Re: modif de /etc/resolv.conf a chaque boot

Le Mar 30 septembre 2008 12:31, Bernard a écrit :

Merci pour cette suggestion : je viens de l'essayer, et çà paraît
fonctionner. Une question cependant : qu'est-ce exactement que le mise à
jour de NetworkManager ? Cà opère à quelle fréquence, et çà fait
quoi ? Quels inconvénients y-a-t-il à laisser bloquée la maj de
NetworkManager ?

Salut,

Disons que le chattr +i est pas loin de ce qu'il y a de plus violent.
C'est un peu comme si tu verrouillait un fichier physiquement sur ton
disque. Ca peut impacter et gener les mises à jour par aptitude, par
exemple. Même root ne peut plus toucher au fichier tant que l'attribut est
valorisé. De plus, le support de cet attribut spécial dépend du système de
fichiers que tu utilises, il est clairement supporté par ext2/ext3,
certainement par ext4 aussi, mais tous les systèmes de fichiers ne le
prennent pas forcément en charge (par exemple, si ton répertoire /etc est
sur un système de fichiers ReiserFS et que ReiserFS ne le prend pas en
charge, cette solution ne peut pas s'appliquer).

Le chattr est aussi utilisé par certains comme solution de sécurité pour
verrouiller fortement certains fichiers sensibles potentiellement
modifiable par une élévation de privilèges. Si Tu as un démon qui tourne
sous root, qu'il comporte une faille permettant d'exécuter une action sous
le compte de root, qu'il cherche à supprimer le mot de passe de root dans
le fichier /etc/shadow et que tu as fais un chattr +i sur ce fichier, il
sera épargné. Du moins dans un premier temps. Ca ne fera que ralentir
l'attanquant. Car il pourra toujours modifier son attaque pour commencer
par retirer l'attribut avant de faire sa modification. Mais cette solution
élimine une bonne partie des script-kiddies utilisant des attaques
clé-en-main.

A+

Fanfan
--
http://www.cerbelle.net - http://www.afdm-idf.org

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

re-bonjour,
NetworkManager est un programme de gestion de connexion au
réseau. Son but est d'établir et de maintenir une connexion au réseau de
toutes les manières possibles. Tu l'utilise ou non; c'est selon les
goûts... Lorsque tu lance une mise à jour de ta distribution (aptitude
update ou apt-get update) il se peut que des paquets intervenant d'une
manière ou d'une autre sur /etc/resolv.conf soient dans la liste
proposée. La mise à jour des paquets en question ne se fera dès lors pas
(une erreur sera affichée). NetworkManager est un de ces paquets, mais
il y en a peut être d'autres. La mise à jour se fait soit parce que tu
la lance manuellement, lorsque tu apprends qu'il y a une amélioration du
paquet par exemple, soit pour raison de sécurité, s'il y en a une. Tu
n'es pas obligé de faire la mise à jour, bien entendu. Mais s'il y a une
raison de sécurité, il vaut mieux la faire en enlevant l'attribut du
fichier /etc/resolv.conf puis en le repositionant par la suite.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

------=_Part_134930_16371593.1227521479922
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

bonjour,
j'avais aussi le meme probleme avec resolv.conf.
j'ai donc installé resolvconf et modifé /etc/resolvconf/resolv.conf.d/h ead :

# START head : /etc/resolvconf/resolv.conf.d/head
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by
resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN

# OpenDNS
nameserver 81.253.149.1
nameserver 80.10.246.3

domain aslantz.com
search aslantz.com
# END head : /etc/resolvconf/resolv.conf.d/head
j'ai configuré le partage internet dans iptables-start.

Sur mon client debian, je dois configurer les DNS orange dans resolv.conf.
Non ?
Car pour le moment, je n'arrive pas à avoir le partage internet sur mon
poste client debian.
Voici mon fichier /etc/hosts :
serv1:/etc# cat hosts
127.0.0.1 localhost
192.168.10.1 serv1.aslantz.com serv1
192.168.10.2 pc1.aslantz.com pc1
192.168.10.3 pc2.aslantz.com pc2

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts
et mon fichier /etc/network/interfaces :
serv1:/etc# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# L'interface "loopback"
auto lo
iface lo inet loopback

# L'interface "eth0" connectée à Internet (configuration par DHCP)
auto eth0
iface eth0 inet dhcp

# L'interface "eth1" connectée au réseau local (IP privée fixe)
auto eth1
iface eth1 inet static
address 192.168.10.1
netmask 255.255.255.0
broadcast 192.168.10.255

Merci de votre aide
Amicalement
Anne sophie


Le 30 septembre 2008 15:34, robert caterina <robert.caterina@scarlet.be> a
écrit :

re-bonjour,
NetworkManager est un programme de gestion de connexion au
réseau. Son but est d'établir et de maintenir une connexion au rése au de
toutes les manières possibles. Tu l'utilise ou non; c'est selon les
goûts... Lorsque tu lance une mise à jour de ta distribution (aptitud e
update ou apt-get update) il se peut que des paquets intervenant d'une
manière ou d'une autre sur /etc/resolv.conf soient dans la liste
proposée. La mise à jour des paquets en question ne se fera dès lor s pas
(une erreur sera affichée). NetworkManager est un de ces paquets, mais
il y en a peut être d'autres. La mise à jour se fait soit parce que t u
la lance manuellement, lorsque tu apprends qu'il y a une amélioration d u
paquet par exemple, soit pour raison de sécurité, s'il y en a une. Tu
n'es pas obligé de faire la mise à jour, bien entendu. Mais s'il y a une
raison de sécurité, il vaut mieux la faire en enlevant l'attribut du
fichier /etc/resolv.conf puis en le repositionant par la suite.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org

------=_Part_134930_16371593.1227521479922
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

bonjour, <br>j&#39;avais aussi le meme probleme avec resolv.conf. <br>j&#39 ;ai donc installé resolvconf et modifé /etc/resolvconf/resolv.conf.d/he ad : <br># START head : /etc/resolvconf/resolv.conf.d/head<br># Dynamic res olv.conf(5) file for glibc resolver(3) generated by resolvconf(8)<br>
#&nbsp;&nbsp;&nbsp;&nbsp; DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WIL L BE OVERWRITTEN<br><br># OpenDNS<br>nameserver <a href="http://81.253.14 9.1">81.253.149.1</a><br>nameserver <a href="http://80.10.246.3">80.10.24 6.3</a><br><br>domain <a href="http://aslantz.com">aslantz.com</a><br>

