Reprise du message précédent :
Enfin juste comme ca, mélanger des règles de shorewall et des règles faites à la main ca rique de ne pas etre terrible.
 
Soit tu utilises shorewall et tu mets les regles de nat et d'ouverture pour shorewall. Il y a une tres bonne doc de shorewall il me semble.
 
Soit tu fais tes propres regles de filtrage en entier

bon eh bien grace à toi j'ai vraiment bien avancé ! Voici où j'en suis :
 
- PC linux connecté à internet par eth0.
- PC linux internet sharing sur eth1, réseau 192.168.1.0
- PC linux configuré en passerelle. Lui n'a pas accès au net mais le réseau oui.
 
- un hub est branché sur eth1 et distribue internet à deux pc, l'un 192.168.1.2 et l'autre 192.168.1.3. Le partage de fichiers entre les deux pc marchent et les deux pc ont accès au net.
 
-Voici ma table iptables :
 
INPUT DROP
FORWARD ACCEPT TCP 7680 192.168.1.3
FORWARD ACCEPT TCP 5800 192.168.1.3
FORWARD ACCEPT TCP 5900 192.168.1.3
OUTPUT DROP
 
Au niveau de la sécurité d'après les tests en ligne c'est parfait, je sais c'est utopique mais il faut bien que je me base sur quelquechose.
 
Maintenant ce qui ne va pas ;-)
-Dans mon iptables mon forward pour le programme utilisant le port 7680 marche nikel, mais pas vnc serveur, pourquoi ?
-Au niveau de la sécurité puis-je améliorer la situation ?
 
Merci

en utilisant l'assistant Mandriva pour mettre en place le firewall et un partage de connexion, voici que je j'ajoute pour rediriger un port.
 
je mets cela dans /etc/shorewall/rules
 

 
la p1ère ligne par exemple redirige le port 80 ( www ) en tcp ( tcp ) vers le poste 192.168.1.20 situé dans le réseau local/interface locale ( loc )

merci mais je suis bloqué pour le serveur ftp et vnc... Je cherche sur le site que m'as donné lOky

comment on fait pour sauvegarder ce *** de iptables ? J'ai déjà fait un /sbin/service iptables save mais il s'en tamponne le coquillard il me relance ses règles par defaut à chaque démarrage et je suis obligé de me taper un iptables-restore.
Vous savez comment on fait ? Merci !

up !

iptables-save > /etc/sysconfig/iptables

 
Merci mais ça ne marche pas... on peut faire des scripts de démarrage je suppose ?

je t'assure que si. ça sauvegarde les règles en cours dans le fichier donné en argument. Ensuite, au démarrage, le service iptables (qui est lancé bien sur) fait un iptables-restore < /etc/sysconfig/iptables  pour réappliquer les règles.

+ est ce que le service iptables est lancé au démarrage ?
 

 
+ si pour le runlevel 3 et 5 tu as arrêt, active le service iptables :

http://www.linux-wizard.net/howto. [...] y=services
 
+ assures toi que shorewall est désactivé :

 
moi je te crois... C'est ma mandrake qui ne me croit pas

 
 
 
Résultat : je vous le dis dans 10 minutes...

Merci ! Ca marche ! Apparemment le problème venait du shorewall qui devait être sur on. Merci !
Par contre je me bagarre toujours avec le server vnc et ftp. Quand j'essaye d'y accéder depuis le pc1 192.168.1.2, je tape dans vncviewer le nom du server xxx.xxx.biz, mais il ne trouve rien.
Voici ma table iptables pour le moment :
 

 
Les ports 5800 et 5900 c'est pour vnc, le port 5555 c'est pour mon serveur ftp ssl, les ports 35740 à 35760 ce sont les ports ftp passifs, et le port 8245 c'est pour permettre à no-ipduc de faire les maj dns. Le port 20 j'ai toujours du l'ouvrir dans le firewall sinon il refuse de lister les répertoires.
Voilà ! Quelle est l'erreur ?

up

up

j'ai également créé un batch qui permet d'uploader automatiquement des données vers un serveur ftp. Mais ça ne marche plus avec la passerelle, il me met l'erreur :  500 Illegal PORT range rejected (Zeus Extensible Traffic Manager FTP proxy). Pas de problème au niveau de la connexion ni pour se placer dans un répertoire voulu, c'est au niveau de la commande "put" que ça merde.
Je précise que ça marche en faisant un copier coller manuel par internet explorer...
Que faut-il ouvrir sur la passerelle pour que cela marche à nouveau ? Merci !

up je patauge ! J'ai fait plein de recherches mais je n'ai rien trouvé qui corresponde à mon problème. Il y a peu de tuto sur les passerelles...

faire du forwarding ftp est très difficile car tu ne peux vraiment savoir quels ports seront utilisés.
 
déjà mets tes clients en mode passif.
 
ensuite active le module de suivi pour le ftp ( ip_conntrack_ftp )
 
http://www.siliconvalleyccie.com/l [...] -intro.htm
http://mlinux.free.fr/articles.php?lng=fr&pg=27

merci je vais essayer ça. Mes clients sont toujours en mode passif. Est-ce que le fait d'avoir une connexion sécurisée SSL/TLS change quoi que ce soit ? Pourquoi ne sait-on pas quels ports seront utilisés ? Car dans ce cas à quoi cela sert-il de définir le port de connexion et la plage de ports passifs ?

c'est inhérant a FTP. sépration des commandes FTP (port 21) des transfert de données

une autre petite question au passage : vaut-il mieux utiliser la commande ip_conntrack_ftp ou modprobe ip_masq_ftp ?

 
En l'ocurrence je n'utilise jamais le port 21... Mais je comprends.

j'ai édité /etc/modprobe.preload avec les lignes suivantes :
ip_conntrack_ftp
ip_nat_ftp
 
l'ennui c'est que je n'ai aucune confirmation du chargement des modules. Et lorsque au démarrage de l'ordinateur je tape ces commandes il ne dit rien... C'est assez frustrant ;-) Je ne sais jamais ce qui se passe réellement.
Je vais tester la connexion depuis un poste distant.

si tu n'utilise pas le port 21 tu as pensé a renseigner les modules du port que tu utilises ?

pour voir si le module a été chargé: lsmod

 
c'est à dire ? pour l'instant j'ai rentré les lignes suivantes dans iptables pour le ftp :
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5555 -j DNAT --to-destination 192.168.1.3
iptables -t filter -A FORWARD -i eth0 -p tcp --dport 35740:35760 -d 192.168.1.3 -j ACCEPT
 
 
5555 pour le port de connexion et 35740 à 35760 pour les ports passifs.

c'est bon ça marche ! Mais seulement depuis l'extérieur... Ce qui n'a aucune importance d'ailleurs. Effectivement avec lsmod j'ai pu vérifié que les modules ftp étaient bien lancés.
Je me suis connecté à un pc distant, et la connection à mon serveur vnc et ftp depuis ce pc s'est passé sans problème.
Un grand merci à tous et particulièrement à l0ky!