envoi dcc impossible

Dans le message <news:420416ba$0$10461$8fcfb975@news.wanadoo.fr>,
*harry_koteur* tapota sur f.c.o.l.configuration :

Bonsoir

Bonsoir,

[problème DCC sur IRC]

Si quelqu'un sait laquelle,

Chargez les modules noyaux ip_conntrack_irc et ip_nat_irc. Ces modules
peuvent prendre comme paramètre le paramètre 'ports'. Ce paramètre 'ports'
définit la liste des ports des serveurs IRC sur lesquels vous seriez
susceptible de vous connecter. Exemple :

$ modprobe ip_conntrack_irc ports="6666,6667,6668,7000"
$ modprobe ip_nat_irc ports="6666,6667,6668,7000"

merci.

De rien.

--
TiChou

TiChou wrote:

Dans le message <news:420416ba$0$10461$8fcfb975@news.wanadoo.fr>,
*harry_koteur* tapota sur f.c.o.l.configuration :

Bonsoir

Bonsoir,

Bonjour

Merci pour la réponse

[problème DCC sur IRC]

Si quelqu'un sait laquelle,

Chargez les modules noyaux ip_conntrack_irc et ip_nat_irc. Ces modules
peuvent prendre comme paramètre le paramètre 'ports'. Ce paramètre 'ports'
définit la liste des ports des serveurs IRC sur lesquels vous seriez
susceptible de vous connecter. Exemple :

$ modprobe ip_conntrack_irc ports="6666,6667,6668,7000"
$ modprobe ip_nat_irc ports="6666,6667,6668,7000"

En fait je peux me connecter sur les serveurs, ces deux modules sont déjà

chargés. Le problème se pose uniquement lors d'envois de dcc, la réception
fonctionne. Comme je l'avais écris, ce probleme semble connu mais il y a
peu de réponses. j'ai besoin de transférer directement une plage de ports
d'une carte à l'autre, je n'y arrive pas... J'ai essayé d'ajouter ces ports
à ceux que vous avez indiqué mais rien ne change.

merci

merci.

De rien.

--
Corriger le "wanadou" pour répondre en privé.

Salut,

je ne parviens pas à envoyer par dcc avec irc depuis un pc client de mon
poste linux.

Qu'entends-tu par "client" ? Il y a un serveur IRC sur ton poste et un
client IRC sur le PC ?
Quelle est la topologie du réseau ? Y a-t-il du routage, du NAT ?

pourtant je peux en recevoir ou m'en envoyer à moi même.

C'est-à-dire ?

j'ai bien cherché, le probleme a l'air fréquent. visiblement ce qu'il faut
c'est fwd d'une carte réseau à l'autre mais je n'y arrive pas. ce que je
dois faire c'est transférer les ports 45000 à 45019 tcp de eth0 (ppp0) à
eth1.

Faudrait savoir, c'est eth0 ou ppp0 ?

le client est paramétré,

Paramétré comment ?

le firewall aussi.

Le firewall de quelle machine ? Paramétré comment ?

il doit y avoir une manipulation qui m'échappe.

Moi c'est ton cas d'utilisation qui m'échappe ;-) . Un peu plus de
détails stp.

Pascal@plouf wrote:

Salut,

Salut

je ne parviens pas à envoyer par dcc avec irc depuis un pc client de mon
poste linux.

Qu'entends-tu par "client" ? Il y a un serveur IRC sur ton poste et un
client IRC sur le PC ?
Non, le pc 'client' est censé gérer les transferts venant d'irc, d'un

serveur public.

Quelle est la topologie du réseau ? Y a-t-il du routage, du NAT ?
Je pense que le probleme se trouve là.

pourtant je peux en recevoir ou m'en envoyer à moi même.

C'est-à-dire ?
En local ça fonctionne.

j'ai bien cherché, le probleme a l'air fréquent. visiblement ce qu'il
faut c'est fwd d'une carte réseau à l'autre mais je n'y arrive pas. ce
que je dois faire c'est transférer les ports 45000 à 45019 tcp de eth0
(ppp0) à eth1.