search <a href="http://aslantz.com">aslantz.com</a><br># END&nbsp;&nbsp; head : /etc/resolvconf/resolv.conf.d/head<br>j&#39;ai configuré le partag e internet dans iptables-start.<br><br>Sur mon client debian, je dois confi gurer les DNS orange dans resolv.conf. Non ? <br>
Car pour le moment, je n&#39;arrive pas à avoir le partage internet sur m on poste client debian. <br>Voici mon fichier /etc/hosts : <br>serv1:/etc# cat hosts<br><a href="http://127.0.0.1">127.0.0.1</a>&nbsp;&nbsp;&nbsp; l ocalhost<br><a href="http://192.168.10.1">192.168.10.1</a>&nbsp;&nbsp;&nb sp; <a href="http://serv1.aslantz.com">serv1.aslantz.com</a>&nbsp;&nbsp;& nbsp; serv1<br>
<a href="http://192.168.10.2">192.168.10.2</a>&nbsp;&nbsp;&nbsp; <a href ="http://pc1.aslantz.com">pc1.aslantz.com</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbs p;&nbsp;&nbsp;&nbsp; pc1<br><a href="http://192.168.10.3">192.168.10.3</a >&nbsp;&nbsp;&nbsp; <a href="http://pc2.aslantz.com">pc2.aslantz.com</a>& nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pc2<br>
<br># The following lines are desirable for IPv6 capable hosts<br>::1&nbsp; &nbsp;&nbsp;&nbsp; localhost ip6-localhost ip6-loopback<br>fe00::0 ip6-loca lnet<br>ff00::0 ip6-mcastprefix<br>ff02::1 ip6-allnodes<br>ff02::2 ip6-allr outers<br>ff02::3 ip6-allhosts<br>
et mon fichier /etc/network/interfaces : <br>serv1:/etc# cat /etc/network/i nterfaces<br># This file describes the network interfaces available on your system<br># and how to activate them. For more information, see interfaces (5).<br>
<br># L&#39;interface &quot;loopback&quot;<br>auto lo<br>iface lo inet loop back<br><br># L&#39;interface &quot;eth0&quot; connectée à Internet (co nfiguration par DHCP)<br>auto eth0<br>iface eth0 inet dhcp<br><br># L&#39;i nterface &quot;eth1&quot; connectée au réseau local (IP privée fixe)< br>
auto eth1<br>iface eth1 inet static<br>&nbsp;&nbsp;&nbsp; address <a href ="http://192.168.10.1">192.168.10.1</a><br>&nbsp;&nbsp;&nbsp; netmask <a href="http://255.255.255.0">255.255.255.0</a><br>&nbsp;&nbsp;&nbsp; broad cast <a href="http://192.168.10.255">192.168.10.255</a><br>
<br>Merci de votre aide<br>Amicalement <br>Anne sophie <br><br><br><div cla ss="gmail_quote">Le 30 septembre 2008 15:34, robert caterina <span dir= "ltr">&lt;<a href="mailto:robert.caterina@scarlet.be">robert.caterina@sca rlet.be</a>&gt;</span> a écrit :<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">re-bonjour,<br>
&nbsp; &nbsp; &nbsp; &nbsp; NetworkManager est un programme de gestion de connexion au<br>
réseau. Son but est d&#39;établir et de maintenir une connexion au ré seau de<br>
toutes les manières possibles. Tu l&#39;utilise ou non; c&#39;est selon l es<br>
goûts... Lorsque tu lance une mise à jour de ta distribution (aptitude< br>
update ou apt-get update) il se peut que des paquets intervenant d&#39;une< br>
manière ou d&#39;une autre sur /etc/resolv.conf soient dans la liste<br>
proposée. La mise à jour des paquets en question ne se fera dès lors pas<br>
(une erreur sera affichée). NetworkManager est un de ces paquets, mais<br >
il y en a peut être d&#39;autres. La mise à jour se fait soit parce que tu<br>
la lance manuellement, lorsque tu apprends qu&#39;il y a une amélioration du<br>
paquet par exemple, soit pour raison de sécurité, s&#39;il y en a une. Tu<br>
n&#39;es pas obligé de faire la mise à jour, bien entendu. Mais s&#39;i l y a une<br>
raison de sécurité, il vaut mieux la faire en enlevant l&#39;attribut d u<br>
fichier /etc/resolv.conf puis en le repositionant par la suite.<br>
<div><div></div><div class="Wj3C7c"><br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/DebFrFrenchLists" target="_blank">http: //wiki.debian.org/DebFrFrenchLists</a><br>
Vous pouvez aussi ajouter le mot ``spam&#39;&#39; dans vos champs &quot;Fro m&quot; et<br>
&quot;Reply-To:&quot;<br>
<br>
To UNSUBSCRIBE, email to <a href="mailto:debian-user-french-REQUEST@lists .debian.org">debian-user-french-REQUEST@lists.debian.org</a><br>
with a subject of &quot;unsubscribe&quot;. Trouble? Contact <a href="mail to:listmaster@lists.debian.org">listmaster@lists.debian.org</a><br>
<br>
</div></div></blockquote></div><br>

------=_Part_134930_16371593.1227521479922--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonjour,


Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...

nameserver 81.253.149.1
nameserver 80.10.246.3

Je mets les ip des serveurs de nom dans le fichier interfaces. Mais pas
sur les clients, car ceux ci en dhcp obtiennent le dns du serveur. On
utilise « dns-nameservers » dans le fichier dans la partie de
description de l'interface

Car pour le moment, je n'arrive pas avoir le partage internet sur mon poste
client debian.
Voici mon fichier /etc/hosts :
serv1:/etc# cat hosts
127.0.0.1 localhost
192.168.10.1 serv1.aslantz.com serv1
192.168.10.2 pc1.aslantz.com pc1
192.168.10.3 pc2.aslantz.com pc2

Est ce celui du client, ou du serveur ?

et mon fichier /etc/network/interfaces :
serv1:/etc# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# L'interface "loopback"
auto lo
iface lo inet loopback

# L'interface "eth0" connect e Internet (configuration par DHCP)
auto eth0
iface eth0 inet dhcp

# L'interface "eth1" connect e au r seau local (IP priv e fixe)
auto eth1
iface eth1 inet static
address 192.168.10.1
netmask 255.255.255.0
broadcast 192.168.10.255

Même question. Pourtant, l'adresse semble être celle du serveur, serv1 si
j'interprète bien. Il manque l'adresse du réseau avec
network 192.168.10.0

Peux tu accéder au net depuis le serveur ?

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

------=_Part_135447_11941832.1227524711858
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le 24 novembre 2008 11:52, Jean-Michel OLTRA <
jm.oltra.antispam@espinasse.net> a écrit :

Bonjour,


Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...


> nameserver 81.253.149.1
> nameserver 80.10.246.3

Je mets les ip des serveurs de nom dans le fichier interfaces. Mais pas
sur les clients, car ceux ci en dhcp obtiennent le dns du serveur. On
utilise « dns-nameservers » dans le fichier dans la partie de
description de l'interface

> Car pour le moment, je n'arrive pas avoir le partage internet sur mon
poste
> client debian.
> Voici mon fichier /etc/hosts :
> serv1:/etc# cat hosts
> 127.0.0.1 localhost
> 192.168.10.1 serv1.aslantz.com serv1
> 192.168.10.2 pc1.aslantz.com pc1
> 192.168.10.3 pc2.aslantz.com pc2

Est ce celui du client, ou du serveur ?

> et mon fichier /etc/network/interfaces :
> serv1:/etc# cat /etc/network/interfaces
> # This file describes the network interfaces available on your system
> # and how to activate them. For more information, see interfaces(5).

> # L'interface "loopback"
> auto lo
> iface lo inet loopback

> # L'interface "eth0" connect e Internet (configuration par DHCP)
> auto eth0
> iface eth0 inet dhcp

> # L'interface "eth1" connect e au r seau local (IP priv e fixe)
> auto eth1
> iface eth1 inet static
> address 192.168.10.1
> netmask 255.255.255.0
> broadcast 192.168.10.255

Même question. Pourtant, l'adresse semble être celle du serveur, serv 1 si
j'interprète bien. Il manque l'adresse du réseau avec
network 192.168.10.0

Je rajoute donc dans interfaces :
# L'interface "eth1" connectée au réseau local (IP privée fixe)
auto eth1
iface eth1 inet static
address 192.168.10.1
netmask 255.255.255.0
broadcast 192.168.10.255
network 192.168.10.0

Peux tu accéder au net depuis le serveur ?

Oui, je peux accéder au net depuis serv1. mais pas depuis les pc1 et pc2.
après avoir fait sur le serveur serv1 :
/etc/init.d/networking restart
toujours pas de connexion sur pc1 et pc2 au net.

