Bonjour la liste!
Je viens chercher des infos ici puisque je ne m'en sort pas et que je vois
que les sujets sur free sont =E0 la mode ;)
Alors voila tout d'abord le but du post:
Je souhaite regarder la freetv sur mes 2 postes deriere ma debian qui
fait routeur et firewall.
Ces deux postes sont en windows(frink et kiki), sans la debian ca marche
tres bien, donc aucun probleme cot=E9 krosoft.
Voila ma config du rezo:
WEB -----eth1 [DEBIAN] eth0------- Switch materiel ------ frink
|---- Kiki
Passons =E0 Iptables.
J'ai par defaut une politique DROP sur INPUT, OUTPUT et FORWARD.
voila mon script iptables: ici
<http://fyxx.free.fr/liens_donnes_sur_le_net/iptables20060220>
En gros, vers la ligne 42, il y a les r=E8gles pour renvoyer la freebox sur
frink, acctuellement comment=E9es car j'aime pas laisser en place quelque
chose qui ne marche pas:
# Seules les connexion d=E9j=E0 =E9tablies ou en relation a des connexions
=E9tablies sont autoris=E9es venant du net sur le LAN #iptables -A FORWARD =
-i
$CARTE_WAN -o $CARTE_LAN -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A FORWARD -i $CARTE_WAN -o $CARTE_LAN -s $MAFREEBOX -m state
--state NEW,RELATED,ESTABLISHED -j ACCEPT # connexion venant du reseau
peuvent sortir #iptables -A FORWARD -i $CARTE_LAN -o $CARTE_WAN -m state
--state NEW,RELATED,ESTABLISHED -j ACCEPT #iptables -t nat -A PREROUTING -p
udp --dport 31336:31337 -i $CARTE_WAN -j DNAT --to $FRINK #iptables -A INPU=
T
-m state --state RELATED,ESTABLISHED -j ACCEPT
J'ai aussi essay=E9 en mettant INPUT OUTPUT et FORWARD en accept, et sans
resultat.
J'ai donc renonc=E9 pour l'instant =E0 regarder la tv, mais c'est vrai que =
je
trouve ca ralant.
J'aimerais comprendre ce que je ne saisi pas, car j'ai beaucoup de mal avec
iptables, et j'aimerais voir mes erreurs pour bien le maitriser.
Donc si quelqu'un a une piste, je prends :D
Bonne soir=E9e.
Bonjour la liste!<br>Je viens chercher des infos ici puisque je ne m'en sor=
t pas et que je vois que les sujets sur free sont =E0 la mode ;)<br>Alors v=
oila tout d'abord le but du post:<br> Je souhaite regarder la f=
reetv sur mes 2 postes deriere ma debian qui fait routeur et firewall.
<br> Ces deux postes sont en windows(frink et kiki), sans la de=
bian ca marche tres bien, donc aucun probleme cot=E9 krosoft.<br><br>Voila =
ma config du rezo:<br><br>WEB -----eth1 [DEBIAN] eth0------- Switch materie=
l ------ frink
<br>  =
; &n=
bsp;  =
; &n=
bsp;  =
; |=
---- Kiki<br><br><br>Passons =E0 Iptables.<br>J'ai par defaut une politique=
DROP sur INPUT, OUTPUT et FORWARD.<br>voila mon script iptables: <a href=
=3D"http://fyxx.free.fr/liens_donnes_sur_le_net/iptables20060220">
ici<br></a><br>En gros, vers la ligne 42, il y a les r=E8gles pour renvoyer=
la freebox sur frink, acctuellement comment=E9es car j'aime pas laisser en=
place quelque chose qui ne marche pas:<br># Seules les connexion d=E9j=E0 =
=E9tablies ou en relation a des connexions =E9tablies sont autoris=E9es ven=
ant du net sur le LAN
#iptables -A FORWARD -i $CARTE_WAN -o $CARTE_LAN -m state --state RELATED,E=
STABLISHED -j ACCEPT
#iptables -A FORWARD -i $CARTE_WAN -o $CARTE_LAN -s $MAFREEBOX -m state --s=
tate NEW,RELATED,ESTABLISHED -j ACCEPT
# connexion venant du reseau peuvent sortir
#iptables -A FORWARD -i $CARTE_LAN -o $CARTE_WAN -m state --state NEW,RELAT=
ED,ESTABLISHED -j ACCEPT
#iptables -t nat -A PREROUTING -p udp --dport 31336:31337 -i $CARTE_WAN -j =
DNAT --to $FRINK
#iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
<br><br><br>J'ai aussi essay=E9 en mettant INPUT OUTPUT et FORWARD en accep=
t, et sans resultat.<br>J'ai donc renonc=E9 pour l'instant =E0 regarder la =
tv, mais c'est vrai que je trouve ca ralant. <br>J'aimerais comprendre ce q=
ue je ne saisi pas, car j'ai beaucoup de mal avec iptables, et j'aimerais v=
oir mes erreurs pour bien le maitriser.
