j'ai quelques soucis avec une Multi Network Firewall (MNF) de Mandrake,
située entre mon lan et mon routeur adsl.
Le problème, c'est que tout traffic est visiblement stoppé par mon firewall
mnf. Aucun traffic ne sort de mon lan, un traceroute s'arrete a l'interface
LAN 192.168.100.5) de la mnf, apres timeout.
Seul la resolution DNS et la navigation marche car j'ai activé squid en mode
transparent (il intercepte toute requette effectuée sur le port 80) et le
poxy dns.
Je desactive squid : plus de navigation. Je desactive le proxy dns : plus de
resolution dns.
Sur la mnf, l'interface Eth0 porte l'ip 192.168.100.5 et est située ds la
zone LAN. L'interface Eth1 porte l'ip 10.0.0.1 et s trouve dans la zone WAN.
L'acces internet (menu MNF) est configuré comme suit :
Type d'acces : LAN
Interface Internet : Eth1
IP : 10.0.0.1
Passerelle par defaut : 10.0.0.5
Voici un shema de mon reseau :
LAN (192.168.100.0/24, Gateway : 192.168.100.5)
_
_
V
_________
Routeur adsl Eth0 10.0.0.1
Routeur adsl Wan 0.0.0.0
_________
V
INTERNET
Au niveau du firewall :
Les regles par defaut sont :
1) LAN to WAN : ACCEPT
2) LAN TO ALL : REJECT
3) DMZ TO ALL : REJECT
4) FW TO ALL : REJECT
5) WAN TO ALL : DROP
6) ALL TO ALL : REJECT
Il me semble que la regle 1 (que j'ai ajouté) derit suffire a autoriser tout
trafic venant de mon lan et a destination de ma zone wan (internet et
10.0.0.0/24).
De plus, ds les exceptions :
LAN TO WAN - PORT 80 - ACCEPT
LAN TO WAN - PORT 110 - ACCEPT
LAN TO WAN - PORT 25 - ACCEPT
Cela devrait au moins laisser passer le trafic http et mail.
Malgré tout ca, impossible d'obtenir du traffic. Mes mailer reste muet,
impossible de naviguer sans passer par squid.
Please help me!! :)
Merci de votre aide,
Mojo.
PS : Post sur fr.comp.reseaux.ip et fr.comp.securite
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
db
Mr Mojo Risin' wrote:
Bonjour,
j'ai quelques soucis avec une Multi Network Firewall (MNF) de Mandrake, située entre mon lan et mon routeur adsl. Le problème, c'est que tout traffic est visiblement stoppé par mon firewall mnf. Aucun traffic ne sort de mon lan, un traceroute s'arrete a l'interface LAN 192.168.100.5) de la mnf, apres timeout.
Seul la resolution DNS et la navigation marche car j'ai activé squid en mode transparent (il intercepte toute requette effectuée sur le port 80) et le poxy dns. Je desactive squid : plus de navigation. Je desactive le proxy dns : plus de resolution dns.
Sur la mnf, l'interface Eth0 porte l'ip 192.168.100.5 et est située ds la zone LAN. L'interface Eth1 porte l'ip 10.0.0.1 et s trouve dans la zone WAN.
L'acces internet (menu MNF) est configuré comme suit : Type d'acces : LAN Interface Internet : Eth1 IP : 10.0.0.1 Passerelle par defaut : 10.0.0.5
Voici un shema de mon reseau :
LAN (192.168.100.0/24, Gateway : 192.168.100.5) _ _
V _________ Routeur adsl Eth0 10.0.0.1 Routeur adsl Wan 0.0.0.0 _________
V
INTERNET
Au niveau du firewall : Les regles par defaut sont : 1) LAN to WAN : ACCEPT 2) LAN TO ALL : REJECT 3) DMZ TO ALL : REJECT 4) FW TO ALL : REJECT 5) WAN TO ALL : DROP 6) ALL TO ALL : REJECT
Il me semble que la regle 1 (que j'ai ajouté) derit suffire a autoriser tout trafic venant de mon lan et a destination de ma zone wan (internet et 10.0.0.0/24).
