexion (i.e. le NAT)
# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT" et remplaçez "eth0" par le nom de l'interface connect ée
# à Internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résum é,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
# suivante et remplaçez "eth0" par le nom de l'interface connectée à
# Internet.
#iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0
--clamp-mss-to-pmtu
# FIN des règles pour le partage de connexion (i.e. le NAT)
# DEBUT des règles de "port forwarding"
# Décommentez la ligne suivante pour que les requêtes TCP reçues su r
# le port 80 de l'interface eth0 soient forwardées à la machine dont
# l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête ser a
# forwardée au client)
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT
--to-destination 192.168.0.3:80
# FIN des règles de "port forwarding"
serv1:~# vi /etc/network/if-pre*/iptables*
serv1:~# cat /etc/network/if-pre*/iptables*
#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start
# Script qui démarre les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://formation-debian.via.ecp.fr/
# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F
# DEBUT des "politiques par défaut"
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT
# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT
# FIN des "politiques par défaut"
# DEBUT des règles de filtrage
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT
# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT
# J'accepte les packets entrants relatifs à des connexions déjà é tablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur FTP évent uel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur SSH éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur de mail éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur de DNS év entuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur Web éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur CUPS éven tuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 631 -j ACCEPT
#iptables -A INPUT -p udp --dport 631 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur Samba éve ntuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 139 -j ACCEPT
#iptables -A INPUT -p udp --dport 139 -j ACCEPT
# Décommentez la ligne suivante pour que des clients puissent se connec ter
# à l'ordinateur par XDMCP)
#iptables -A INPUT -p udp --dport 177 -j ACCEPT
# Décommentez la ligne suivante pour que l'odinateur puisse se connecte r
# par XDMCP à une machine distante)
#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur CVS éventuel
# soit joignable de l'extérieur via le mécanisme de "pserver"
# (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,
# seule la ligne concernant le serveur SSH doit être décommentée)
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT
# Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoL AN
# (ce sont des flux UDP entrants sur le port 1234)
#iptables -A INPUT -p udp --dport 1234 -j ACCEPT
# Décommentez la ligne suivante pour pouvoir reçevoir des annonces SA P
# (ce sont des annonces de session multicast)
#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT
# Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT
# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT
# FIN des règles de filtrage
# DEBUT des règles pour le partage de connexion (i.e. le NAT)
# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT" et remplaçez "eth0" par le nom de l'interface connect ée
# à Internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résum é,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
# suivante et remplaçez "eth0" par le nom de l'interface connectée à
# Internet.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0
--clamp-mss-to-pmtu
# FIN des règles pour le partage de connexion (i.e. le NAT)
# DEBUT des règles de "port forwarding"
# Décommentez la ligne suivante pour que les requêtes TCP reçues su r
# le port 80 de l'interface eth0 soient forwardées à la machine dont
# l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête ser a
# forwardée au client)
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT
--to-destination 192.168.0.3:80
# FIN des règles de "port forwarding"
2008/11/24 Anne sophie Lantz <annesophielantz@gmail.com>
Le 24 novembre 2008 12:29, Jean-Michel OLTRA <
jm.oltra.antispam@espinasse.net> a écrit :
Bonjour,
Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...
> Peux tu acc der au net depuis le serveur ?
> Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et
pc2.
> apr s avoir fait sur le serveur serv1 :
> /etc/init.d/networking restart
> toujours pas de connexion sur pc1 et pc2 au net.
Il faudrait les fichiers interfaces des pc clients. Etre également s ûr
que le forwarding est activé sur le serveur (`iptables -L FORWARD`).