Merci
Anne sophie

------=_Part_135447_11941832.1227524711858
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<br><br><div class="gmail_quote">Le 24 novembre 2008 11:52, Jean-Michel O LTRA <span dir="ltr">&lt;<a href="mailto:jm.oltra.antispam@espinasse.ne t">jm.oltra.antispam@espinasse.net</a>&gt;</span> a écrit :<br><blockquot e class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br>
&nbsp; &nbsp;Bonjour,<br>
<br>
<br>
Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...<br>
<div class="Ih2E3d"><br>
<br>
&gt; nameserver <a href="http://81.253.149.1" target="_blank">81.253.14 9.1</a><br>
&gt; nameserver <a href="http://80.10.246.3" target="_blank">80.10.246. 3</a><br>
<br>
</div>Je mets les ip des serveurs de nom dans le fichier interfaces. Mais p as<br>
sur les clients, car ceux ci en dhcp obtiennent le dns du serveur. On<br>
utilise « dns-nameservers » dans le fichier dans la partie de<br>
description de l&#39;interface<br>
<br>
&gt; Car pour le moment, je n&#39;arrive pas &nbsp; avoir le partage intern et sur mon poste<br>
<div class="Ih2E3d">&gt; client debian.<br>
&gt; Voici mon fichier /etc/hosts :<br>
&gt; serv1:/etc# cat hosts<br>
&gt; <a href="http://127.0.0.1" target="_blank">127.0.0.1</a> &nbsp; &n bsp;localhost<br>
&gt; <a href="http://192.168.10.1" target="_blank">192.168.10.1</a> &nb sp; &nbsp;<a href="http://serv1.aslantz.com" target="_blank">serv1.asla ntz.com</a> &nbsp; &nbsp;serv1<br>
&gt; <a href="http://192.168.10.2" target="_blank">192.168.10.2</a> &nb sp; &nbsp;<a href="http://pc1.aslantz.com" target="_blank">pc1.aslantz. com</a> &nbsp; &nbsp; &nbsp; &nbsp; pc1<br>
&gt; <a href="http://192.168.10.3" target="_blank">192.168.10.3</a> &nb sp; &nbsp;<a href="http://pc2.aslantz.com" target="_blank">pc2.aslantz. com</a> &nbsp; &nbsp; &nbsp; &nbsp; pc2<br>
<br>
</div>Est ce celui du client, ou du serveur ?<br>
<div class="Ih2E3d"><br>
&gt; et mon fichier /etc/network/interfaces :<br>
&gt; serv1:/etc# cat /etc/network/interfaces<br>
&gt; # This file describes the network interfaces available on your system< br>
&gt; # and how to activate them. For more information, see interfaces(5).<b r>
<br>
&gt; # L&#39;interface &quot;loopback&quot;<br>
&gt; auto lo<br>
&gt; iface lo inet loopback<br>
<br>
</div>&gt; # L&#39;interface &quot;eth0&quot; connect e &nbsp; Internet (co nfiguration par DHCP)<br>
<div class="Ih2E3d">&gt; auto eth0<br>
&gt; iface eth0 inet dhcp<br>
<br>
</div>&gt; # L&#39;interface &quot;eth1&quot; connect e au r seau local (IP priv e fixe)<br>
<div class="Ih2E3d">&gt; auto eth1<br>
&gt; iface eth1 inet static<br>
&gt; &nbsp; &nbsp; address <a href="http://192.168.10.1" target="_blank ">192.168.10.1</a><br>
&gt; &nbsp; &nbsp; netmask <a href="http://255.255.255.0" target="_blan k">255.255.255.0</a><br>
&gt; &nbsp; &nbsp; broadcast <a href="http://192.168.10.255" target="_b lank">192.168.10.255</a><br>
<br>
</div>Même question. Pourtant, l&#39;adresse semble être celle du serve ur, serv1 si<br>
j&#39;interprète bien. Il manque l&#39;adresse du réseau avec<br>
network <a href="http://192.168.10.0" target="_blank">192.168.10.0</a>< br>
</blockquote><div>Je rajoute donc dans interfaces :<br># L&#39;interface &q uot;eth1&quot; connectée au réseau local (IP privée fixe)<br>auto eth 1<br>iface eth1 inet static<br>&nbsp;&nbsp;&nbsp; address <a href="http:/ /192.168.10.1">192.168.10.1</a><br>
&nbsp;&nbsp;&nbsp; netmask <a href="http://255.255.255.0">255.255.255.0</ a><br>&nbsp;&nbsp;&nbsp; broadcast <a href="http://192.168.10.255">192.16 8.10.255</a><br>&nbsp;&nbsp;&nbsp; network <a href="http://192.168.10.0"> 192.168.10.0</a><br><br></div><blockquote class="gmail_quote" style="bo rder-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding -left: 1ex;">

Peux tu accéder au net depuis le serveur ?<br>
</blockquote></div>Oui, je peux accéder au net depuis serv1. mais pas dep uis les pc1 et pc2. <br>après avoir fait sur le serveur serv1 : <br>/etc/ init.d/networking restart <br>toujours pas de connexion sur pc1 et pc2 au n et. <br>
<br>Merci<br>Anne sophie <br>

------=_Part_135447_11941832.1227524711858--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonjour,


Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...

Peux tu acc der au net depuis le serveur ?

Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et pc2.
apr s avoir fait sur le serveur serv1 :
/etc/init.d/networking restart
toujours pas de connexion sur pc1 et pc2 au net.

Il faudrait les fichiers interfaces des pc clients. Etre également sûr
que le forwarding est activé sur le serveur (`iptables -L FORWARD`).

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

------=_Part_135956_21203664.1227527886632
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le 24 novembre 2008 12:29, Jean-Michel OLTRA <
jm.oltra.antispam@espinasse.net> a écrit :

Bonjour,


Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...


> Peux tu acc der au net depuis le serveur ?

> Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et pc 2.
> apr s avoir fait sur le serveur serv1 :
> /etc/init.d/networking restart
> toujours pas de connexion sur pc1 et pc2 au net.

Il faudrait les fichiers interfaces des pc clients. Etre également sû r
que le forwarding est activé sur le serveur (`iptables -L FORWARD`).

pc2 : /etc/network/interfaces :
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.10.3
netmask 255.255.255.0
broadcast 192.168.10.255
gateway 192.168.10.1

pc2 : cat /etc/resolv.conf :
domain aslantz.com
search aslantz.com
nameserver 192.168.10.1
nameserver 81.253.149.1
nameserver 80.10.246.3

serv1:~# iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp
flags:SYN,RST/SYN TCPMSS clamp to PMTU

------=_Part_135956_21203664.1227527886632
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<br><br><div class="gmail_quote">Le 24 novembre 2008 12:29, Jean-Michel O LTRA <span dir="ltr">&lt;<a href="mailto:jm.oltra.antispam@espinasse.ne t">jm.oltra.antispam@espinasse.net</a>&gt;</span> a écrit :<br><blockquot e class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="Ih2E3d"><br>
&nbsp; &nbsp;Bonjour,<br>
<br>
<br>
Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...<br>
<br>
<br>
</div>&gt; &nbsp; &nbsp; Peux tu acc der au net depuis le serveur ?<br>
<br>
&gt; Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et p c2.<br>
&gt; apr s avoir fait sur le serveur serv1 :<br>
<div class="Ih2E3d">&gt; /etc/init.d/networking restart<br>
&gt; toujours pas de connexion sur pc1 et pc2 au net.<br>
<br>
</div>Il faudrait les fichiers interfaces des pc clients. Etre également sûr<br>
que le forwarding est activé sur le serveur (`iptables -L FORWARD`).<br>
</blockquote></div><br>pc2 : /etc/network/interfaces : <br>auto lo<br>iface lo inet loopback<br><br>auto eth0<br>iface eth0 inet static<br>&nbsp;&nbsp ; address <a href="http://192.168.10.3">192.168.10.3</a><br>&nbsp;&nbsp; netmask <a href="http://255.255.255.0">255.255.255.0</a><br>
&nbsp;&nbsp; broadcast <a href="http://192.168.10.255">192.168.10.255</a> <br>&nbsp;&nbsp; gateway <a href="http://192.168.10.1">192.168.10.1</a><b r><br>pc2 : cat /etc/resolv.conf : <br>domain <a href="http://aslantz.com ">aslantz.com</a><br>search <a href="http://aslantz.com">aslantz.com</a>< br>
nameserver <a href="http://192.168.10.1">192.168.10.1</a><br>nameserver < a href="http://81.253.149.1">81.253.149.1</a><br>nameserver <a href="ht tp://80.10.246.3">80.10.246.3</a><br><br>serv1:~# iptables -L FORWARD<br>Ch ain FORWARD (policy ACCEPT)<br>
target&nbsp;&nbsp;&nbsp;&nbsp; prot opt source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp ;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destination&nbsp;&n bsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>TCPMSS&nbsp;&nbsp;&nbsp;&nbsp; tcp&nbsp; --&nbsp; anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp ;&nbsp;&nbsp;&nbsp;&nbsp; anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp ;&nbsp;&nbsp;&nbsp;&nbsp; tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU <br><b r>

------=_Part_135956_21203664.1227527886632--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

------=_Part_137340_22208321.1227533653949
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

désolé, j'ai copié 2 fois :).


Le 24 novembre 2008 14:31, Anne sophie Lantz <annesophielantz@gmail.com> a
écrit :

2008/11/24 Anne sophie Lantz <annesophielantz@gmail.com>

Le 24 novembre 2008 12:29, Jean-Michel OLTRA <
jm.oltra.antispam@espinasse.net> a écrit :

Bonjour,


Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...


> Peux tu acc der au net depuis le serveur ?

> Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et
pc2.
> apr s avoir fait sur le serveur serv1 :
> /etc/init.d/networking restart
> toujours pas de connexion sur pc1 et pc2 au net.