Faudrait savoir, c'est eth0 ou ppp0 ?
eth0 = connexion internet

eth1 = connexion au pc xp
Je veux faire transiter de eth0 à eth1 les ports cités au dessus.

le client est paramétré,

Paramétré comment ?
Le pc xp communique parfaitement avec internet sauf dans le cas d'un envoi

dcc.

le firewall aussi.

Le firewall de quelle machine ? Paramétré comment ?
Le firewall linux, celui du pc qui officie comme passerelle.

il doit y avoir une manipulation qui m'échappe.

Moi c'est ton cas d'utilisation qui m'échappe ;-) . Un peu plus de
détails stp.
Donc:

Linux = passerelle
XP = client irc
eth0 = ADSL
eth1 = sortie vers XP
XP a accès à tout le web, seuls les transferts dcc envoyés ne fonctionnent
pas. Il faut autoriser les ports 45000 à 45019 à passer outre le firewall.
Mais comment? J'ai bien essayé via l'interface de shorewall, marche pas.
Même avec le firewall désactivé et
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Navré de ne pas être assez clair mais ca fait deux jours que je ne mange que
du firewall... Ca monte à la tête un peu :)


--
Corriger le "wanadou" pour répondre en privé.

Dans le message <news:420495e4$0$6627$8fcfb975@news.wanadoo.fr>,
*harry_koteur* tapota sur f.c.o.l.configuration :

En fait je peux me connecter sur les serveurs, ces deux modules sont déjà
chargés. Le problème se pose uniquement lors d'envois de dcc, la réception
fonctionne.

Déjà, il faut bien comprendre le fonctionnement du protocole DCC, ça aide au
diagnostique du problème et à sa résolution.

Quand on reçoit sur IRC un DCC d'un tiers, celui-ci se comporte comme un
serveur en ouvrant un port en écoute (générallement situé dans la plage
1024-5000 selon la configuration du client IRC du tiers) et attend que le
destinataire se connecte sur ce port pour procéder à l'échange des données
(fichier ou chat). Les informations sur l'adresse IP et le numéro de port
sur lequel le tiers écoute sont transmises au destinataire automatiquement
par le client IRC du tiers au client IRC du destinataire lors de l'envoie de
la requête DCC qui est en fait une simple requête CTCP.
Donc, en général, quand on a accès à Internet (derrière du NAT ou non) sans
filtrage en sortie, il n'y a aucun soucis pour recevoir un DCC.

Par contre, inversement quand on envoie sur IRC un DCC à un tiers, notre
client IRC se comporte à son tour comme un serveur qui va écouter sur un
port choisi aléatoirement par le client IRC dans une plage donnée
(1024-5000). Notre client attends alors que le tiers se connecte sur notre
client IRC pour le transfert des données. Seulement, si on a un firewall qui
filtre en entrée, celui-ci, s'il n'est pas configuré comme il faut,
interdira au tiers de se connecter sur notre client IRC. Et si notre client
IRC se situe derrière un NAT, la connexion avec le tiers risque de ne jamais
se faire si le NAT et le client IRC ne sont pas configures eux aussi comme
il faut. En effet, dans le cas du NAT et selon la configuration du client
IRC, celui-ci lors de l'envoie de la requête DCC va transmettre au client
tiers comme information son adresse IP interne/privée, laquelle bien sûr ne
sera pas accessible au client tiers.
C'est là alors qu'intervient les modules ip_conntrack_irc et ip_nat_irc.

Le module ip_conntrack_irc va surveiller le trafic IRC sur le port 6667 (ou
ceux définit par le paramètre ports="...") et, dès qu'il intercepte une
requête DCC, il marque alors les paquets de cette connexion DCC comme étant
RELATED. Il nous reste alors à autoriser au niveau du firewall les nouvelles
connexions à l'état RELATED.
Le module ip_nat_irc lui va agir sur toutes les requêtes DCC se faisant sur
les clients IRC se situant derrière le NAT en modifiant dans la requête CTCP
l'adresse IP privée en l'adresse IP publique.

Comme je l'avais écris, ce probleme semble connu

On ne peut pas parler réellement de problème. Oui, le fonctionnement du DCC
est connu et peut poser problème si on ne configure pas correctement le
client IRC et le firewall.

mais il y a peu de réponses.