pc2 : /etc/network/interfaces :
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.10.3
netmask 255.255.255.0
broadcast 192.168.10.255
gateway 192.168.10.1
pc2 : cat /etc/resolv.conf :
domain aslantz.com
search aslantz.com
nameserver 192.168.10.1
nameserver 81.253.149.1
nameserver 80.10.246.3
serv1:~# iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp
flags:SYN,RST/SYN TCPMSS clamp to PMTU
je vous joins aussi mon fichier iptables-start :
#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start
# Script qui démarre les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://formation-debian.via.ecp.fr/
# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F
# DEBUT des "politiques par défaut"
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT
# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT
# FIN des "politiques par défaut"
# DEBUT des règles de filtrage
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT
# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT
# J'accepte les packets entrants relatifs à des connexions déjà é tablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur FTP évent uel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur SSH éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur de mail éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur de DNS év entuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur Web éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur CUPS éven tuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 631 -j ACCEPT
#iptables -A INPUT -p udp --dport 631 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur Samba éve ntuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 139 -j ACCEPT
#iptables -A INPUT -p udp --dport 139 -j ACCEPT
# Décommentez la ligne suivante pour que des clients puissent se connec ter
# à l'ordinateur par XDMCP)
#iptables -A INPUT -p udp --dport 177 -j ACCEPT
# Décommentez la ligne suivante pour que l'odinateur puisse se connecte r
# par XDMCP à une machine distante)
#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur CVS éventuel
# soit joignable de l'extérieur via le mécanisme de "pserver"
# (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,
# seule la ligne concernant le serveur SSH doit être décommentée)
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT
# Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoL AN
# (ce sont des flux UDP entrants sur le port 1234)
#iptables -A INPUT -p udp --dport 1234 -j ACCEPT
# Décommentez la ligne suivante pour pouvoir reçevoir des annonces SA P
# (ce sont des annonces de session multicast)
#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT
# Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT
# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT
# FIN des règles de filtrage
# DEBUT des règles pour le partage de connexion (i.e. le NAT)
# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT" et remplaçez "eth0" par le nom de l'interface connect ée
# à Internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résum é,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
# suivante et remplaçez "eth0" par le nom de l'interface connectée à
# Internet.
#iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0
--clamp-mss-to-pmtu
# FIN des règles pour le partage de connexion (i.e. le NAT)
# DEBUT des règles de "port forwarding"
# Décommentez la ligne suivante pour que les requêtes TCP reçues su r
# le port 80 de l'interface eth0 soient forwardées à la machine dont
# l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête ser a
# forwardée au client)
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT
--to-destination 192.168.0.3:80
# FIN des règles de "port forwarding"
serv1:~# vi /etc/network/if-pre*/iptables*
serv1:~# cat /etc/network/if-pre*/iptables*
#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start
# Script qui démarre les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://formation-debian.via.ecp.fr/
# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F
# DEBUT des "politiques par défaut"
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT
# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT
# FIN des "politiques par défaut"
# DEBUT des règles de filtrage
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT
# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT
# J'accepte les packets entrants relatifs à des connexions déjà é tablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur FTP évent uel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur SSH éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur de mail éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur de DNS év entuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur Web éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur CUPS éven tuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 631 -j ACCEPT
#iptables -A INPUT -p udp --dport 631 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur Samba éve ntuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 139 -j ACCEPT
#iptables -A INPUT -p udp --dport 139 -j ACCEPT
# Décommentez la ligne suivante pour que des clients puissent se connec ter
# à l'ordinateur par XDMCP)
#iptables -A INPUT -p udp --dport 177 -j ACCEPT
# Décommentez la ligne suivante pour que l'odinateur puisse se connecte r
# par XDMCP à une machine distante)
#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur CVS éventuel
# soit joignable de l'extérieur via le mécanisme de "pserver"
# (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,
# seule la ligne concernant le serveur SSH doit être décommentée)
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT
# Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoL AN
# (ce sont des flux UDP entrants sur le port 1234)
#iptables -A INPUT -p udp --dport 1234 -j ACCEPT
# Décommentez la ligne suivante pour pouvoir reçevoir des annonces SA P
# (ce sont des annonces de session multicast)
#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT
# Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT
# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT
# FIN des règles de filtrage
# DEBUT des règles pour le partage de connexion (i.e. le NAT)
# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT" et remplaçez "eth0" par le nom de l'interface connect ée
# à Internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résum é,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
# suivante et remplaçez "eth0" par le nom de l'interface connectée à
# Internet.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0
--clamp-mss-to-pmtu
# FIN des règles pour le partage de connexion (i.e. le NAT)
# DEBUT des règles de "port forwarding"
# Décommentez la ligne suivante pour que les requêtes TCP reçues su r
# le port 80 de l'interface eth0 soient forwardées à la machine dont
# l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête ser a
# forwardée au client)
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT
--to-destination 192.168.0.3:80
# FIN des règles de "port forwarding"
2008/11/24 Anne sophie Lantz
Le 24 novembre 2008 12:29, Jean-Michel OLTRA <
a écrit :
Bonjour,
Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...
