Firewall Net tests, installation & configuration
FireWall Net - Guide installation et configuration des Firewalls Look N Stop
 
 
mpf_120x60.gif
 

Forum de discussion

 

Vous pouvez exprimer ici toutes questions relatives aux firewalls ou tout point que vous souhaiteriez faire connaître relatifs au sujet des firewalls.

 
 Nouveau sujet  |  Remonter au début  |  Retour au sujet  |  Chercher  |  Se connecter   Sujet précedent  |  Sujet suivant 
 passerelle linux et clients windows, ouverture de ports sur clients distant... ?
Auteur: Jean-Jacques 
Date:   19-01-03 11:20

Hello... J'ai besoin de spécialistes du FW, je débute en ce domaine et ce n'est pas vraiment aisé à comprendre...

Voila, je suis connecté au net via une machine linux qui me sert de passerelle et de routeur et de firewall. J'ai un réseau local en ip 192.168.100.xxx, le serveur qui est connecté au net est en 192.168.100.100. Jusque la, rien d'anormal... mais, les applications qui demandent des ports particuliers sur mes clients windows (transfert de fichier icq, netmeeting, emule, etc.) ne fonctionnent pas ou pas correctement (video sous netmeeting, transferts de fichiers sous icq, ...).

Pour prendre un exemple, j'ai besoin du port 4662 pour une application bien connue, mon serveur connecté au net est en 192.168.100.100 et ma machine cliente faisant tourner cette application est en 192.168.100.1 sur mon réseau local. (à noter que le serveur possède deux carte réseau, l'une en 192.168.100.100 pour le réseau local, l'autre en 10.0.0.1 pour le modem adsl ethernet et enfin la connection ppp0 qui prend l'adresse ip de ma connection adsl).

J'ai pourtant utilisé les commandes suivantes :

/sbin/iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 4662 -j DNAT --to 192.168.100.1:4662
/sbin/iptables -I FORWARD -p tcp -i ppp0 --dport 4662 -j ACCEPT

or, le port 4662 reste toujours innaccessible de l'extèrieur via le serveur, j'ai essayé avec d'autres ports avec la même commande, ca ne marche pas. Je ne comprends pas, je reroute pourtant bien ce qui arrive sur le port de mon serveur vers le port de ma machine cliente non ? aurais-je ommi quelque chose ?????

identiquement, j'aimerai également ouvrir un serveur sphere sur une machine windows de mon réseau local, mais pour cela, il me faut également rerouter des ports afin que tout puisse communiquer correctement... Bref, help me please, ca fait des semaines que je galère à chercher la solution, mais cela doit être super évident et je ne la vois pas, j'oublie certainement quelque chose...

Merci beaucoup !!!!!!

JJ.

Répondre à ce message
 
 Re: passerelle linux et clients windows, ouverture de ports sur clients distant.
Auteur: Chryjs 
Date:   19-01-03 15:08

Bonjour,
On manque un peu d'informations pour répondre complètement.

Vérifiez que le forwarding est actif, au besoin :
echo 1 > /proc/sys/net/ipv4/ip_forward

Une fois vos règles actives à l'aide d'un outil type iptraf, ethereal analysez les traffic en entrée et en sortie (ppp0 et ethx) pour vérifier leur bon fonctionnement.
Au besoin vous pouvez utiliser un outil tel netcat pour simuler des connexions sur le port voulu).

Pour les autres protocoles assurez vous que les modules tels que :
ip_conntrack_ftp , ip_nat_ftp , ip_nat_irc sont bien chargés.

Pour le h323 vous avez 2 solutions , soit tenter le module en test disponible sur www.netfilter.org . cela nécessitera une recompilation kernel et l'usage de patch_o_matic. Sinon utiliser une passerelle (proxy) tel openh323gk par exemple.

Pour icq il n'y a aucune raison que cela ne fonctionne pas , a condition d'avoir une regle de type DNAT ou MASQUERADE mis en place entre le réseau internet et ppp0.

Chryjs

Répondre à ce message
 
 Re: passerelle linux et clients windows, ouverture de ports sur clients distant... ?
Auteur: Jean-Jacques 
Date:   19-01-03 20:41

Heu, le problème n'est pas le fonctionnement des protocoles, mais le fait que je n'arrive pas a rediriger un port. Exemple :

sur la machine 192.168.100.100 :

telnet 192.168.100.100 23

et je veux que ce soit la machine 192.168.100.1 qui réponde à la requete sur le port 23, soit je redirige toutes les requetes entrante sur le port 23 de 192.168.100.100 vers le port 23 de 192.168.100.1

Pour icq, il en va de même, apparement, il demande je ne sais plus quelle port pour recevoir des fichiers, mais comme l'ip fourni à mon interlocuteur est celui de ma passerelle, forcement, il faut rediriger le port de la passerelle vers mon client, sinon, ca bloque...