J'ignore comment fonctionne la MNF qui est une création Mandrake et ce que signifient ... TO ALL. N'ayant aucune idée des règles sous-jacentes (qui s'appuient sur le standard que sont des iptables) engendrées par ces règles MNF difficile de savoir ce qui cloche. Il faudrait le listing de /etc/sysconfig/iptables par exemple.
Toutefois une deuxième suggestion : ces << macro-règles >> MNF ne font apparaître aucune translation d'adresse donc ... Troisième suggestion : ces macro-règles MNF n'indiquent aucun traitement << stateful >>. S'il n'y a pas de traitement << stateful >> alors il doit y avoir une règle qui indique que WAN to LAN : ACCEPT sinon les paquets partent mais ne reivennent jaamis car le FW l'interdit.
Quatrième suggestion : une trace (un tcpdump) réalisée côté WAN puis côté LAN. db
De plus, ds les exceptions : LAN TO WAN - PORT 80 - ACCEPT LAN TO WAN - PORT 110 - ACCEPT LAN TO WAN - PORT 25 - ACCEPT
Cela devrait au moins laisser passer le trafic http et mail.
Malgré tout ca, impossible d'obtenir du traffic. Mes mailer reste muet, impossible de naviguer sans passer par squid.
Please help me!! :)
Merci de votre aide,
Mojo.
PS : Post sur fr.comp.reseaux.ip et fr.comp.securite
-- email : usenet blas net
Mr Mojo Risin' wrote:
Bonjour,
j'ai quelques soucis avec une Multi Network Firewall (MNF) de Mandrake,
située entre mon lan et mon routeur adsl.
Le problème, c'est que tout traffic est visiblement stoppé par mon
firewall mnf. Aucun traffic ne sort de mon lan, un traceroute s'arrete a
l'interface LAN 192.168.100.5) de la mnf, apres timeout.
Seul la resolution DNS et la navigation marche car j'ai activé squid en
mode transparent (il intercepte toute requette effectuée sur le port 80)
et le poxy dns.
Je desactive squid : plus de navigation. Je desactive le proxy dns : plus
de resolution dns.
Sur la mnf, l'interface Eth0 porte l'ip 192.168.100.5 et est située ds la
zone LAN. L'interface Eth1 porte l'ip 10.0.0.1 et s trouve dans la zone
WAN.
L'acces internet (menu MNF) est configuré comme suit :
Type d'acces : LAN
Interface Internet : Eth1
IP : 10.0.0.1
Passerelle par defaut : 10.0.0.5
Voici un shema de mon reseau :
LAN (192.168.100.0/24, Gateway : 192.168.100.5)
_
_
V
_________
Routeur adsl Eth0 10.0.0.1
Routeur adsl Wan 0.0.0.0
_________
V
INTERNET
Au niveau du firewall :
Les regles par defaut sont :
1) LAN to WAN : ACCEPT
2) LAN TO ALL : REJECT
3) DMZ TO ALL : REJECT
4) FW TO ALL : REJECT
5) WAN TO ALL : DROP
6) ALL TO ALL : REJECT
Il me semble que la regle 1 (que j'ai ajouté) derit suffire a autoriser
tout trafic venant de mon lan et a destination de ma zone wan (internet et
10.0.0.0/24).
J'ignore comment fonctionne la MNF qui est une création Mandrake et ce que
signifient ... TO ALL.
N'ayant aucune idée des règles sous-jacentes (qui s'appuient sur le standard
que sont des iptables) engendrées par ces règles MNF difficile de savoir ce
qui cloche.
Il faudrait le listing de /etc/sysconfig/iptables par exemple.
Toutefois une deuxième suggestion :
ces << macro-règles >> MNF ne font apparaître aucune translation d'adresse
donc ...
Troisième suggestion :
ces macro-règles MNF n'indiquent aucun traitement << stateful >>. S'il n'y
a pas de traitement << stateful >> alors il doit y avoir une règle qui
indique que WAN to LAN : ACCEPT sinon les paquets partent mais ne
reivennent jaamis car le FW l'interdit.
Quatrième suggestion :
une trace (un tcpdump) réalisée côté WAN puis côté LAN.
db
De plus, ds les exceptions :
LAN TO WAN - PORT 80 - ACCEPT
LAN TO WAN - PORT 110 - ACCEPT
LAN TO WAN - PORT 25 - ACCEPT
Cela devrait au moins laisser passer le trafic http et mail.