> Peux tu acc der au net depuis le serveur ?
> Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et
pc2.
> apr s avoir fait sur le serveur serv1 :
> /etc/init.d/networking restart
> toujours pas de connexion sur pc1 et pc2 au net.
Il faudrait les fichiers interfaces des pc clients. Etre également s ûr
que le forwarding est activé sur le serveur (`iptables -L FORWARD`).
pc2 : /etc/network/interfaces :
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.10.3
netmask 255.255.255.0
broadcast 192.168.10.255
gateway 192.168.10.1
pc2 : cat /etc/resolv.conf :
domain aslantz.com
search aslantz.com
nameserver 192.168.10.1
nameserver 81.253.149.1
nameserver 80.10.246.3
serv1:~# iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp
flags:SYN,RST/SYN TCPMSS clamp to PMTU
je vous joins aussi mon fichier iptables-start :
#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start
# Script qui démarre les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://formation-debian.via.ecp.fr/
# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F
# DEBUT des "politiques par défaut"
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT
# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT
# FIN des "politiques par défaut"
# DEBUT des règles de filtrage
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT
# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT
# J'accepte les packets entrants relatifs à des connexions déjà é tablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur FTP évent uel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur SSH éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur de mail éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur de DNS év entuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur Web éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur CUPS éven tuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 631 -j ACCEPT
#iptables -A INPUT -p udp --dport 631 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur Samba éve ntuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 139 -j ACCEPT
#iptables -A INPUT -p udp --dport 139 -j ACCEPT
# Décommentez la ligne suivante pour que des clients puissent se connec ter
# à l'ordinateur par XDMCP)
#iptables -A INPUT -p udp --dport 177 -j ACCEPT
# Décommentez la ligne suivante pour que l'odinateur puisse se connecte r
# par XDMCP à une machine distante)
#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur CVS éventuel
# soit joignable de l'extérieur via le mécanisme de "pserver"
# (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,
# seule la ligne concernant le serveur SSH doit être décommentée)
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT
# Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoL AN
# (ce sont des flux UDP entrants sur le port 1234)
#iptables -A INPUT -p udp --dport 1234 -j ACCEPT
# Décommentez la ligne suivante pour pouvoir reçevoir des annonces SA P
# (ce sont des annonces de session multicast)
#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT
# Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT
# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT
# FIN des règles de filtrage
# DEBUT des règles pour le partage de connexion (i.e. le NAT)
# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT" et remplaçez "eth0" par le nom de l'interface connect ée
# à Internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résum é,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
# suivante et remplaçez "eth0" par le nom de l'interface connectée à
# Internet.
#iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0
--clamp-mss-to-pmtu
# FIN des règles pour le partage de connexion (i.e. le NAT)
# DEBUT des règles de "port forwarding"
# Décommentez la ligne suivante pour que les requêtes TCP reçues su r
# le port 80 de l'interface eth0 soient forwardées à la machine dont
# l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête ser a
# forwardée au client)
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT
--to-destination 192.168.0.3:80
# FIN des règles de "port forwarding"
serv1:~# vi /etc/network/if-pre*/iptables*
serv1:~# cat /etc/network/if-pre*/iptables*
#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start
# Script qui démarre les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://formation-debian.via.ecp.fr/
# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F
# DEBUT des "politiques par défaut"
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT
# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT
# FIN des "politiques par défaut"
# DEBUT des règles de filtrage
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT
# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT
# J'accepte les packets entrants relatifs à des connexions déjà é tablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur FTP évent uel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur SSH éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur de mail éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur de DNS év entuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur Web éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur CUPS éven tuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 631 -j ACCEPT
#iptables -A INPUT -p udp --dport 631 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur Samba éve ntuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 139 -j ACCEPT