Mon probleme n'est pas de sortir, mais d'entrer.

Répondre à ce message
 
 Re: passerelle linux et clients windows, ouverture de ports sur clients distant.
Auteur: Wolf (195.6.68.---)
Date:   21-01-03 17:59

bon pour commencer tu fait du natage ..

envoie moi un mail avec une explication detailler de ce que tu veux, je pourrais te donne la règle exacte voir meme mon fichier ip-up.local qui reference les regle IPTABLES (si bien sur tu utilise IPTABLES comme firewall)

Pour te faciliter la tache je te conseillerai dans un premier temps de créer une chain iptables et de mettre les 3 entre en accept et d'inssere ta chain:
exemple la mienne:

Chain INPUT (policy ACCEPT)
target prot opt source destination
wolf all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination
wolf all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
wolf prot opt source

Une fois fait toute tes règle seront a mettre dans cette chain a savoir que la derniere règle doit etre la règle de drop

DROP all -- 0.0.0.0/0 0.0.0.0/0

Bien entendue, toute les nouvelles règles que tu rajoutteras doit etre avant la règle de drop

pour repondre a ton exemple voici la règle:
" Pour prendre un exemple, j'ai besoin du port 4662 pour une application bien connue, mon serveur connecté au net est en 192.168.100.100 et ma machine cliente faisant tourner cette application est en 192.168.100.1 sur mon réseau local. (à noter que le serveur possède deux carte réseau, l'une en 192.168.100.100 pour le réseau local, l'autre en 10.0.0.1 pour le modem adsl ethernet et enfin la connection ppp0 qui prend l'adresse ip de ma connection adsl)."

Règle de NATAGE
iptables -t nat -A PREROUTING -s 0/0 -i ppp0 -p tcp --dport 4662 -j DNAT --to-destination 192.168.100.1:4622

Règle filtering

iptables -A wolf(ta chain) -s 0/0 -d 192.168.100.1 -p tcp --dport 4662 -j ACCEPT

Voili voila pour ton exemple, sit tu veux plus d'aide mail moi, et je te ferais un fichier ip-up.local avec les règle de base du firewall ensuite ce seras à toi de mettre tes règle.

J'espère avoir ete claire lool

@++


Wolf.........;;

Répondre à ce message
 
 Re: passerelle linux et clients windows, ouverture de ports sur clients distant.
Auteur: Chryjs 
Date:   22-01-03 14:39

Il ne s'agissait pas du fonctionnement des protocoles mais bien du firewalling lui même.

Ex : si vous n'activez pas le port forwading rien ne fonctionnera jamais.

D'autre part une méthode d'analyse vous permettant de trouver vous même la réponse à vos questions vous est proposée.

D'autre part les problèmes de fonctionnement que vous évoquez concernent des protocoles très spécifiques au risque de vous décevoir.

La base étant quand meme la lecture de :

http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO.html
http://www.tldp.org/HOWTO/Ethernet-Bridge-netfilter-HOWTO.html

elle existent aussi en français si nécessaire.

Chryjs

Répondre à ce message
 
 Re: passerelle linux et clients windows, ouverture de ports sur clients distant.
Auteur: JJ 
Date:   23-01-03 21:33

Pour répondre a Wolf : Merci, mais je fais deja ces regles la et rien ne passe, j'ouvre bien le port avec un input accept, je forward bien l'info et je nat bien comme tu l'as expliqué, mais ca ne passe toujours pas et je ne comprends pas pourquoi. Je pense que je vais te mailer ma demande et mes scripts pour que tu puisses y jeter un oeuil. Merci encore.

Pour admin : Les personnes écrivant en forum le font pour avoir une réponse et non pas pour se faire réorienter sur des sortes de how-to confus, sinon, a quoi servent les forums ? De plus, je n'ai plus le temps de chercher, je ne suis pas étudiant et j'ai une famille, un métier et de l'occupation externe a effectuer plutot qu'a passer mon temps à chercher dans des tonnes de pages et de pages de docs a trouver ce que je cherche. Si je demande en forum, c'est bien pour une raison précise et non pas pour se faire rabrouer de la sorte. A ce que je constate, le probleme sur les forums reste et restera toujours le même, c'est à dire les réponses du style :

" T'es pas dans le bon forum "
" La question a deja été posé, cherche un peu dans le forum "
" On va pas te donner la réponse toute cuite, cherche ! "

Heureusement que Wolf est la pour relever le niveau !