Malgré tout ca, impossible d'obtenir du traffic. Mes mailer reste muet,
impossible de naviguer sans passer par squid.
Please help me!! :)
Merci de votre aide,
Mojo.
PS : Post sur fr.comp.reseaux.ip et fr.comp.securite
j'ai quelques soucis avec une Multi Network Firewall (MNF) de Mandrake, située entre mon lan et mon routeur adsl. Le problème, c'est que tout traffic est visiblement stoppé par mon firewall mnf. Aucun traffic ne sort de mon lan, un traceroute s'arrete a l'interface LAN 192.168.100.5) de la mnf, apres timeout.
Seul la resolution DNS et la navigation marche car j'ai activé squid en mode transparent (il intercepte toute requette effectuée sur le port 80) et le poxy dns. Je desactive squid : plus de navigation. Je desactive le proxy dns : plus de resolution dns.
Sur la mnf, l'interface Eth0 porte l'ip 192.168.100.5 et est située ds la zone LAN. L'interface Eth1 porte l'ip 10.0.0.1 et s trouve dans la zone WAN.
L'acces internet (menu MNF) est configuré comme suit : Type d'acces : LAN Interface Internet : Eth1 IP : 10.0.0.1 Passerelle par defaut : 10.0.0.5
Voici un shema de mon reseau :
LAN (192.168.100.0/24, Gateway : 192.168.100.5) _ _
V _________ Routeur adsl Eth0 10.0.0.1 Routeur adsl Wan 0.0.0.0 _________
V
INTERNET
Au niveau du firewall : Les regles par defaut sont : 1) LAN to WAN : ACCEPT 2) LAN TO ALL : REJECT 3) DMZ TO ALL : REJECT 4) FW TO ALL : REJECT 5) WAN TO ALL : DROP 6) ALL TO ALL : REJECT
Il me semble que la regle 1 (que j'ai ajouté) derit suffire a autoriser tout trafic venant de mon lan et a destination de ma zone wan (internet et 10.0.0.0/24).
J'ignore comment fonctionne la MNF qui est une création Mandrake et ce que signifient ... TO ALL. N'ayant aucune idée des règles sous-jacentes (qui s'appuient sur le standard que sont des iptables) engendrées par ces règles MNF difficile de savoir ce qui cloche. Il faudrait le listing de /etc/sysconfig/iptables par exemple.
Toutefois une deuxième suggestion : ces << macro-règles >> MNF ne font apparaître aucune translation d'adresse donc ... Troisième suggestion : ces macro-règles MNF n'indiquent aucun traitement << stateful >>. S'il n'y a pas de traitement << stateful >> alors il doit y avoir une règle qui indique que WAN to LAN : ACCEPT sinon les paquets partent mais ne reivennent jaamis car le FW l'interdit.
Quatrième suggestion : une trace (un tcpdump) réalisée côté WAN puis côté LAN. db
De plus, ds les exceptions : LAN TO WAN - PORT 80 - ACCEPT LAN TO WAN - PORT 110 - ACCEPT LAN TO WAN - PORT 25 - ACCEPT
Cela devrait au moins laisser passer le trafic http et mail.
Malgré tout ca, impossible d'obtenir du traffic. Mes mailer reste muet, impossible de naviguer sans passer par squid.
Please help me!! :)
Merci de votre aide,
Mojo.
PS : Post sur fr.comp.reseaux.ip et fr.comp.securite
-- email : usenet blas net
Eric Razny
db wrote: ... tout le post original avec une réponse au milieu.
Petite précision : ce serait sympa de ne pas quoter comme un gorêt :)
[Snap Problème avec une Mandrake MNF, rien ne passe sauf via les proxies]
[Re-snap : MNF basé sur netfilter en interne]
Il faudrait le listing de /etc/sysconfig/iptables par exemple.
Je ne connais pas non plus MNF, mais le paramètrage de netfilter peut avoir lieu un peu n'importe où. Il me parait plus prudent de demander à netfilter directement les règles en court via : iptables-save (où alors en partant d'/etc/inittab pour suivre les scripts depuis le démarrage).