Il n'y a pas 36 solutions, mais une seule :

- configurer correctement son client IRC (c'est généralement là que le
problème se situe), je vous renvoie à sa documentation qui abordera très
certainement tout ce qui concerne la configuration des DCC (adresse IP,
plage de ports),

- charger sur la passerelle les modules ip_conntrack_irc et ip_nat_irc avec
les bons paramètres ports,

- configurer le firewall sur la passerelle pour qu'il autorise de forwarder
les nouvelles connexions à l'état RELATED.

j'ai besoin de transférer directement une plage de ports d'une carte à
l'autre,

Vous n'avez pas besoin et ça n'est pas secure !

je n'y arrive pas...

En même temps vous nous dites pas ce que vous avez fait. Tenez d'ailleurs
comptes des remarques de Pascal, car il faut avouer que vous n'êtes pas très
clair ou pas suffisamment précis dans vos réponses.

--
TiChou

Dans le message <news:4204b6e7$0$2168$8fcfb975@news.wanadoo.fr>,
*harry_koteur* tapota sur f.c.o.l.configuration :

[...]

On va essayez d'aller plus vite que ça...
Donnez nous *toutes* les informations suivantes :

- Adresse et port du serveur IRC sur lequel vous vous connectez,
- version du client IRC que vous utilisez,
- la distribution Linux installée sur votre passerelle,
- le résultat des commandes suivantes en root sur votre passerelle :

$ iptables-save
$ lsmod
$ ifconfig

- le contenu de votre script iptables,
- les messages renvoyés par les clients IRC (le votre et celui des tiers)
lors des échecs des connexions DCC

--
TiChou

[...]

Et comme c'est un "probleme" connu (donc question frequente j'imagine), et
qu'il n'a pas trouvé de solutions, on va demander (enfin ... je demande)
a Harry_koteur de bien vouloir, quand il l'aura trouvé, trnansmettre la
solution ici-meme, que je puisse l'integrer a un site web.

L'ideal est qu'il nous transmette ici les informations que demande Tichou,
et les lignes du scripts iptables qu'il a utilisé avec les commentaires
qu'il faut et quelques explications. OK? C'est genial de partager les
connaissances :-)

A bientot Harry.
--
L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses
activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance)
Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)

TiChou wrote:

merci à vous

Dans le message <news:4204b6e7$0$2168$8fcfb975@news.wanadoo.fr>,
*harry_koteur* tapota sur f.c.o.l.configuration :

[...]

On va essayez d'aller plus vite que ça...
Donnez nous *toutes* les informations suivantes :

- Adresse et port du serveur IRC sur lequel vous vous connectez,
Undernet port 6667, connexion ok

- version du client IRC que vous utilisez,
mirc 6.16. Ce probleme est abordé dans la faq de mirc et celle de

masquerade, j'ai suivi les instructions données.

- la distribution Linux installée sur votre passerelle,
Mandrake 10.1

- le résultat des commandes suivantes en root sur votre passerelle :

$ iptables-save

Je crois que j'ai un peu mis le bazarre là dedans...