<br><br>Donc si quelqu'un a une piste, je prends :D<br>Bonne soir=E9e.<br><=
br>
------=_Part_7795_6906578.1140466376693--
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Dienstag 21 Februar 2006 08:46, Pascal Hambourg a écrit :
Salut,
Klaus Becker a écrit :
Je souhaite regarder la freetv sur mes 2 postes deriere ma debian qui fait routeur et firewall.
Essaye d'utiliser le suivi de connexions rtsp. Mes règles iptables sur le firewall sont les suivantes :
modprobe ip_conntrack_rtsp modprobe ip_nat_rtsp
Sous sarge, je n'ai pas ces 2 modules.
Il faut appliquer le patch rtsp-conntrack du patch-o-matic-ng aux sources du noyau, activer l'option CONFIG_IP_NF_RTSP et recompiler.
Est-ce vraiment indispensable? Finalement mon seul problème est le firewall que je n'arrive pas à configurer correctement pour avoir la télé avec vlc; quand je le désactive, ça marche.
Non ce n'est pas indispensable. Tu peux t'en sortir en ouvrant les ports kivonbien. L'utilisation du suivi de connexion permet de simplifier l'écriture des règles et surtout de n'ouvrir qu'un minimum de ports, les autres "s'ouvrent" tout seul.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Klaus Becker a écrit :
Le Dienstag 21 Februar 2006 08:46, Pascal Hambourg a écrit :
Salut,
Klaus Becker a écrit :
Je souhaite regarder la freetv sur mes 2 postes deriere ma debian qui
fait routeur et firewall.
Essaye d'utiliser le suivi de connexions rtsp.
Mes règles iptables sur le firewall sont les suivantes :
modprobe ip_conntrack_rtsp
modprobe ip_nat_rtsp
Sous sarge, je n'ai pas ces 2 modules.
Il faut appliquer le patch rtsp-conntrack du patch-o-matic-ng aux
sources du noyau, activer l'option CONFIG_IP_NF_RTSP et recompiler.
Est-ce vraiment indispensable? Finalement mon seul problème est le firewall
que je n'arrive pas à configurer correctement pour avoir la télé avec vlc;
quand je le désactive, ça marche.
Non ce n'est pas indispensable. Tu peux t'en sortir en ouvrant les ports
kivonbien.
L'utilisation du suivi de connexion permet de simplifier l'écriture des
règles et surtout de n'ouvrir qu'un minimum de ports, les autres
"s'ouvrent" tout seul.
Le Dienstag 21 Februar 2006 08:46, Pascal Hambourg a écrit :
Salut,
Klaus Becker a écrit :
Je souhaite regarder la freetv sur mes 2 postes deriere ma debian qui fait routeur et firewall.
Essaye d'utiliser le suivi de connexions rtsp. Mes règles iptables sur le firewall sont les suivantes :
modprobe ip_conntrack_rtsp modprobe ip_nat_rtsp
Sous sarge, je n'ai pas ces 2 modules.