Si les règles de FORWARD sont peuplées correctement, un petit tour sur : cat /proc/sys/net/ipv4/ip_forward [1] (si ça ne donne pas 1 tu es déjà bloqué ici).
Enfin si après ça tu ne localise pas ton problème jette un oeil sur les routes (elles ont des chances d'être bonne quand même, ton proxy transparent fonctionne apparement).
htp
Eric
[1] en cas d'IP v4 bien sur...
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
db wrote: ... tout le post original avec une réponse au milieu.
Petite précision : ce serait sympa de ne pas quoter comme un gorêt :)
[Snap Problème avec une Mandrake MNF, rien ne passe sauf via les proxies]
[Re-snap : MNF basé sur netfilter en interne]
Il faudrait le listing de /etc/sysconfig/iptables par exemple.
Je ne connais pas non plus MNF, mais le paramètrage de netfilter peut avoir
lieu un peu n'importe où.
Il me parait plus prudent de demander à netfilter directement les règles en
court via :
iptables-save
(où alors en partant d'/etc/inittab pour suivre les scripts depuis le
démarrage).
Si les règles de FORWARD sont peuplées correctement, un petit tour sur :
cat /proc/sys/net/ipv4/ip_forward [1]
(si ça ne donne pas 1 tu es déjà bloqué ici).
Enfin si après ça tu ne localise pas ton problème jette un oeil sur les
routes (elles ont des chances d'être bonne quand même, ton proxy transparent
fonctionne apparement).
htp
Eric
[1] en cas d'IP v4 bien sur...
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
db wrote: ... tout le post original avec une réponse au milieu.
Petite précision : ce serait sympa de ne pas quoter comme un gorêt :)
[Snap Problème avec une Mandrake MNF, rien ne passe sauf via les proxies]
[Re-snap : MNF basé sur netfilter en interne]
Il faudrait le listing de /etc/sysconfig/iptables par exemple.
Je ne connais pas non plus MNF, mais le paramètrage de netfilter peut avoir lieu un peu n'importe où. Il me parait plus prudent de demander à netfilter directement les règles en court via : iptables-save (où alors en partant d'/etc/inittab pour suivre les scripts depuis le démarrage).
Si les règles de FORWARD sont peuplées correctement, un petit tour sur : cat /proc/sys/net/ipv4/ip_forward [1] (si ça ne donne pas 1 tu es déjà bloqué ici).
Enfin si après ça tu ne localise pas ton problème jette un oeil sur les routes (elles ont des chances d'être bonne quand même, ton proxy transparent fonctionne apparement).
htp
Eric
[1] en cas d'IP v4 bien sur...
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
db
Eric Razny wrote:
db wrote: ... tout le post original avec une réponse au milieu. Ben oui, la réponse en lieu et place de la question à laquelle elle se
rapporte. Mais bon, il est vrai que dans ce cas j'aurai pu virer la fin du post.
Petite précision : ce serait sympa de ne pas quoter comme un gorêt :) Mais c'est strictement la faute de TF1 avec sa ferme : faire vite, le plus
vite possible et goret s'écrit goret au passage :-)
[Snap Problème avec une Mandrake MNF, rien ne passe sauf via les proxies] C'est effectivement une très bonne première raison.
[Re-snap : MNF basé sur netfilter en interne] De toute manière, à moins que quelqu'un prenne en charge le filtrage du
noyau il n'y a que ça sur Linux donc forcément ...
db
-- email : usenet blas net
Eric Razny wrote:
db wrote: ... tout le post original avec une réponse au milieu.
Ben oui, la réponse en lieu et place de la question à laquelle elle se
rapporte. Mais bon, il est vrai que dans ce cas j'aurai pu virer la fin du
post.
Petite précision : ce serait sympa de ne pas quoter comme un gorêt :)
Mais c'est strictement la faute de TF1 avec sa ferme : faire vite, le plus
vite possible et goret s'écrit goret au passage :-)
[Snap Problème avec une Mandrake MNF, rien ne passe sauf via les proxies]
C'est effectivement une très bonne première raison.
[Re-snap : MNF basé sur netfilter en interne]
De toute manière, à moins que quelqu'un prenne en charge le filtrage du
noyau il n'y a que ça sur Linux donc forcément ...