# Generated by iptables-save v1.2.9 on Sat Feb 5 15:02:05 2005
*mangle
:PREROUTING ACCEPT [18198:12101628]
:INPUT ACCEPT [17330:11830782]
:FORWARD ACCEPT [2695:409820]
:OUTPUT ACCEPT [10015:1496779]
:POSTROUTING ACCEPT [12833:1923997]
:outtos - [0:0]
:pretos - [0:0]
-A PREROUTING -j pretos
-A OUTPUT -j outtos
-A outtos -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10
-A outtos -p tcp -m tcp --sport 22 -j TOS --set-tos 0x10
-A outtos -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10
-A outtos -p tcp -m tcp --sport 21 -j TOS --set-tos 0x10
-A outtos -p tcp -m tcp --sport 20 -j TOS --set-tos 0x08
-A outtos -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08
-A pretos -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10
-A pretos -p tcp -m tcp --sport 22 -j TOS --set-tos 0x10
-A pretos -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10
-A pretos -p tcp -m tcp --sport 21 -j TOS --set-tos 0x10
-A pretos -p tcp -m tcp --sport 20 -j TOS --set-tos 0x08
-A pretos -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08
COMMIT
# Completed on Sat Feb 5 15:02:05 2005
# Generated by iptables-save v1.2.9 on Sat Feb 5 15:02:05 2005
*nat
:PREROUTING ACCEPT [4188:210716]
:POSTROUTING ACCEPT [761:53601]
:OUTPUT ACCEPT [798:55903]
:loc_dnat - [0:0]
:nat_in - [0:0]
:nat_out - [0:0]
:ppp_masq - [0:0]
-A PREROUTING -i eth0 -j loc_dnat
-A PREROUTING -i eth1 -j loc_dnat
-A PREROUTING -j nat_in
-A PREROUTING -p tcp -m tcp --dport 54000:54019 -j DNAT --to-destination
192.168.1.252
-A POSTROUTING -j nat_out
-A POSTROUTING -o ppp+ -j ppp_masq
-A OUTPUT -d 192.168.1.1 -j DNAT --to-destination 192.168.1.23
-A loc_dnat -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A loc_dnat -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A nat_in -d 192.168.1.1 -j DNAT --to-destination 192.168.1.23
-A nat_out -s 192.168.1.23 -j SNAT --to-source 192.168.1.1
-A ppp_masq -s 192.168.1.0/255.255.255.0 -j MASQUERADE
COMMIT
# Completed on Sat Feb 5 15:02:05 2005
# Generated by iptables-save v1.2.9 on Sat Feb 5 15:02:05 2005
*filter
:INPUT DROP [1:64]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:Drop - [0:0]
:DropDNSrep - [0:0]
:DropSMB - [0:0]
:DropUPnP - [0:0]
:Reject - [0:0]
:RejectAuth - [0:0]
:RejectSMB - [0:0]
:all2all - [0:0]
:dropBcast - [0:0]
:dropInvalid - [0:0]
:dropNotSyn - [0:0]
:dynamic - [0:0]
:eth0_fwd - [0:0]
:eth0_in - [0:0]
:eth1_fwd - [0:0]
:eth1_in - [0:0]
:fw2loc - [0:0]
:fw2net - [0:0]
:icmpdef - [0:0]
:loc2fw - [0:0]
:loc2net - [0:0]
:net2all - [0:0]
:net2fw - [0:0]
:ppp_fwd - [0:0]
:ppp_in - [0:0]
:reject - [0:0]
:shorewall - [0:0]
:smurfs - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p ! icmp -m state --state INVALID -j DROP
-A INPUT -i ppp+ -j ppp_in
-A INPUT -i eth0 -j eth0_in
-A INPUT -i eth1 -j eth1_in
-A INPUT -j Reject
-A INPUT -j LOG --log-prefix "Shorewall:INPUT:REJECT:" --log-level 6
-A INPUT -j reject
-A FORWARD -p ! icmp -m state --state INVALID -j DROP
-A FORWARD -i ppp+ -j ppp_fwd
-A FORWARD -i eth0 -j eth0_fwd
-A FORWARD -i eth1 -j eth1_fwd
-A FORWARD -j Reject
-A FORWARD -j LOG --log-prefix "Shorewall:FORWARD:REJECT:" --log-level 6
-A FORWARD -j reject
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p ! icmp -m state --state INVALID -j DROP
-A OUTPUT -o ppp+ -j fw2net
-A OUTPUT -o eth0 -j fw2loc
-A OUTPUT -o eth1 -j fw2loc
-A OUTPUT -j Reject
-A OUTPUT -j LOG --log-prefix "Shorewall:OUTPUT:REJECT:" --log-level 6
-A OUTPUT -j reject
-A Drop -j RejectAuth
-A Drop -j dropBcast
-A Drop -j dropInvalid
-A Drop -j DropSMB
-A Drop -j DropUPnP