Il faut appliquer le patch rtsp-conntrack du patch-o-matic-ng aux sources du noyau, activer l'option CONFIG_IP_NF_RTSP et recompiler.
Est-ce vraiment indispensable? Finalement mon seul problème est le firewall que je n'arrive pas à configurer correctement pour avoir la télé avec vlc; quand je le désactive, ça marche.
Non ce n'est pas indispensable. Tu peux t'en sortir en ouvrant les ports kivonbien. L'utilisation du suivi de connexion permet de simplifier l'écriture des règles et surtout de n'ouvrir qu'un minimum de ports, les autres "s'ouvrent" tout seul.
Waw! Recompiler? rien que ca? Bon, ben je vais jouer à me faire une jolie collection de kernel pannic :D Merci pour l'info.
Tu ne devrais pas avoir de kernel panic si tu rajoutes un module.;-) En revanche, il y a de grandes chances que tu doives recompiler iptables aussi
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Francois Bottin
Klaus Becker wrote:
Le Dienstag 21 Februar 2006 11:57, Pascal Hambourg a écrit :
Sébastien BARTHÉLEMY a écrit :
Je n'ai pas vu que Klaus utilisait du NAT. Pour moi il n'a qu'une station cliente directement reliée à la Freebox. Dans ce cas, sans firewall, ça marche.
exact
C'est pareil que chez moi (du moins pour l'instant). Mais ce qui est le plus intéressant, c'est qu'une fois que le flux est initié, on peut réactiver le filtrage (remettre DROP en policy sur INPUT), si on a iptable -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Moi qui croyais qu'UDP était un protocole sans connexion... Est-ce que netfilter laisse passer les paquets parce que peu de temps avant un autre est déjà passé avec succès ?
Sinon, je me posais la question pour plus tard, parce que je viens de déménager et mon routeur-wifi (linksys wrt54g) est encore dans son carton. Est-ce qu'il est capable de laisser passer le flux ou bien il faudra que j'active la « fonction DMZ » vers la machine sur laquelle je regarde la TV ?
Francois BOTTIN -- "How kind," the PFY sighs. "But where will I go?" "Somewhere where they know nothing about computing... where they wouldn't know a RAM chip from a potato chip!" "But I don't want to visit Microsoft!" he whines. The BOFH 1998 - Simon Travaglia (bofh.ntk.net)
-- Pensez
Klaus Becker wrote:
Le Dienstag 21 Februar 2006 11:57, Pascal Hambourg a écrit :
Sébastien BARTHÉLEMY a écrit :
Je n'ai pas vu que Klaus utilisait du NAT. Pour moi il n'a qu'une
station cliente directement reliée à la Freebox. Dans ce cas, sans
firewall, ça marche.
exact
C'est pareil que chez moi (du moins pour l'instant). Mais ce qui est le
plus intéressant, c'est qu'une fois que le flux est initié, on peut
réactiver le filtrage (remettre DROP en policy sur INPUT), si on a
iptable -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Moi qui croyais qu'UDP était un protocole sans connexion... Est-ce que
netfilter laisse passer les paquets parce que peu de temps avant un
autre est déjà passé avec succès ?
Sinon, je me posais la question pour plus tard, parce que je viens de
déménager et mon routeur-wifi (linksys wrt54g) est encore dans son
carton. Est-ce qu'il est capable de laisser passer le flux ou bien il
faudra que j'active la « fonction DMZ » vers la machine sur laquelle je
regarde la TV ?
Francois BOTTIN
--
"How kind," the PFY sighs. "But where will I go?"
"Somewhere where they know nothing about computing...
where they wouldn't know a RAM chip from a potato chip!"
"But I don't want to visit Microsoft!" he whines.
