Reprise du message précédent :

bobor a écrit a écrit : bah c'est pour NATé le serveur lorsqu'il est utilisé comme station. C'est pas bon? En tout cas ça marche       J'ai rien trouvé dans les logs kernel. Où je peux trouver les logs spécifiques iptables, sachant que je n'ai pas de règles dans mon script? (Mandrake)

Ben rajoutes ca pour logger, sinon ca va etre emmerdant pour savoir ce qui va pas :
 
- à la fin des chaines INPUT :
iptables -A INPUT -j CatchAll
 
- à la fin des chaines OUTPUT :
$IPTABLES -A OUTPUT -j CatchAll
 
- à la fin des chaines FORWARD :
$IPTABLES -A FORWARD -j CatchAll
 
- Au moment de la création des chaines personalisée, rajoute ca:
$IPTABLES -N CatchAll
 
- Et juste après la création des chaines personnalisées :
$IPTABLES -A CatchAll -j LOG  --log-level info --log-prefix "FW DROP "  -m limit --limit 40/minute
$IPTABLES -A CatchAll  -j DROP

bobor a écrit a écrit : bah c'est pour NATé le serveur lorsqu'il est utilisé comme station. C'est pas bon? En tout cas ça marche       J'ai rien trouvé dans les logs kernel. Où je peux trouver les logs spécifiques iptables, sachant que je n'ai pas de règles dans mon script? (Mandrake)

Ca sert à rien ...  
Qd tu utilises le serveur comme station et que tu vas sur Internet les paquets sortent pas par l'interface lo ...
Tu peux la virer, tu verras que tu accèdes tjrs à internet si tu utilises le serveur comme station ....
 

bobor a écrit a écrit :

tu me crois pas ?
ca marche comme ca chez moi et chez bcp de gens ...
EDIT : cé sérieux ce que je te dis

voici le log résultant:
 
[cpp][/cpp]

il faudrait que j'ouvre le port 1041 dans inet_lan
 
Bizarre, j'ai rien en 1041 dans /etc/services.
 
EDIT:
bon en fait cela change à chaque fois. Il faudrait alors que j'accepte tous les ESTABLISHED,RELATED

Oui et pas seulement pour le proto Http et ftp mais pour tous ...
Mais que tu n'acceptes de forwarder (ou le ouput pour utiliser le fw comme station ...) les nouvelles connexions que si elles ont pour port de destination 80,20 et 21 (les ports de htpp et ftp quoi) .. met aussi les ports SMTP et pop3 en forward, ainsi que dns si t'as pas de dns en internet ...
 
EDIT : et puis t'inquiètes pas trop va .... les règles RELATED et ESTABLISHED ne te créent pas de gros trous de sécurité ... ca marche vraiment bien dans les noyaux 2.4.x ... mé si tu veux être parano, dis toi que y'a des bugs partout même dans netfilter ... (ou comment foutre la merde en 5s arf ... )

mise à jour:
- je ne peux pas accéder aux ftp depuis IE sur la station cliente
- par contre j'y accède depuis "ftp" en ligne de commande de windows    
 
IE est configuré en mode passive. Est-ce que le ftp en ligne de commande l'est aussi???
 
Là ça me dépasse totalement

bobor a écrit a écrit : mise à jour: - je ne peux pas accéder aux ftp depuis IE sur la station cliente - par contre j'y accède depuis "ftp" en ligne de commande de windows       IE est configuré en mode passive. Est-ce que le ftp en ligne de commande l'est aussi???   Là ça me dépasse totalement

Envoies moi le script tel qu'il est maintenant ...