-A Drop -j dropNotSyn
-A Drop -j DropDNSrep
-A DropDNSrep -p udp -m udp --sport 53 -j DROP
-A DropSMB -p udp -m udp --dport 135 -j DROP
-A DropSMB -p udp -m udp --dport 137:139 -j DROP
-A DropSMB -p udp -m udp --dport 445 -j DROP
-A DropSMB -p tcp -m tcp --dport 135 -j DROP
-A DropSMB -p tcp -m tcp --dport 139 -j DROP
-A DropSMB -p tcp -m tcp --dport 445 -j DROP
-A DropUPnP -p udp -m udp --dport 1900 -j DROP
-A Reject -j RejectAuth
-A Reject -j dropBcast
-A Reject -j dropInvalid
-A Reject -j RejectSMB
-A Reject -j DropUPnP
-A Reject -j dropNotSyn
-A Reject -j DropDNSrep
-A RejectAuth -p tcp -m tcp --dport 113 -j reject
-A RejectSMB -p udp -m udp --dport 135 -j reject
-A RejectSMB -p udp -m udp --dport 137:139 -j reject
-A RejectSMB -p udp -m udp --dport 445 -j reject
-A RejectSMB -p tcp -m tcp --dport 135 -j reject
-A RejectSMB -p tcp -m tcp --dport 139 -j reject
-A RejectSMB -p tcp -m tcp --dport 445 -j reject
-A all2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A all2all -j Reject
-A all2all -j LOG --log-prefix "Shorewall:all2all:REJECT:" --log-level 6
-A all2all -j reject
-A dropBcast -m pkttype --pkt-type broadcast -j DROP
-A dropBcast -m pkttype --pkt-type multicast -j DROP
-A dropInvalid -m state --state INVALID -j DROP
-A dropNotSyn -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -j DROP
-A eth0_fwd -m state --state INVALID,NEW -j dynamic
-A eth0_fwd -o ppp+ -j loc2net
-A eth0_fwd -o eth1 -j ACCEPT
-A eth0_in -m state --state INVALID,NEW -j dynamic
-A eth0_in -j loc2fw
-A eth1_fwd -m state --state INVALID,NEW -j dynamic
-A eth1_fwd -o ppp+ -j loc2net
-A eth1_fwd -o eth0 -j ACCEPT
-A eth1_in -m state --state INVALID,NEW -j dynamic
-A eth1_in -j loc2fw
-A fw2loc -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2loc -j ACCEPT
-A fw2net -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2net -p tcp -m tcp --dport 80 -j ACCEPT
-A fw2net -p tcp -m tcp --dport 80 -j ACCEPT
-A fw2net -j ACCEPT
-A loc2fw -m state --state RELATED,ESTABLISHED -j ACCEPT
-A loc2fw -p tcp -m tcp --dport 54000:54019 -j ACCEPT
-A loc2fw -p tcp -m tcp --dport 3128 -j ACCEPT
-A loc2fw -p tcp -m tcp --dport 3128 -j ACCEPT
-A loc2fw -j all2all
-A loc2net -m state --state RELATED,ESTABLISHED -j ACCEPT
-A loc2net -j ACCEPT
-A net2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A net2all -j Drop
-A net2all -j LOG --log-prefix "Shorewall:net2all:DROP:" --log-level 6
-A net2all -j DROP
-A net2fw -m state --state RELATED,ESTABLISHED -j ACCEPT
-A net2fw -p tcp -m tcp --dport 54000:54019 -j ACCEPT
-A net2fw -j net2all
-A ppp_fwd -m state --state INVALID,NEW -j dynamic
-A ppp_fwd -o eth0 -j net2all
-A ppp_fwd -o eth1 -j net2all
-A ppp_in -m state --state INVALID,NEW -j dynamic
-A ppp_in -j net2fw
-A reject -m pkttype --pkt-type broadcast -j DROP
-A reject -m pkttype --pkt-type multicast -j DROP
-A reject -s 192.168.1.255 -j DROP
-A reject -s 255.255.255.255 -j DROP
-A reject -s 224.0.0.0/240.0.0.0 -j DROP
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject -p icmp -j REJECT --reject-with icmp-host-unreachable
-A reject -j REJECT --reject-with icmp-host-prohibited
-A smurfs -s 192.168.1.255 -j LOG --log-prefix "Shorewall:smurfs:DROP:"
--log-level 6
-A smurfs -s 192.168.1.255 -j DROP
-A smurfs -s 255.255.255.255 -j LOG --log-prefix "Shorewall:smurfs:DROP:"
--log-level 6
-A smurfs -s 255.255.255.255 -j DROP
-A smurfs -s 224.0.0.0/240.0.0.0 -j LOG --log-prefix
"Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 224.0.0.0/240.0.0.0 -j DROP
COMMIT
# Completed on Sat Feb 5 15:02:05 2005