Il faudrait les fichiers interfaces des pc clients. Etre également s ûr
que le forwarding est activé sur le serveur (`iptables -L FORWARD`).

pc2 : /etc/network/interfaces :
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.10.3
netmask 255.255.255.0
broadcast 192.168.10.255
gateway 192.168.10.1

pc2 : cat /etc/resolv.conf :
domain aslantz.com
search aslantz.com
nameserver 192.168.10.1
nameserver 81.253.149.1
nameserver 80.10.246.3

serv1:~# iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp
flags:SYN,RST/SYN TCPMSS clamp to PMTU

je vous joins aussi mon fichier iptables-start :

#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start
# Script qui démarre les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://formation-debian.via.ecp.fr/

# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F


# DEBUT des "politiques par défaut"

# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP

# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT

# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT

# FIN des "politiques par défaut"


# DEBUT des règles de filtrage

# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT

# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT

# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT

# J'accepte les packets entrants relatifs à des connexions déjà é tablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur FTP évent uel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur SSH éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur de mail éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur de DNS év entuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur Web éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur CUPS éven tuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 631 -j ACCEPT
#iptables -A INPUT -p udp --dport 631 -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur Samba éve ntuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 139 -j ACCEPT
#iptables -A INPUT -p udp --dport 139 -j ACCEPT

# Décommentez la ligne suivante pour que des clients puissent se connec ter
# à l'ordinateur par XDMCP)
#iptables -A INPUT -p udp --dport 177 -j ACCEPT

# Décommentez la ligne suivante pour que l'odinateur puisse se connecte r
# par XDMCP à une machine distante)
#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur CVS éventuel
# soit joignable de l'extérieur via le mécanisme de "pserver"
# (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,
# seule la ligne concernant le serveur SSH doit être décommentée)
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT

# Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoL AN
# (ce sont des flux UDP entrants sur le port 1234)
#iptables -A INPUT -p udp --dport 1234 -j ACCEPT

# Décommentez la ligne suivante pour pouvoir reçevoir des annonces SA P
# (ce sont des annonces de session multicast)
#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT

# Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT

# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT

# FIN des règles de filtrage


# DEBUT des règles pour le partage de connexion (i.e. le NAT)

# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT" et remplaçez "eth0" par le nom de l'interface connect ée
# à Internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résum é,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
# suivante et remplaçez "eth0" par le nom de l'interface connectée à
# Internet.
#iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0
--clamp-mss-to-pmtu

# FIN des règles pour le partage de connexion (i.e. le NAT)


# DEBUT des règles de "port forwarding"

# Décommentez la ligne suivante pour que les requêtes TCP reçues su r
# le port 80 de l'interface eth0 soient forwardées à la machine dont
# l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête ser a
# forwardée au client)
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT
--to-destination 192.168.0.3:80

# FIN des règles de "port forwarding"
serv1:~# vi /etc/network/if-pre*/iptables*
serv1:~# cat /etc/network/if-pre*/iptables*
#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start
# Script qui démarre les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://formation-debian.via.ecp.fr/

# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F


# DEBUT des "politiques par défaut"

# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP

# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT

# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT

# FIN des "politiques par défaut"


# DEBUT des règles de filtrage

# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT

# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT

# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT

# J'accepte les packets entrants relatifs à des connexions déjà é tablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur FTP évent uel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur SSH éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur de mail éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur de DNS év entuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur Web éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur CUPS éven tuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 631 -j ACCEPT
#iptables -A INPUT -p udp --dport 631 -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur Samba éve ntuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 139 -j ACCEPT
#iptables -A INPUT -p udp --dport 139 -j ACCEPT

# Décommentez la ligne suivante pour que des clients puissent se connec ter
# à l'ordinateur par XDMCP)
#iptables -A INPUT -p udp --dport 177 -j ACCEPT

# Décommentez la ligne suivante pour que l'odinateur puisse se connecte r
# par XDMCP à une machine distante)
#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur CVS éventuel
# soit joignable de l'extérieur via le mécanisme de "pserver"
# (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,
# seule la ligne concernant le serveur SSH doit être décommentée)
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT

# Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoL AN
# (ce sont des flux UDP entrants sur le port 1234)
#iptables -A INPUT -p udp --dport 1234 -j ACCEPT

# Décommentez la ligne suivante pour pouvoir reçevoir des annonces SA P
# (ce sont des annonces de session multicast)
#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT

# Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT

# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT

# FIN des règles de filtrage


# DEBUT des règles pour le partage de connexion (i.e. le NAT)

# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT" et remplaçez "eth0" par le nom de l'interface connect ée
# à Internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résum é,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
# suivante et remplaçez "eth0" par le nom de l'interface connectée à
# Internet.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0
--clamp-mss-to-pmtu

# FIN des règles pour le partage de connexion (i.e. le NAT)


# DEBUT des règles de "port forwarding"

# Décommentez la ligne suivante pour que les requêtes TCP reçues su r
# le port 80 de l'interface eth0 soient forwardées à la machine dont
# l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête ser a
# forwardée au client)
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT
--to-destination 192.168.0.3:80

# FIN des règles de "port forwarding"

------=_Part_137340_22208321.1227533653949
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

désolé, j&#39;ai copié 2 fois :). <br><br><br><div class="gmail_quo te">Le 24 novembre 2008 14:31, Anne sophie Lantz <span dir="ltr">&lt;<a h ref="mailto:annesophielantz@gmail.com">annesophielantz@gmail.com</a>&gt;< /span> a écrit :<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><br><br><div clas s="gmail_quote">2008/11/24 Anne sophie Lantz <span dir="ltr">&lt;<a hre f="mailto:annesophielantz@gmail.com" target="_blank">annesophielantz@gm ail.com</a>&gt;</span><div>
<div></div><div class="Wj3C7c"><br><blockquote class="gmail_quote" styl e="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br><br><div class="gmail_quote">Le 24 novembre 2008 12:29, Jean-Michel O LTRA <span dir="ltr">&lt;<a href="mailto:jm.oltra.antispam@espinasse.ne t" target="_blank">jm.oltra.antispam@espinasse.net</a>&gt;</span> a écr it :<div>

<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(2 04, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div><br>
&nbsp; &nbsp;Bonjour,<br>
<br>
<br>
Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...<br>
<br>
<br>
</div>&gt; &nbsp; &nbsp; Peux tu acc der au net depuis le serveur ?<br>
<br>
&gt; Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et p c2.<br>
&gt; apr s avoir fait sur le serveur serv1 :<br>
<div>&gt; /etc/init.d/networking restart<br>
&gt; toujours pas de connexion sur pc1 et pc2 au net.<br>
<br>
</div>Il faudrait les fichiers interfaces des pc clients. Etre également sûr<br>
que le forwarding est activé sur le serveur (`iptables -L FORWARD`).<br>
</blockquote></div></div><br>pc2 : /etc/network/interfaces : <br><div>auto lo<br>iface lo inet loopback<br><br></div>auto eth0<br>iface eth0 inet stat ic<br>&nbsp;&nbsp; address <a href="http://192.168.10.3" target="_blank ">192.168.10.3</a><div>

<br>&nbsp;&nbsp; netmask <a href="http://255.255.255.0" target="_blank" >255.255.255.0</a><br>
&nbsp;&nbsp; broadcast <a href="http://192.168.10.255" target="_blank"> 192.168.10.255</a><br></div>&nbsp;&nbsp; gateway <a href="http://192.168. 10.1" target="_blank">192.168.10.1</a><br><br>pc2 : cat /etc/resolv.conf : <br><div>
domain <a href="http://aslantz.com" target="_blank">aslantz.com</a><br> search <a href="http://aslantz.com" target="_blank">aslantz.com</a><br> </div>
nameserver <a href="http://192.168.10.1" target="_blank">192.168.10.1</ a><div><br>nameserver <a href="http://81.253.149.1" target="_blank">81. 253.149.1</a><br>nameserver <a href="http://80.10.246.3" target="_blank ">80.10.246.3</a><br>

<br></div>serv1:~# iptables -L FORWARD<br>Chain FORWARD (policy ACCEPT)<br>
target&nbsp;&nbsp;&nbsp;&nbsp; prot opt source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp ;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destination&nbsp;&n bsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>TCPMSS&nbsp;&nbsp;&nbsp;&nbsp; tcp&nbsp; --&nbsp; anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp ;&nbsp;&nbsp;&nbsp;&nbsp; anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp ;&nbsp;&nbsp;&nbsp;&nbsp; tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU <br><b r>
</blockquote></div></div></div>je vous joins aussi mon fichier iptables-sta rt : <br>#!/bin/sh<br># /etc/network/if-pre-up.d/iptables-start<br># Script qui démarre les règles de filtrage &quot;iptables&quot;<br># Formation Debian GNU/Linux par Alexis de Lattre<br>

# <a href="http://formation-debian.via.ecp.fr/" target="_blank">http:// formation-debian.via.ecp.fr/</a><br><br># REMISE à ZERO des règles de f iltrage<br>iptables -F<br>iptables -t nat -F<br><br><br># DEBUT des &quot;p olitiques par défaut&quot;<br>