Zzozo a écrit a écrit :   Oui et pas seulement pour le proto Http et ftp mais pour tous ... Mais que tu n'acceptes de forwarder (ou le ouput pour utiliser le fw comme station ...) les nouvelles connexions que si elles ont pour port de destination 80,20 et 21 (les ports de htpp et ftp quoi) .. met aussi les ports SMTP et pop3 en forward, ainsi que dns si t'as pas de dns en internet ...   EDIT : et puis t'inquiètes pas trop va .... les règles RELATED et ESTABLISHED ne te créent pas de gros trous de sécurité ... ca marche vraiment bien dans les noyaux 2.4.x ... mé si tu veux être parano, dis toi que y'a des bugs partout même dans netfilter ... (ou comment foutre la merde en 5s arf ... )

 
j'ai un dns local et lme resolve.conf du serveur sur mamadou.
 
Donc je n'ouvre les ports dns que entre le lan et le serveur. Pour le smtp et pop, idem, c'est le serveur qui va chercher tout ça et qui retransmet vers l'extérieur. Le LAN va se servir sur le serveur. Donc tout est ok de ce coté là.
 
Et effectivement le postrouting localhost était là juste pour faire joli

remise à jour:
en ftp ligne de commande, je peux me balader dans les répertoires mais je ne parviens pas à faire de get. Et seulement sur un ftp anonymous.
je ne parviens pas à me loguer sur mon ftp perso

et dans le log, il y'a quoi concernant Ftp ?

GRRRRRRRRRRRRRRR ...
Tu logues pas les paquets droppé là ....    
Tu logues ceux qui passent ... ca sert à rien .. on s'en fout de ca ..

après modif catch_all en drop  
cela donne qq chose comme ça
 

Mais tu droppes tout là !!!!!    
   

oups je crois que je me suis encore planté... c'est tous les forward où je mets catch_all et je retire lan_inet et inet_lan?
 
EDIT: non c'est bon j'ai compris, je rajoute juste la règle catch_all après les autres

non t'as pas lu ce que j'ai posté auparavant ...
tu laisses les accept comme tu avais sans logguer aucun message
mais à la fin des blocs INPUT, OUTPUT, FORWARD, tu mets une règle
du style :
$IPTABLES -A XXXX -j Catch_all (avec XXXX qui est parmi INPUT, OUTPUT, FORWARD suivant le bloc dans lequel tu es)
Ces règles te permettent de récupérer les paquets qui ne correspondent à aucune règle et qui seront dropppés par la policy par défaut normalement, sauf que là on les logues avant de les dropper ...
Cé bon ?

bon j'ai édité le log précédent. Tu peux y jeté un oeil  

 
Alors marche toujours pas le FTP ?
 
Juste une remarque : apres -multiport c'est pas -dports au lieu de -dport ?

bobor a écrit a écrit : bon j'ai édité le log précédent. Tu peux y jeté un oeil

Cé tout ce qu'il y a pour le FTP ?
T'en a pas plus ? réessayes en changeant le --limit 40/minute en
--limit 100/minute
Par contre cé louche cette histoire de port 1900 en UDP ...  

Gaellick a écrit a écrit :   Alors marche toujours pas le FTP ?   Juste une remarque : apres -multiport c'est pas -dports au lieu de -dport ?

Exact ... tu tombes bien toi ... je vais pouvoir me coucher maintenant alors, je peux te refiler le bébé ...

Heu pas tout de suite je pars dans une heure

Gaellick a écrit a écrit : Heu pas tout de suite je pars dans une heure

 
Mais je reviens 2  heures apres, on va pas le laisser tombrer Bobor

merci à tous    
 
j'ai corrigé en dports mais toujours pareil et en plus je pouvais quanb même surfer sur le net

Gaellick a écrit a écrit :     Mais je reviens 2  heures apres, on va pas le laisser tombrer Bobor

Cé moi qui vais tomber si ca continue ...  

Quel est l'adresse IP de ta machine Windows depuis laquelle tu essaies d'acceder au net et FTP ?