Encore une fois, je n'ai pas envie de me spécialiser dans le firewalling, je n'ai pas le temps de chercher et j'ai encore moins le temps de penser lire une réponse pouvant m'aider et de tomber sur ce genre d'argumentation, a savoir une premiere réponse totalement a coté de la plaque (a se demander si on a lu mon probleme) et une seconde réponse qui vous enfonce encore plus.

Quand aux protocoles "très spécifiques", je ne vois pas ce qui a de spécifique à utiliser le TCP/IP sur des ports précis, ou faut t'il que je vous rappelle ce qu'est un protocole "au risque de vous décevoir" ? (cours de première année de n'importe quelle filière informatique, voir "base des réseaux").

quand au "si vous n'utilisez pas le forwarding", je vous renvois à mon premier message, vous savez, le

"/sbin/iptables -I FORWARD -p tcp -i ppp0 --dport 4662 -j ACCEPT"

Maintenant, il est possible que vous ne parliez pas de cela, mais comme je vous l'ai dit, je ne suis pas un spécialiste et mon but n'est pas de le devenir, mais de trouver une solution a un probleme pourtant simple dans la question :

"COMMENT RENVOYER UN PORT D'UNE MACHINE A UNE AUTRE ?"

signé,
un homme déçu.

JJ.

Répondre à ce message
 
 Re: passerelle linux et clients windows, ouverture de ports sur clients distant.
Auteur: Chryjs 
Date:   24-01-03 10:30

Bonjour,

J'ai beau relire je ne vois pas ce qui me vaut une telle décharge d'aggressivité.

Il serait sympathique de donner quelques éléments, de type :
- version du kernel (au cas où) (uname -a),
- modules chargés (lsmod),
- liste des règles iptables chargées,
- configuration des interfaces (ifconfig -a)

Cependant comme vous n'en parlez pas il se pourrait qu'il manque la règle pour les paquets retour pour votre client p2p :

iptables -A PREROUTING -p tcp -m tcp -i ppp0 --dport 4662 --to-destination 192.168.100.1:4662 -j DNAT
iptables -A FORWARD -p tcp -i ppp0 -o eth0 -d 192.168.100.1 --dport 4662 -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 -o ppp0 -s 192.168.100.1 --sport 4662 -j ACCEPT

Pour les autres applications et de façon générale :

# ICQ :
---------
/sbin/modprobe ip_conntrack #ceci devrait résoudre certains problème, module normalement déjà chargé car requis pour iptable_nat et ipt_MASQUERADE

=> il faudrait connaitre vos regles pour voir ce qui peut bloquer, n'oubliez pas les -m state --state xxxx dans vos règles (notamment RELATED)

# FTP :
---------

/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp

NB : Pour "sortir" normalement pas de règle spécifique requise en dehors de la règle globale de masquerading


# Netmeeting (et tout ce qui utilise le h323) :
--------------------------------------------------

Bloc de règles généraliste, toutes ne sont pas requises selon la situation et le besoin.

EI=ppp0
IPADDR= `LANG= LC_ALL= ifconfig ${EI} | grep 'inet addr' | awk -F: '{ print $2 } ' | awk '{ print $1 }'` # External Interface IP ADDR
PCA_HOST=192.168.100.1
H323_PORTS="389 522 1503 1720 1731 8080"

/sbin/insmod ip_conntrack_h323 #pour le h323 (attention ne supporte pas le tunneling)

for PORT in $H323_PORTS; do
iptables -t nat -A PREROUTING -i $EI -p tcp -d $IPADDR \
--dport $PORT -m state --state NEW,ESTABLISHED,RELATED \
-j DNAT --to-destination $PCA_HOST -v
done
for PORT in $H323_PORTS; do
iptables -t nat -A PREROUTING -i $EI -p udp -d $IPADDR \
--dport $PORT -m state --state NEW,ESTABLISHED,RELATED \
-j DNAT --to-destination $PCA_HOST -v
done


NB: Attention cette partie requiert que le module h323 soit compilé, au besoin consulter les README et INSTALL associés.

Une autre solution pourrait être d'installer une passerelle h323...

Chryjs

Répondre à ce message
 Liste des Forums  |  Vue en arborescence   Sujet précedent  |  Sujet suivant 


 
 Répondre à ce message
 Votre Nom:
 Votre Email:
 Sujet:
   


Votez pour ce site au WebOrama