<br># Je veux que les connexions entrantes soient bloquées par défaut<b r>iptables -P INPUT DROP<br><br># Je veux que les connexions destinées à être forwardées<br># soient acceptées par défaut<br>iptables -P FORWARD ACCEPT<br>

<br># Je veux que les connexions sortantes soient acceptées par défaut< br>iptables -P OUTPUT ACCEPT<br><br># FIN des &quot;politiques par défaut &quot;<br><br><br># DEBUT des règles de filtrage<br><br># Pas de filtrage sur l&#39;interface de &quot;loopback&quot;<br>

iptables -A INPUT -i lo -j ACCEPT<br><br># J&#39;accepte le protocole ICMP (i.e. le &quot;ping&quot;)<br>iptables -A INPUT -p icmp -j ACCEPT<br><br># J&#39;accepte le protocole IGMP (pour le multicast)<br>iptables -A INPUT -p igmp -j ACCEPT<br>

<br># J&#39;accepte les packets entrants relatifs à des connexions déj à établies<br>iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br><br># Décommentez les deux lignes suivantes pour que le serveu r FTP éventuel<br>

# soit joignable de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 20 -j ACCEPT<br>#iptables -A INPUT -p tcp --dport 21 -j ACCEPT<br><br># D écommentez la ligne suivante pour que le serveur SSH éventuel<br># soit joignable de l&#39;extérieur<br>

#iptables -A INPUT -p tcp --dport 22 -j ACCEPT<br><br># Décommentez la li gne suivante pour que le serveur de mail éventuel<br># soit joignable de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 25 -j ACCEPT<br><br> # Décommentez les deux lignes suivantes pour que le serveur de DNS éven tuel<br>

# soit joignable de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 53 -j ACCEPT<br>#iptables -A INPUT -p udp --dport 53 -j ACCEPT<br><br># D écommentez la ligne suivante pour que le serveur Web éventuel<br># soit joignable de l&#39;extérieur<br>

#iptables -A INPUT -p tcp --dport 80 -j ACCEPT<br><br># Décommentez les d eux lignes suivantes pour que le serveur CUPS éventuel<br># soit joignabl e de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 631 -j ACCEPT<b r>

#iptables -A INPUT -p udp --dport 631 -j ACCEPT<br><br># Décommentez les deux lignes suivantes pour que le serveur Samba éventuel<br># soit joigna ble de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 139 -j ACCEPT <br>

#iptables -A INPUT -p udp --dport 139 -j ACCEPT<br><br># Décommentez la l igne suivante pour que des clients puissent se connecter<br># à l&#39;ord inateur par XDMCP)<br>#iptables -A INPUT -p udp --dport 177 -j ACCEPT<br><b r>

# Décommentez la ligne suivante pour que l&#39;odinateur puisse se connec ter<br># par XDMCP à une machine distante)<br>#iptables -A INPUT -p tcp - -dport 6001 -j ACCEPT<br><br># Décommentez la ligne suivante pour que le serveur CVS éventuel<br>

# soit joignable de l&#39;extérieur via le mécanisme de &quot;pserver&q uot;<br># (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,<br># seule la ligne concernant le serveur SSH doit être décomment ée)<br>

#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT<br><br># Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoLAN<br># (ce sont des flux UDP entrants sur le port 1234)<br>#iptables -A INPUT -p udp --dport 12 34 -j ACCEPT<br>

<br># Décommentez la ligne suivante pour pouvoir reçevoir des annonces SAP<br># (ce sont des annonces de session multicast)<br>#iptables -A INPUT -p udp -d <a href="http://224.2.127.254" target="_blank">224.2.127.254< /a> --dport 9875 -j ACCEPT<br>

<br># Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeti ng<br>#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT<br>#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT<br>#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT<br>

<br># La règle par défaut pour la chaine INPUT devient &quot;REJECT&quo t;<br># (il n&#39;est pas possible de mettre REJECT comme politique par d éfaut)<br>iptables -A INPUT -j REJECT<br><br># FIN des règles de filtra ge<br>

<br><br># DEBUT des règles pour le partage de connexion (i.e. le NAT)<br> <br># Décommentez la ligne suivante pour que le système fasse office de <br># &quot;serveur NAT&quot; et remplaçez &quot;eth0&quot; par le nom de l&#39;interface connectée<br>

# à Internet<br>iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE<br>< br># Si la connexion que vous partagez est une connexion ADSL, vous<br># se rez probablement confronté au fameux problème du MTU. En résumé,<br ># le problème vient du fait que le MTU de la liaison entre votre<br>

# fournisseur d&#39;accès et le serveur NAT est un petit peu inférieur au<br># MTU de la liaison Ethernet qui relie le serveur NAT aux machines qu i<br># sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne<br>

# suivante et remplaçez &quot;eth0&quot; par le nom de l&#39;interface co nnectée à<br># Internet.<br>#iptables -A FORWARD -p tcp --tcp-flags SYN ,RST SYN -j TCPMSS -o eth0 --clamp-mss-to-pmtu<br><br># FIN des règles po ur le partage de connexion (i.e. le NAT)<br>

<br><br># DEBUT des règles de &quot;port forwarding&quot;<br><br># Déco mmentez la ligne suivante pour que les requêtes TCP reçues sur<br># le port 80 de l&#39;interface eth0 soient forwardées à la machine dont<br> # l&#39;IP est <a href="http://192.168.0.3" target="_blank">192.168.0.3 </a> sur son port 80 (la réponse à la requête sera<br>

# forwardée au client)<br>#iptables -t nat -A PREROUTING -i eth0 -p tcp - -dport 80 -j DNAT --to-destination <a href="http://192.168.0.3:80" target ="_blank">192.168.0.3:80</a><br><br># FIN des règles de &quot;port forw arding&quot;<br>
serv1:~# vi /etc/network/if-pre*/iptables*<br>
serv1:~# cat /etc/network/if-pre*/iptables*<br>#!/bin/sh<br># /etc/network/ if-pre-up.d/iptables-start<br># Script qui démarre les règles de filtra ge &quot;iptables&quot;<br># Formation Debian GNU/Linux par Alexis de Lattr e<br>

# <a href="http://formation-debian.via.ecp.fr/" target="_blank">http:// formation-debian.via.ecp.fr/</a><br><br># REMISE à ZERO des règles de f iltrage<br>iptables -F<br>iptables -t nat -F<br><br><br># DEBUT des &quot;p olitiques par défaut&quot;<br>

<br># Je veux que les connexions entrantes soient bloquées par défaut<b r>iptables -P INPUT DROP<br><br># Je veux que les connexions destinées à être forwardées<br># soient acceptées par défaut<br>iptables -P FORWARD ACCEPT<br>

<br># Je veux que les connexions sortantes soient acceptées par défaut< br>iptables -P OUTPUT ACCEPT<br><br># FIN des &quot;politiques par défaut &quot;<br><br><br># DEBUT des règles de filtrage<br><br># Pas de filtrage sur l&#39;interface de &quot;loopback&quot;<br>

iptables -A INPUT -i lo -j ACCEPT<br><br># J&#39;accepte le protocole ICMP (i.e. le &quot;ping&quot;)<br>iptables -A INPUT -p icmp -j ACCEPT<br><br># J&#39;accepte le protocole IGMP (pour le multicast)<br>iptables -A INPUT -p igmp -j ACCEPT<br>

<br># J&#39;accepte les packets entrants relatifs à des connexions déj à établies<br>iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br><br># Décommentez les deux lignes suivantes pour que le serveu r FTP éventuel<br>

# soit joignable de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 20 -j ACCEPT<br>#iptables -A INPUT -p tcp --dport 21 -j ACCEPT<br><br># D écommentez la ligne suivante pour que le serveur SSH éventuel<br># soit joignable de l&#39;extérieur<br>

#iptables -A INPUT -p tcp --dport 22 -j ACCEPT<br><br># Décommentez la li gne suivante pour que le serveur de mail éventuel<br># soit joignable de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 25 -j ACCEPT<br><br> # Décommentez les deux lignes suivantes pour que le serveur de DNS éven tuel<br>

# soit joignable de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 53 -j ACCEPT<br>#iptables -A INPUT -p udp --dport 53 -j ACCEPT<br><br># D écommentez la ligne suivante pour que le serveur Web éventuel<br># soit joignable de l&#39;extérieur<br>

#iptables -A INPUT -p tcp --dport 80 -j ACCEPT<br><br># Décommentez les d eux lignes suivantes pour que le serveur CUPS éventuel<br># soit joignabl e de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 631 -j ACCEPT<b r>