$ lsmod

Module Size Used by
ipt_MASQUERADE 2720 1
ipt_TOS 1856 12
ipt_REDIRECT 1632 2
ipt_REJECT 5536 4
ipt_pkttype 1248 4
ipt_LOG 5568 8
ipt_state 1408 17
ipt_multiport 1600 0
ipt_conntrack 2016 0
iptable_mangle 2080 1
ip_nat_irc 3376 0
ip_nat_tftp 2864 0
ip_nat_ftp 4048 0
iptable_nat 21164 6
ipt_MASQUERADE,ipt_REDIRECT,ip_nat_irc,ip_nat_tftp,ip_nat_ftp
ip_conntrack_irc 70256 1 ip_nat_irc
ip_conntrack_tftp 2896 0
ip_conntrack_ftp 71120 1 ip_nat_ftp
ip_conntrack 28616 11
ipt_MASQUERADE,ipt_REDIRECT,ipt_state,ipt_conntrack,ip_nat_irc,ip_nat_tftp,ip_nat_ftp,iptable_nat,ip_conntrack_irc,ip_conntrack_tftp,ip_conntrack_ftp
iptable_filter 2080 1
ip_tables 14624 12
ipt_MASQUERADE,ipt_TOS,ipt_REDIRECT,ipt_REJECT,ipt_pkttype,ipt_LOG,ipt_state,ipt_multiport,ipt_conntrack,iptable_mangle,iptable_nat,iptable_filter
n_hdlc 7972 0
md5 3584 1
ipv6 230916 10
snd-usb-audio 61312 0
snd-usb-lib 11136 1 snd-usb-audio
snd-seq-oss 31232 0
snd-seq-midi-event 6080 1 snd-seq-oss
snd-seq 47440 4 snd-seq-oss,snd-seq-midi-event
snd-pcm-oss 49480 0
snd-mixer-oss 17376 1 snd-pcm-oss
snd-via82xx 22372 0
snd-ac97-codec 69392 1 snd-via82xx
snd-pcm 81800 3 snd-usb-audio,snd-pcm-oss,snd-via82xx
snd-timer 20356 2 snd-seq,snd-pcm
snd-page-alloc 7400 2 snd-via82xx,snd-pcm
gameport 3328 1 snd-via82xx
snd-mpu401-uart 5856 1 snd-via82xx
snd-rawmidi 19300 2 snd-usb-lib,snd-mpu401-uart
snd-seq-device 6344 3 snd-seq-oss,snd-seq,snd-rawmidi
snd 45988 12
snd-usb-audio,snd-seq-oss,snd-seq,snd-pcm-oss,snd-mixer-oss,snd-via82xx,snd-ac97-codec,snd-pcm,snd-timer,snd-mpu401-uart,snd-rawmidi,snd-seq-device
soundcore 7008 1 snd
ppp_synctty 7744 0
ppp_async 8896 1
crc-ccitt 1664 1 ppp_async
ppp_generic 24468 6 ppp_synctty,ppp_async
slhc 6112 1 ppp_generic
af_packet 16072 6
floppy 55088 0
8139too 20928 0
mii 4224 1 8139too
tulip 43040 0
ide-cd 37280 0
cdrom 37724 1 ide-cd
loop 12520 0
via-agp 7360 1
agpgart 27752 1 via-agp
pwc 48592 0
videodev 7168 1 pwc
usblp 10592 1
ohci-hcd 18468 0
ehci-hcd 26244 0
uhci-hcd 28752 0
usbcore 103172 10
snd-usb-audio,snd-usb-lib,pwc,usblp,ohci-hcd,ehci-hcd,uhci-hcd
ext3 120680 5
jbd 49080 1 ext3