Y'a plus personnne

bobor a écrit a écrit :     j'ai un dns local et lme resolve.conf du serveur sur mamadou.   Donc je n'ouvre les ports dns que entre le lan et le serveur. Pour le smtp et pop, idem, c'est le serveur qui va chercher tout ça et qui retransmet vers l'extérieur. Le LAN va se servir sur le serveur. Donc tout est ok de ce coté là.   Et effectivement le postrouting localhost était là juste pour faire joli

Au fait ca suffit pas ca ... le resolv.conf, cé pas lui qui va indiquer à ton serveur DNS local de rediriger les requetes qu'il sait pas traiter vers les DNS de Mammadoo ... ca se fait dans la config du DNS et pas dans le resolv.conf ... le resolv.conf ne sert à définir que les résolutions de nom (DNS, hosts, NIS, etc ...) de ton serveur que lorsqu'il se comporte commme client ...
Tu dois avoir des lignes comma ca dans un des fichiers de config de ton DNS :
forwarders {
  193.252.19.3;
  193.252.19.4;
};

windows 192.168.100.10
server 192.168.100.254
ftp 212.208.254.21 (ftp externe)

 
oui effectivement mais je l'ai bien mis. Par contre j'ai des trucs que je comprends pas trop dans le DNS. Notamment les enregistrements mail MX. J'ai déclaré mon serveur mail en MX pour la zone domainmail.moi. Mais je ne peux pas le pinguer. Donc je rajoute un CNAME entre mail.domainname.moi vers le server et là je peux le pinguer. Mais je ne crois pas qu'on puisse mettre un MX et un CNAME. En tout cas ça marche.
 
L'enregistrement MX est-il nécessaire?  
POstfix me fait ensuite un relayhost vers mamadou.

Bon moi je vais dodo ...
je serais pas utile dans cet état là ...
   
 

Si je comprends bien ton lan est en 192.168.0.0/24
et ton serveur FTP
est en
212.208.254.21
 
Et ut voudrais pour l'instant arriver a acceder a ton serveur FTP depuis ton LAN en interne sans passer par le net dans un premier temps c'est ca ?
Si tu peux me faire un petit recapitulatif merci

non
 
serveur/firewall/routeur: 192.168.100.254
LAN sur eth0: 192.168.100.0
station connectée sur eth0: 192.168.100.10
 
ftp qui n'est pas chez moi mais ailleurs (ftp de D-link en l'occurence) que j'utilise pour mes essais donc qui apparait dans les logs : 212.208.254.21
 
Moi je n'ai pas encore mis de serveur ftp sur mon serveur à moi qui m'appartient. Je veux simplement accéder aux serveurs qui sont sur la planète, qui ne m'appartiennent pas et qui sont pas à moi.

Donc tu veux pouvoir acceder aux serveur FTP de la planete depuis ton LAN en 192.168.0.0/24 (ou 192.168.0.10 pour ta machine Windows) et ton LAN accede a ton serveur/passerelle/routeur par eth0. Ca yy'est je crois que j'ai compris.
Faut que je m'en aille la mais je reviens dans 2 heures. Est-ce que tu peux me mettre la derniere version de ton script STP ainsi qu'une copie de tes logs quand tu essaies de te connecter au FTP. Je vais avoir le temps de mater ca pendant les 2 heures qui viennent.

la dernière version du script:
 

 
Le log est juste au dessus

Merci
 
Essaies en remplacant ca  

Par ca

De plus je pense que le client FTP de ton poste Windows n'utilise pas ton server DNS pour la resolution de nom. Essaie en autorisant les connections au port 53 dans tes regles de FORWARD si ce que j'ai mis au dessus ne marche pas.

je ne crois pas qu'on ait le droit de mettre un -i sur un PSOTROUTING (seulement INPUT, FORWARD et PREROUTING).
 
Pour le DNS, on voit bien l'IP du serveur ftp dans les logs ce qui prouve que la station va chercher le bon DNS. En fait c'est le serveur qui va chercher de manière transparente. La station est client dhcp et le serveur lui fournit le serveur dns c'est à dire le serveur lui-même qui fait alors le relai vers mamadou.

 
Exact on peut pas mettre de -i j'avais oublie desole.
 
On va essayer autre chose juste pour voir.
 
tu mets
 

 
avant tes regles INPUT juste apres les POSTROUTING