#iptables -A INPUT -p udp --dport 631 -j ACCEPT<br><br># Décommentez les deux lignes suivantes pour que le serveur Samba éventuel<br># soit joigna ble de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 139 -j ACCEPT <br>

#iptables -A INPUT -p udp --dport 139 -j ACCEPT<br><br># Décommentez la l igne suivante pour que des clients puissent se connecter<br># à l&#39;ord inateur par XDMCP)<br>#iptables -A INPUT -p udp --dport 177 -j ACCEPT<br><b r>

# Décommentez la ligne suivante pour que l&#39;odinateur puisse se connec ter<br># par XDMCP à une machine distante)<br>#iptables -A INPUT -p tcp - -dport 6001 -j ACCEPT<br><br># Décommentez la ligne suivante pour que le serveur CVS éventuel<br>

# soit joignable de l&#39;extérieur via le mécanisme de &quot;pserver&q uot;<br># (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,<br># seule la ligne concernant le serveur SSH doit être décomment ée)<br>

#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT<br><br># Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoLAN<br># (ce sont des flux UDP entrants sur le port 1234)<br>#iptables -A INPUT -p udp --dport 12 34 -j ACCEPT<br>

<br># Décommentez la ligne suivante pour pouvoir reçevoir des annonces SAP<br># (ce sont des annonces de session multicast)<br>#iptables -A INPUT -p udp -d <a href="http://224.2.127.254" target="_blank">224.2.127.254< /a> --dport 9875 -j ACCEPT<br>

<br># Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeti ng<br>#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT<br>#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT<br>#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT<br>

<br># La règle par défaut pour la chaine INPUT devient &quot;REJECT&quo t;<br># (il n&#39;est pas possible de mettre REJECT comme politique par d éfaut)<br>iptables -A INPUT -j REJECT<br><br># FIN des règles de filtra ge<br>

<br><br># DEBUT des règles pour le partage de connexion (i.e. le NAT)<br> <br># Décommentez la ligne suivante pour que le système fasse office de <br># &quot;serveur NAT&quot; et remplaçez &quot;eth0&quot; par le nom de l&#39;interface connectée<br>

# à Internet<br>iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE<br>< br># Si la connexion que vous partagez est une connexion ADSL, vous<br># se rez probablement confronté au fameux problème du MTU. En résumé,<br ># le problème vient du fait que le MTU de la liaison entre votre<br>

# fournisseur d&#39;accès et le serveur NAT est un petit peu inférieur au<br># MTU de la liaison Ethernet qui relie le serveur NAT aux machines qu i<br># sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne<br>

# suivante et remplaçez &quot;eth0&quot; par le nom de l&#39;interface co nnectée à<br># Internet.<br>iptables -A FORWARD -p tcp --tcp-flags SYN, RST SYN -j TCPMSS -o eth0 --clamp-mss-to-pmtu<br><br># FIN des règles pou r le partage de connexion (i.e. le NAT)<br>

<br><br># DEBUT des règles de &quot;port forwarding&quot;<br><br># Déco mmentez la ligne suivante pour que les requêtes TCP reçues sur<br># le port 80 de l&#39;interface eth0 soient forwardées à la machine dont<br> # l&#39;IP est <a href="http://192.168.0.3" target="_blank">192.168.0.3 </a> sur son port 80 (la réponse à la requête sera<br>

# forwardée au client)<br>#iptables -t nat -A PREROUTING -i eth0 -p tcp - -dport 80 -j DNAT --to-destination <a href="http://192.168.0.3:80" target ="_blank">192.168.0.3:80</a><br><br># FIN des règles de &quot;port forw arding&quot;<br>
<br>
</blockquote></div><br>

------=_Part_137340_22208321.1227533653949--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

------=_Part_137284_30618357.1227533501405
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

2008/11/24 Anne sophie Lantz <annesophielantz@gmail.com>

Le 24 novembre 2008 12:29, Jean-Michel OLTRA <
jm.oltra.antispam@espinasse.net> a écrit :

Bonjour,


Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...


> Peux tu acc der au net depuis le serveur ?

> Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et
pc2.
> apr s avoir fait sur le serveur serv1 :
> /etc/init.d/networking restart
> toujours pas de connexion sur pc1 et pc2 au net.

Il faudrait les fichiers interfaces des pc clients. Etre également s ûr
que le forwarding est activé sur le serveur (`iptables -L FORWARD`).

pc2 : /etc/network/interfaces :
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.10.3
netmask 255.255.255.0
broadcast 192.168.10.255
gateway 192.168.10.1

pc2 : cat /etc/resolv.conf :
domain aslantz.com
search aslantz.com
nameserver 192.168.10.1
nameserver 81.253.149.1
nameserver 80.10.246.3

serv1:~# iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp
flags:SYN,RST/SYN TCPMSS clamp to PMTU

je vous joins aussi mon fichier iptables-start :

#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start
# Script qui démarre les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://formation-debian.via.ecp.fr/

# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F


# DEBUT des "politiques par défaut"

# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP

# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT

# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT

# FIN des "politiques par défaut"


# DEBUT des règles de filtrage

# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT

# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT

# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT

# J'accepte les packets entrants relatifs à des connexions déjà éta blies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur FTP éventue l
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur SSH éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur de mail éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur de DNS éven tuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur Web éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur CUPS éventu el
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 631 -j ACCEPT
#iptables -A INPUT -p udp --dport 631 -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur Samba évent uel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 139 -j ACCEPT
#iptables -A INPUT -p udp --dport 139 -j ACCEPT

# Décommentez la ligne suivante pour que des clients puissent se connecte r
# à l'ordinateur par XDMCP)
#iptables -A INPUT -p udp --dport 177 -j ACCEPT

# Décommentez la ligne suivante pour que l'odinateur puisse se connecter
# par XDMCP à une machine distante)
#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur CVS éventuel
# soit joignable de l'extérieur via le mécanisme de "pserver"
# (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,
# seule la ligne concernant le serveur SSH doit être décommentée)
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT

# Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoLAN
# (ce sont des flux UDP entrants sur le port 1234)
#iptables -A INPUT -p udp --dport 1234 -j ACCEPT

# Décommentez la ligne suivante pour pouvoir reçevoir des annonces SAP
# (ce sont des annonces de session multicast)
#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT

# Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT

# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT

# FIN des règles de filtrage


# DEBUT des règles pour le partage de connexion (i.e. le NAT)

# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT" et remplaçez "eth0" par le nom de l'interface connectée
# à Internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résumé ,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la l igne
# suivante et remplaçez "eth0" par le nom de l'interface connectée à
# Internet.
#iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0
--clamp-mss-to-pmtu

# FIN des règles pour le partage de connexion (i.e. le NAT)


# DEBUT des règles de "port forwarding"

# Décommentez la ligne suivante pour que les requêtes TCP reçues sur
# le port 80 de l'interface eth0 soient forwardées à la machine dont
# l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête sera
# forwardée au client)
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT
--to-destination 192.168.0.3:80

# FIN des règles de "port forwarding"
serv1:~# vi /etc/network/if-pre*/iptables*
serv1:~# cat /etc/network/if-pre*/iptables*
#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start
# Script qui démarre les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://formation-debian.via.ecp.fr/

# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F


# DEBUT des "politiques par défaut"

# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP

# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT

# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT

# FIN des "politiques par défaut"


# DEBUT des règles de filtrage

# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT

# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT

# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT

# J'accepte les packets entrants relatifs à des connexions déjà éta blies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur FTP éventue l
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur SSH éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur de mail éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur de DNS éven tuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur Web éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur CUPS éventu el
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 631 -j ACCEPT
#iptables -A INPUT -p udp --dport 631 -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur Samba évent uel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 139 -j ACCEPT
#iptables -A INPUT -p udp --dport 139 -j ACCEPT

# Décommentez la ligne suivante pour que des clients puissent se connecte r
# à l'ordinateur par XDMCP)
#iptables -A INPUT -p udp --dport 177 -j ACCEPT

# Décommentez la ligne suivante pour que l'odinateur puisse se connecter
# par XDMCP à une machine distante)
#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur CVS éventuel
# soit joignable de l'extérieur via le mécanisme de "pserver"
# (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,
# seule la ligne concernant le serveur SSH doit être décommentée)
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT

# Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoLAN
# (ce sont des flux UDP entrants sur le port 1234)
#iptables -A INPUT -p udp --dport 1234 -j ACCEPT