$ ifconfig

eth0 Lien encap:Ethernet HWaddr 00:4C:69:6E:75:79
inet adr:192.168.1.1 Bcast:0.0.0.0 Masque:255.255.255.255
adr inet6: fe80::24c:69ff:fe6e:7579/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:18034 errors:0 dropped:0 overruns:0 frame:0
TX packets:11018 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:12839844 (12.2 Mb) TX bytes:1174219 (1.1 Mb)
Interruption:19 Adresse de base:0xb800

eth1 Lien encap:Ethernet HWaddr 00:30:BD:B3:B9:C7
inet adr:192.168.1.1 Bcast:192.168.1.255 Masque:255.255.255.0
adr inet6: fe80::230:bdff:feb3:b9c7/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3577 errors:0 dropped:0 overruns:0 frame:0
TX packets:3154 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:376675 (367.8 Kb) TX bytes:1163475 (1.1 Mb)
Interruption:19 Adresse de base:0xe000

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:311 errors:0 dropped:0 overruns:0 frame:0
TX packets:311 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:27285 (26.6 Kb) TX bytes:27285 (26.6 Kb)

ppp0 Lien encap:Protocole Point-à-Point
inet adr:83.112.23.136 P-t-P:193.253.160.3 Masque:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:3312 errors:0 dropped:0 overruns:0 frame:0
TX packets:2113 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:3
RX bytes:949945 (927.6 Kb) TX bytes:115707 (112.9 Kb)

- le contenu de votre script iptables,

#!/bin/sh
#
# Startup script to implement /etc/sysconfig/iptables pre-defined rules.
#
# chkconfig: 2345 03 92
#
# description: Automates a packet filtering firewall with iptables.
#
# by bero@redhat.com, based on the ipchains script:
# Script Author: Joshua Jensen <joshua@redhat.com>
# -- hacked up by gafton with help from notting
# modified by Anton Altaparmakov <aia21@cam.ac.uk>:
# modified by Nils Philippsen <nils@redhat.de>
#
# config: /etc/sysconfig/iptables

# Source 'em up
. /etc/init.d/functions

IPTABLES_CONFIG=/etc/sysconfig/iptables

if [ ! -x /sbin/iptables ]; then
exit 0
fi

KERNELMAJ=`uname -r | sed -e 's,..*,,'`
KERNELMIN=`uname -r | sed -e 's,[^.]*.,,' -e 's,..*,,'`

if [ "$KERNELMAJ" -lt 2 ] ; then
exit 0
fi
if [ "$KERNELMAJ" -eq 2 -a "$KERNELMIN" -lt 3 ] ; then
exit 0
fi



if /sbin/lsmod 2>/dev/null |grep -q ipchains ; then
# Don't do both
exit 0
fi

iftable() {
if fgrep -qsx $1 /proc/net/ip_tables_names; then
iptables -t "$@"
fi
}

check() {
if [ -n "$1" ]; then
rm -f /lib/iptables
ln -s /lib/iptables-${1} /lib/iptables
iftable nat -N __IPTCHECK__${1}__ >/dev/null 2>&1
iftable nat -A __IPTCHECK__${1}__ -j MASQUERADE >/dev/null 2>&1
res=$?
iftable nat -F __IPTCHECK__${1}__ >/dev/null 2>&1
iftable nat -X __IPTCHECK__${1}__ >/dev/null 2>&1
return $res
else
/sbin/modprobe ipt_MASQUERADE >/dev/null 2>&1
check mandrake || check vanilla
/sbin/modprobe -r ipt_MASQUERADE >/dev/null 2>&1
fi
}

start() {
# don't do squat if we don't have the config file
if [ -f $IPTABLES_CONFIG ]; then
# We do _not_ need to flush/clear anything when using iptables-restore
gprintf "Applying iptables firewall rules: n"
grep -v "^[[:space:]]*#" $IPTABLES_CONFIG | grep -v
'^[[:space:]]*$' | /sbin/iptables-restore -c &&
success "Applying iptables firewall rules" ||
failure "Applying iptables firewall rules"
echo
touch /var/lock/subsys/iptables
fi
}