The BOFH 1998 - Simon Travaglia (bofh.ntk.net)
Le Dienstag 21 Februar 2006 11:57, Pascal Hambourg a écrit :
Sébastien BARTHÉLEMY a écrit :
Je n'ai pas vu que Klaus utilisait du NAT. Pour moi il n'a qu'une station cliente directement reliée à la Freebox. Dans ce cas, sans firewall, ça marche.
exact
C'est pareil que chez moi (du moins pour l'instant). Mais ce qui est le plus intéressant, c'est qu'une fois que le flux est initié, on peut réactiver le filtrage (remettre DROP en policy sur INPUT), si on a iptable -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Moi qui croyais qu'UDP était un protocole sans connexion... Est-ce que netfilter laisse passer les paquets parce que peu de temps avant un autre est déjà passé avec succès ?
Sinon, je me posais la question pour plus tard, parce que je viens de déménager et mon routeur-wifi (linksys wrt54g) est encore dans son carton. Est-ce qu'il est capable de laisser passer le flux ou bien il faudra que j'active la « fonction DMZ » vers la machine sur laquelle je regarde la TV ?
Francois BOTTIN -- "How kind," the PFY sighs. "But where will I go?" "Somewhere where they know nothing about computing... where they wouldn't know a RAM chip from a potato chip!" "But I don't want to visit Microsoft!" he whines. The BOFH 1998 - Simon Travaglia (bofh.ntk.net)
-- Pensez
Pascal Hambourg
Francois Bottin a écrit :
C'est pareil que chez moi (du moins pour l'instant). Mais ce qui est le plus intéressant, c'est qu'une fois que le flux est initié, on peut réactiver le filtrage (remettre DROP en policy sur INPUT), si on a iptable -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Ça n'a rien d'extraordinaire, au contraire c'est parfaitement normal tant que le module de suivi de connexion (ip_conntrack) reste chargé.
Moi qui croyais qu'UDP était un protocole sans connexion...
Netfilter a une conception assez large de la notion de "connexion". Tout flux bidirectionnel quel que soit le protocole IP employé est considéré comme une connexion.
Est-ce que netfilter laisse passer les paquets parce que peu de temps avant un autre est déjà passé avec succès ?
La connexion étant déjà établie, les paquets lui appartenant sont classés dans l'état ESTABLISHED par le suivi de connexion et par conséquent acceptés par la règle iptables ci-dessus.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Francois Bottin a écrit :
C'est pareil que chez moi (du moins pour l'instant). Mais ce qui est le
plus intéressant, c'est qu'une fois que le flux est initié, on peut
réactiver le filtrage (remettre DROP en policy sur INPUT), si on a
iptable -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Ça n'a rien d'extraordinaire, au contraire c'est parfaitement normal
tant que le module de suivi de connexion (ip_conntrack) reste chargé.
Moi qui croyais qu'UDP était un protocole sans connexion...
Netfilter a une conception assez large de la notion de "connexion". Tout
flux bidirectionnel quel que soit le protocole IP employé est considéré
comme une connexion.
Est-ce que
netfilter laisse passer les paquets parce que peu de temps avant un
autre est déjà passé avec succès ?
La connexion étant déjà établie, les paquets lui appartenant sont
classés dans l'état ESTABLISHED par le suivi de connexion et par
conséquent acceptés par la règle iptables ci-dessus.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
C'est pareil que chez moi (du moins pour l'instant). Mais ce qui est le plus intéressant, c'est qu'une fois que le flux est initié, on peut réactiver le filtrage (remettre DROP en policy sur INPUT), si on a iptable -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Ça n'a rien d'extraordinaire, au contraire c'est parfaitement normal tant que le module de suivi de connexion (ip_conntrack) reste chargé.
Moi qui croyais qu'UDP était un protocole sans connexion...
Netfilter a une conception assez large de la notion de "connexion". Tout flux bidirectionnel quel que soit le protocole IP employé est considéré comme une connexion.
Est-ce que netfilter laisse passer les paquets parce que peu de temps avant un autre est déjà passé avec succès ?
La connexion étant déjà établie, les paquets lui appartenant sont classés dans l'état ESTABLISHED par le suivi de connexion et par conséquent acceptés par la règle iptables ci-dessus.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