# Décommentez la ligne suivante pour pouvoir reçevoir des annonces SAP
# (ce sont des annonces de session multicast)
#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT

# Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT

# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT

# FIN des règles de filtrage


# DEBUT des règles pour le partage de connexion (i.e. le NAT)

# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT" et remplaçez "eth0" par le nom de l'interface connectée
# à Internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résumé ,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la l igne
# suivante et remplaçez "eth0" par le nom de l'interface connectée à
# Internet.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0
--clamp-mss-to-pmtu

# FIN des règles pour le partage de connexion (i.e. le NAT)


# DEBUT des règles de "port forwarding"

# Décommentez la ligne suivante pour que les requêtes TCP reçues sur
# le port 80 de l'interface eth0 soient forwardées à la machine dont
# l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête sera
# forwardée au client)
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT
--to-destination 192.168.0.3:80

# FIN des règles de "port forwarding"

------=_Part_137284_30618357.1227533501405
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<br><br><div class="gmail_quote">2008/11/24 Anne sophie Lantz <span dir ="ltr">&lt;<a href="mailto:annesophielantz@gmail.com">annesophielantz@g mail.com</a>&gt;</span><br><blockquote class="gmail_quote" style="borde r-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-le ft: 1ex;">
<br><br><div class="gmail_quote">Le 24 novembre 2008 12:29, Jean-Michel O LTRA <span dir="ltr">&lt;<a href="mailto:jm.oltra.antispam@espinasse.ne t" target="_blank">jm.oltra.antispam@espinasse.net</a>&gt;</span> a écr it :<div class="Ih2E3d">
<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(2 04, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div><br>
&nbsp; &nbsp;Bonjour,<br>
<br>
<br>
Le lundi 24 novembre 2008, Anne sophie Lantz a écrit...<br>
<br>
<br>
</div>&gt; &nbsp; &nbsp; Peux tu acc der au net depuis le serveur ?<br>
<br>
&gt; Oui, je peux acc der au net depuis serv1. mais pas depuis les pc1 et p c2.<br>
&gt; apr s avoir fait sur le serveur serv1 :<br>
<div>&gt; /etc/init.d/networking restart<br>
&gt; toujours pas de connexion sur pc1 et pc2 au net.<br>
<br>
</div>Il faudrait les fichiers interfaces des pc clients. Etre également sûr<br>
que le forwarding est activé sur le serveur (`iptables -L FORWARD`).<br>
</blockquote></div></div><br>pc2 : /etc/network/interfaces : <br><div class ="Ih2E3d">auto lo<br>iface lo inet loopback<br><br></div>auto eth0<br>ifa ce eth0 inet static<br>&nbsp;&nbsp; address <a href="http://192.168.10.3" target="_blank">192.168.10.3</a><div class="Ih2E3d">
<br>&nbsp;&nbsp; netmask <a href="http://255.255.255.0" target="_blank" >255.255.255.0</a><br>
&nbsp;&nbsp; broadcast <a href="http://192.168.10.255" target="_blank"> 192.168.10.255</a><br></div>&nbsp;&nbsp; gateway <a href="http://192.168. 10.1" target="_blank">192.168.10.1</a><br><br>pc2 : cat /etc/resolv.conf : <br><div class="Ih2E3d">
domain <a href="http://aslantz.com" target="_blank">aslantz.com</a><br> search <a href="http://aslantz.com" target="_blank">aslantz.com</a><br> </div>
nameserver <a href="http://192.168.10.1" target="_blank">192.168.10.1</ a><div class="Ih2E3d"><br>nameserver <a href="http://81.253.149.1" targ et="_blank">81.253.149.1</a><br>nameserver <a href="http://80.10.246.3" target="_blank">80.10.246.3</a><br>
<br></div>serv1:~# iptables -L FORWARD<br>Chain FORWARD (policy ACCEPT)<br>
target&nbsp;&nbsp;&nbsp;&nbsp; prot opt source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp ;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destination&nbsp;&n bsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>TCPMSS&nbsp;&nbsp;&nbsp;&nbsp; tcp&nbsp; --&nbsp; anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp ;&nbsp;&nbsp;&nbsp;&nbsp; anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp ;&nbsp;&nbsp;&nbsp;&nbsp; tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU <br><b r>
</blockquote></div>je vous joins aussi mon fichier iptables-start : <br>#!/ bin/sh<br># /etc/network/if-pre-up.d/iptables-start<br># Script qui démar re les règles de filtrage &quot;iptables&quot;<br># Formation Debian GNU/ Linux par Alexis de Lattre<br>
# <a href="http://formation-debian.via.ecp.fr/">http://formation-debian.v ia.ecp.fr/</a><br><br># REMISE à ZERO des règles de filtrage<br>iptable s -F<br>iptables -t nat -F<br><br><br># DEBUT des &quot;politiques par dé faut&quot;<br>
<br># Je veux que les connexions entrantes soient bloquées par défaut<b r>iptables -P INPUT DROP<br><br># Je veux que les connexions destinées à être forwardées<br># soient acceptées par défaut<br>iptables -P FORWARD ACCEPT<br>
<br># Je veux que les connexions sortantes soient acceptées par défaut< br>iptables -P OUTPUT ACCEPT<br><br># FIN des &quot;politiques par défaut &quot;<br><br><br># DEBUT des règles de filtrage<br><br># Pas de filtrage sur l&#39;interface de &quot;loopback&quot;<br>
iptables -A INPUT -i lo -j ACCEPT<br><br># J&#39;accepte le protocole ICMP (i.e. le &quot;ping&quot;)<br>iptables -A INPUT -p icmp -j ACCEPT<br><br># J&#39;accepte le protocole IGMP (pour le multicast)<br>iptables -A INPUT -p igmp -j ACCEPT<br>
<br># J&#39;accepte les packets entrants relatifs à des connexions déj à établies<br>iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br><br># Décommentez les deux lignes suivantes pour que le serveu r FTP éventuel<br>
# soit joignable de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 20 -j ACCEPT<br>#iptables -A INPUT -p tcp --dport 21 -j ACCEPT<br><br># D écommentez la ligne suivante pour que le serveur SSH éventuel<br># soit joignable de l&#39;extérieur<br>
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT<br><br># Décommentez la li gne suivante pour que le serveur de mail éventuel<br># soit joignable de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 25 -j ACCEPT<br><br> # Décommentez les deux lignes suivantes pour que le serveur de DNS éven tuel<br>
# soit joignable de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 53 -j ACCEPT<br>#iptables -A INPUT -p udp --dport 53 -j ACCEPT<br><br># D écommentez la ligne suivante pour que le serveur Web éventuel<br># soit joignable de l&#39;extérieur<br>
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT<br><br># Décommentez les d eux lignes suivantes pour que le serveur CUPS éventuel<br># soit joignabl e de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 631 -j ACCEPT<b r>
#iptables -A INPUT -p udp --dport 631 -j ACCEPT<br><br># Décommentez les deux lignes suivantes pour que le serveur Samba éventuel<br># soit joigna ble de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 139 -j ACCEPT <br>
#iptables -A INPUT -p udp --dport 139 -j ACCEPT<br><br># Décommentez la l igne suivante pour que des clients puissent se connecter<br># à l&#39;ord inateur par XDMCP)<br>#iptables -A INPUT -p udp --dport 177 -j ACCEPT<br><b r>
# Décommentez la ligne suivante pour que l&#39;odinateur puisse se connec ter<br># par XDMCP à une machine distante)<br>#iptables -A INPUT -p tcp - -dport 6001 -j ACCEPT<br><br># Décommentez la ligne suivante pour que le serveur CVS éventuel<br>
# soit joignable de l&#39;extérieur via le mécanisme de &quot;pserver&q uot;<br># (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,<br># seule la ligne concernant le serveur SSH doit être décomment ée)<br>
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT<br><br># Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoLAN<br># (ce sont des flux UDP entrants sur le port 1234)<br>#iptables -A INPUT -p udp --dport 12 34 -j ACCEPT<br>
<br># Décommentez la ligne suivante pour pouvoir reçevoir des annonces SAP<br># (ce sont des annonces de session multicast)<br>#iptables -A INPUT -p udp -d <a href="http://224.2.127.254">224.2.127.254</a> --dport 9875 - j ACCEPT<br>
<br># Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeti ng<br>#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT<br>#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT<br>#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT<br>