stop() {
chains=`cat /proc/net/ip_tables_names 2>/dev/null`
for i in $chains; do iptables -t $i -F; done &&
success "Flushing all chains:" ||
failure "Flushing all chains:"
for i in $chains; do iptables -t $i -X; done &&
success "Removing user defined chains:" ||
failure "Removing user defined chains:"
gprintf "Resetting built-in chains to the default ACCEPT policy:"
iftable filter -P INPUT ACCEPT &&
iftable filter -P OUTPUT ACCEPT &&
iftable filter -P FORWARD ACCEPT &&
iftable nat -P PREROUTING ACCEPT &&
iftable nat -P POSTROUTING ACCEPT &&
iftable nat -P OUTPUT ACCEPT &&
iftable mangle -P PREROUTING ACCEPT &&
iftable mangle -P OUTPUT ACCEPT &&
success "Resetting built-in chains to the default ACCEPT policy" ||
failure "Resetting built-in chains to the default ACCEPT policy"
echo
rm -f /var/lock/subsys/iptables
}

case "$1" in
start)
check
start
;;

stop)
stop
;;

restart|reload)
# "restart" is really just "start" as this isn't a daemon,
# and "start" clears any pre-defined rules anyway.
# This is really only here to make those who expect it happy
start
;;

condrestart)
[ -e /var/lock/subsys/iptables ] && start
;;

status)
tables=`cat /proc/net/ip_tables_names 2>/dev/null`
for table in $tables; do
gprintf "Table: %sn" "$table"
iptables -t $table --list
done
;;

panic)
gprintf "Changing target policies to DROP: "
iftable filter -P INPUT DROP &&
iftable filter -P FORWARD DROP &&
iftable filter -P OUTPUT DROP &&
iftable nat -P PREROUTING DROP &&
iftable nat -P POSTROUTING DROP &&
iftable nat -P OUTPUT DROP &&
iftable mangle -P PREROUTING DROP &&
iftable mangle -P OUTPUT DROP &&
success "Changing target policies to DROP" ||
failure "Changing target policies to DROP"
echo
iftable filter -F INPUT &&
iftable filter -F FORWARD &&
iftable filter -F OUTPUT &&
iftable nat -F PREROUTING &&
iftable nat -F POSTROUTING &&
iftable nat -F OUTPUT &&
iftable mangle -F PREROUTING &&
iftable mangle -F OUTPUT &&
success "Flushing all chains:" ||
failure "Flushing all chains:"
iftable filter -X INPUT &&
iftable filter -X FORWARD &&
iftable filter -X OUTPUT &&
iftable nat -X PREROUTING &&
iftable nat -X POSTROUTING &&
iftable nat -X OUTPUT &&
iftable mangle -X PREROUTING &&
iftable mangle -X OUTPUT &&
success "Removing user defined chains:" ||
failure "Removing user defined chains:"
;;

save)
gprintf "Saving current rules to %s: " "$IPTABLES_CONFIG"
touch $IPTABLES_CONFIG
chmod 600 $IPTABLES_CONFIG
/sbin/iptables-save -c > $IPTABLES_CONFIG 2>/dev/null &&
success "Saving current rules to %s" "$IPTABLES_CONFIG" ||
failure "Saving current rules to %s" "$IPTABLES_CONFIG"
echo
;;

check)
check
;;

*)
gprintf "Usage: %s {start|stop|restart|condrestart|status|panic|save
check}n" "$0"
exit 1
esac

exit 0

- les messages renvoyés par les clients IRC (le votre et celui des tiers)
lors des échecs des connexions DCC
Lors de l'initialisation de l'envoi : DCC Send Fichier.txt (44.44.44.44)

Lors de l'échec : DCC Get of Fichier.txt from MisterX incomplete (connexion
failed)

Merci bcp
--
Corriger le "wanadou" pour répondre en privé.

TiChou wrote:

je n'y arrive pas...

En même temps vous nous dites pas ce que vous avez fait. Tenez d'ailleurs
comptes des remarques de Pascal, car il faut avouer que vous n'êtes pas
très clair ou pas suffisamment précis dans vos réponses.

Je suis surtout complètement perdu.

--
Corriger le "wanadou" pour répondre en privé.

J'y arrive, les transferts passent. Merci pour vos conseils.

j'ai ajouté dans le firewall
iptables -A FORWARD -p tcp --dport 12345:16789 -m state --state RELATED
iptables -A FORWARD -p udp --dport 12345:16789 -m state --state RELATED

(RELATED indiqué par Tichou :-) J'aurais passé trois jours à fond dessus et
maintenant je suis content parce que je connais beaucoup mieux iptables!
Reste à savoir si c'est un minimum fiable?