#iptables -A INPUT -p udp --dport 139 -j ACCEPT
# Décommentez la ligne suivante pour que des clients puissent se connec ter
# à l'ordinateur par XDMCP)
#iptables -A INPUT -p udp --dport 177 -j ACCEPT
# Décommentez la ligne suivante pour que l'odinateur puisse se connecte r
# par XDMCP à une machine distante)
#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur CVS éventuel
# soit joignable de l'extérieur via le mécanisme de "pserver"
# (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,
# seule la ligne concernant le serveur SSH doit être décommentée)
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT
# Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoL AN
# (ce sont des flux UDP entrants sur le port 1234)
#iptables -A INPUT -p udp --dport 1234 -j ACCEPT
# Décommentez la ligne suivante pour pouvoir reçevoir des annonces SA P
# (ce sont des annonces de session multicast)
#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT
# Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT
# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT
# FIN des règles de filtrage
# DEBUT des règles pour le partage de connexion (i.e. le NAT)
# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT" et remplaçez "eth0" par le nom de l'interface connect ée
# à Internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résum é,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
# suivante et remplaçez "eth0" par le nom de l'interface connectée à
# Internet.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0
--clamp-mss-to-pmtu
# FIN des règles pour le partage de connexion (i.e. le NAT)
# DEBUT des règles de "port forwarding"
# Décommentez la ligne suivante pour que les requêtes TCP reçues su r
# le port 80 de l'interface eth0 soient forwardées à la machine dont
# l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête ser a
# forwardée au client)
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT
--to-destination 192.168.0.3:80
# FIN des règles de "port forwarding"
Le 24 novembre 2008 12:29, Jean-Michel OLTRA <
a écrit :
Bonjour,
Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...
> Peux tu acc der au net depuis le serveur ?
> Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et
pc2.
> apr s avoir fait sur le serveur serv1 :
> /etc/init.d/networking restart
> toujours pas de connexion sur pc1 et pc2 au net.
Il faudrait les fichiers interfaces des pc clients. Etre également s ûr
que le forwarding est activé sur le serveur (`iptables -L FORWARD`).
pc2 : /etc/network/interfaces :
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.10.3
netmask 255.255.255.0
broadcast 192.168.10.255
gateway 192.168.10.1
pc2 : cat /etc/resolv.conf :
domain aslantz.com
search aslantz.com
nameserver 192.168.10.1
nameserver 81.253.149.1
nameserver 80.10.246.3
serv1:~# iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp
flags:SYN,RST/SYN TCPMSS clamp to PMTU
je vous joins aussi mon fichier iptables-start :
Le 24 novembre 2008 12:29, Jean-Michel OLTRA <
jm.oltra.antispam@espinasse.net> a écrit :
Bonjour,
Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...
> Peux tu acc der au net depuis le serveur ?
> Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et
pc2.
> apr s avoir fait sur le serveur serv1 :
> /etc/init.d/networking restart
> toujours pas de connexion sur pc1 et pc2 au net.
Il faudrait les fichiers interfaces des pc clients. Etre également s ûr
que le forwarding est activé sur le serveur (`iptables -L FORWARD`).
pc2 : /etc/network/interfaces :
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.10.3
netmask 255.255.255.0
broadcast 192.168.10.255
gateway 192.168.10.1
pc2 : cat /etc/resolv.conf :
domain aslantz.com
search aslantz.com
nameserver 192.168.10.1
nameserver 81.253.149.1
nameserver 80.10.246.3
serv1:~# iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp
flags:SYN,RST/SYN TCPMSS clamp to PMTU
je vous joins aussi mon fichier iptables-start :
Le 24 novembre 2008 12:29, Jean-Michel OLTRA <
a écrit :
Bonjour,
Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...
> Peux tu acc der au net depuis le serveur ?
> Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et
pc2.
> apr s avoir fait sur le serveur serv1 :
> /etc/init.d/networking restart
> toujours pas de connexion sur pc1 et pc2 au net.
Il faudrait les fichiers interfaces des pc clients. Etre également s ûr
que le forwarding est activé sur le serveur (`iptables -L FORWARD`).
pc2 : /etc/network/interfaces :
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.10.3
netmask 255.255.255.0
broadcast 192.168.10.255
gateway 192.168.10.1
pc2 : cat /etc/resolv.conf :
domain aslantz.com
search aslantz.com
nameserver 192.168.10.1
nameserver 81.253.149.1
nameserver 80.10.246.3
serv1:~# iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp
flags:SYN,RST/SYN TCPMSS clamp to PMTU
je vous joins aussi mon fichier iptables-start :
désolé, j'ai copié 2 fois :).
désolé, j'ai copié 2 fois :).
désolé, j'ai copié 2 fois :).