<br># La règle par défaut pour la chaine INPUT devient &quot;REJECT&quo t;<br># (il n&#39;est pas possible de mettre REJECT comme politique par d éfaut)<br>iptables -A INPUT -j REJECT<br><br># FIN des règles de filtra ge<br>
<br><br># DEBUT des règles pour le partage de connexion (i.e. le NAT)<br> <br># Décommentez la ligne suivante pour que le système fasse office de <br># &quot;serveur NAT&quot; et remplaçez &quot;eth0&quot; par le nom de l&#39;interface connectée<br>
# à Internet<br>iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE<br>< br># Si la connexion que vous partagez est une connexion ADSL, vous<br># se rez probablement confronté au fameux problème du MTU. En résumé,<br ># le problème vient du fait que le MTU de la liaison entre votre<br>
# fournisseur d&#39;accès et le serveur NAT est un petit peu inférieur au<br># MTU de la liaison Ethernet qui relie le serveur NAT aux machines qu i<br># sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne<br>
# suivante et remplaçez &quot;eth0&quot; par le nom de l&#39;interface co nnectée à<br># Internet.<br>#iptables -A FORWARD -p tcp --tcp-flags SYN ,RST SYN -j TCPMSS -o eth0 --clamp-mss-to-pmtu<br><br># FIN des règles po ur le partage de connexion (i.e. le NAT)<br>
<br><br># DEBUT des règles de &quot;port forwarding&quot;<br><br># Déco mmentez la ligne suivante pour que les requêtes TCP reçues sur<br># le port 80 de l&#39;interface eth0 soient forwardées à la machine dont<br> # l&#39;IP est <a href="http://192.168.0.3">192.168.0.3</a> sur son port 80 (la réponse à la requête sera<br>
# forwardée au client)<br>#iptables -t nat -A PREROUTING -i eth0 -p tcp - -dport 80 -j DNAT --to-destination <a href="http://192.168.0.3:80">192.16 8.0.3:80</a><br><br># FIN des règles de &quot;port forwarding&quot;<br>se rv1:~# vi /etc/network/if-pre*/iptables*<br>
serv1:~# cat /etc/network/if-pre*/iptables*<br>#!/bin/sh<br># /etc/network/ if-pre-up.d/iptables-start<br># Script qui démarre les règles de filtra ge &quot;iptables&quot;<br># Formation Debian GNU/Linux par Alexis de Lattr e<br>
# <a href="http://formation-debian.via.ecp.fr/">http://formation-debian.v ia.ecp.fr/</a><br><br># REMISE à ZERO des règles de filtrage<br>iptable s -F<br>iptables -t nat -F<br><br><br># DEBUT des &quot;politiques par dé faut&quot;<br>
<br># Je veux que les connexions entrantes soient bloquées par défaut<b r>iptables -P INPUT DROP<br><br># Je veux que les connexions destinées à être forwardées<br># soient acceptées par défaut<br>iptables -P FORWARD ACCEPT<br>
<br># Je veux que les connexions sortantes soient acceptées par défaut< br>iptables -P OUTPUT ACCEPT<br><br># FIN des &quot;politiques par défaut &quot;<br><br><br># DEBUT des règles de filtrage<br><br># Pas de filtrage sur l&#39;interface de &quot;loopback&quot;<br>
iptables -A INPUT -i lo -j ACCEPT<br><br># J&#39;accepte le protocole ICMP (i.e. le &quot;ping&quot;)<br>iptables -A INPUT -p icmp -j ACCEPT<br><br># J&#39;accepte le protocole IGMP (pour le multicast)<br>iptables -A INPUT -p igmp -j ACCEPT<br>
<br># J&#39;accepte les packets entrants relatifs à des connexions déj à établies<br>iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br><br># Décommentez les deux lignes suivantes pour que le serveu r FTP éventuel<br>
# soit joignable de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 20 -j ACCEPT<br>#iptables -A INPUT -p tcp --dport 21 -j ACCEPT<br><br># D écommentez la ligne suivante pour que le serveur SSH éventuel<br># soit joignable de l&#39;extérieur<br>
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT<br><br># Décommentez la li gne suivante pour que le serveur de mail éventuel<br># soit joignable de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 25 -j ACCEPT<br><br> # Décommentez les deux lignes suivantes pour que le serveur de DNS éven tuel<br>
# soit joignable de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 53 -j ACCEPT<br>#iptables -A INPUT -p udp --dport 53 -j ACCEPT<br><br># D écommentez la ligne suivante pour que le serveur Web éventuel<br># soit joignable de l&#39;extérieur<br>
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT<br><br># Décommentez les d eux lignes suivantes pour que le serveur CUPS éventuel<br># soit joignabl e de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 631 -j ACCEPT<b r>
#iptables -A INPUT -p udp --dport 631 -j ACCEPT<br><br># Décommentez les deux lignes suivantes pour que le serveur Samba éventuel<br># soit joigna ble de l&#39;extérieur<br>#iptables -A INPUT -p tcp --dport 139 -j ACCEPT <br>
#iptables -A INPUT -p udp --dport 139 -j ACCEPT<br><br># Décommentez la l igne suivante pour que des clients puissent se connecter<br># à l&#39;ord inateur par XDMCP)<br>#iptables -A INPUT -p udp --dport 177 -j ACCEPT<br><b r>
# Décommentez la ligne suivante pour que l&#39;odinateur puisse se connec ter<br># par XDMCP à une machine distante)<br>#iptables -A INPUT -p tcp - -dport 6001 -j ACCEPT<br><br># Décommentez la ligne suivante pour que le serveur CVS éventuel<br>
# soit joignable de l&#39;extérieur via le mécanisme de &quot;pserver&q uot;<br># (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,<br># seule la ligne concernant le serveur SSH doit être décomment ée)<br>
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT<br><br># Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoLAN<br># (ce sont des flux UDP entrants sur le port 1234)<br>#iptables -A INPUT -p udp --dport 12 34 -j ACCEPT<br>
<br># Décommentez la ligne suivante pour pouvoir reçevoir des annonces SAP<br># (ce sont des annonces de session multicast)<br>#iptables -A INPUT -p udp -d <a href="http://224.2.127.254">224.2.127.254</a> --dport 9875 - j ACCEPT<br>
<br># Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeti ng<br>#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT<br>#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT<br>#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT<br>
<br># La règle par défaut pour la chaine INPUT devient &quot;REJECT&quo t;<br># (il n&#39;est pas possible de mettre REJECT comme politique par d éfaut)<br>iptables -A INPUT -j REJECT<br><br># FIN des règles de filtra ge<br>
<br><br># DEBUT des règles pour le partage de connexion (i.e. le NAT)<br> <br># Décommentez la ligne suivante pour que le système fasse office de <br># &quot;serveur NAT&quot; et remplaçez &quot;eth0&quot; par le nom de l&#39;interface connectée<br>
# à Internet<br>iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE<br>< br># Si la connexion que vous partagez est une connexion ADSL, vous<br># se rez probablement confronté au fameux problème du MTU. En résumé,<br ># le problème vient du fait que le MTU de la liaison entre votre<br>
# fournisseur d&#39;accès et le serveur NAT est un petit peu inférieur au<br># MTU de la liaison Ethernet qui relie le serveur NAT aux machines qu i<br># sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne<br>
# suivante et remplaçez &quot;eth0&quot; par le nom de l&#39;interface co nnectée à<br># Internet.<br>iptables -A FORWARD -p tcp --tcp-flags SYN, RST SYN -j TCPMSS -o eth0 --clamp-mss-to-pmtu<br><br># FIN des règles pou r le partage de connexion (i.e. le NAT)<br>
<br><br># DEBUT des règles de &quot;port forwarding&quot;<br><br># Déco mmentez la ligne suivante pour que les requêtes TCP reçues sur<br># le port 80 de l&#39;interface eth0 soient forwardées à la machine dont<br> # l&#39;IP est <a href="http://192.168.0.3">192.168.0.3</a> sur son port 80 (la réponse à la requête sera<br>
# forwardée au client)<br>#iptables -t nat -A PREROUTING -i eth0 -p tcp - -dport 80 -j DNAT --to-destination <a href="http://192.168.0.3:80">192.16 8.0.3:80</a><br><br># FIN des règles de &quot;port forwarding&quot;<br><b r>

------=_Part_137284_30618357.1227533501405--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Salut Anne-Sophie,

Le 24-11-2008, à 14:34:13 +0100, Anne sophie Lantz (annesophielantz@gmail.com) a écrit :

désolé, j'ai copié 2 fois :).

Pas grave, ce qui l'est plus c'est de remettre tout le message juste
pour nous dire ça. Ne laisse que ce qui est pertinent pour ton message,
le reste, vires-le.

Cordialement,
Steve

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org