Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2114 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  Pb : IPCHAINS & Serveur

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Pb : IPCHAINS & Serveur

n°34386
Snake Ulti​mate
Webmaster France Hardware
Posté le 11-10-2001 à 15:11:11  profilanswer
 

J'y arrive po !!!!
 
Bon alors, le but : Partage de connexion sans filtrage + Filtrage sur serveur uniquement. Le serveur doit faire fonctionner Apache, MySQL, POP3, SMTP, FTP et COUNTER STRIKE.
 
Voilà ce ke je pensais faire (en oubliant Counter ds un premier tps) :
 
ipchains -P input ACCEPT (post modifié)
ipchains -P forward DENY
ipchains -P output ACCEPT
ipchains -A forward -s 192.168.0.0/24 -i ppp0 -j MASQ
 
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p tcp -i ppp0 -j DENY -y
 
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 80 -p tcp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 21 -p tcp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 53 -p tcp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 25 -p tcp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 110 -p tcp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 3306 -p tcp -i ppp0 -j ACCEPT
 
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 80 -p udp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 21 -p udp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 53 -p udp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 25 -p udp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 110 -p udp -i ppp0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 3306 -p udp -i ppp0 -j ACCEPT
 
 
Le partage marche nickel mais le serveur semle innaccessible depuis le web, la question est : k'est-ce qui va pas ? et y'a-t-il des ports inutilement ouverts ?

 

[edtdd]--Message édité par Snake Ultimate--[/edtdd]


---------------
Les prix du matos sur Internet et près de chez vous : www.france-hardware.com
mood
Publicité
Posté le 11-10-2001 à 15:11:11  profilanswer
 

n°34388
chr_79
Posté le 11-10-2001 à 15:18:54  profilanswer
 

si tu place la ligne "ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p tcp -i ppp0 -j DENY -y" a la fin ?

n°34423
ethernal
Chercheur de vérité...
Posté le 11-10-2001 à 20:12:41  profilanswer
 

http, ftp, pop (110) et smtp(25) n'utilise que le protocol tcp
mysql aussi je pense - si tu n'utilises mysql que avec php, je te conseille de fermer ce port !
Pour le ftp le port data(20) doit être ouvert aussi.
 
Restreint les règles en spécifiant ton ip externe comme source ou destination.  Si elle est dynamique utilise
$MY_IP=`ifconfig ppp0 \grep inet \ cut -d : -f 2 \ cut -d \  -f 1`  
Cela t'oblige à relancer le firewall à chaque déconnexion, ajoute la ligne de commande dans /etc/ppp/ip-up.local
 
Essaye dans la mesure du possible d'avoir les police par défaut à DENY (ipchains -P input DENY, ipchains -P output DENY, ipchains -P forward DENY)
 
A consulter :
une bonne url http://www.linux-firewall-tools.com/linux/faq/
un script idéal de base à modifier : http://www.linux-firewall-tools.co [...] l.ipchains
 
Conseil : passe à iptables, c'est bien plus puissant ! ;)

n°34425
Snake Ulti​mate
Webmaster France Hardware
Posté le 11-10-2001 à 20:14:52  profilanswer
 

Merci pour toutes ces infos !!! Trop cool toi :)


---------------
Les prix du matos sur Internet et près de chez vous : www.france-hardware.com
n°34432
GUG
Posté le 11-10-2001 à 20:32:37  profilanswer
 

pour cs faut ouvrir (de tete) les ports 27010
et 27015 a 27065

n°34433
GUG
Posté le 11-10-2001 à 20:33:59  profilanswer
 

active aussi au debut les protections du kernel  
 
masi si t juste au debut de la conception d un firewall passe a iptable  
 
et un conseil avant de le faire ecrit sur un bout de papier la structures logiques de ton firewall  avec ceux que tu veux ouvrir ou fermer

n°34438
Snake Ulti​mate
Webmaster France Hardware
Posté le 11-10-2001 à 20:45:40  profilanswer
 

Ca apporte koi de + IPTABLES ? c plus simple à configurer ?


---------------
Les prix du matos sur Internet et près de chez vous : www.france-hardware.com
n°34450
Jubijub
Parce que je le VD bien
Posté le 11-10-2001 à 21:04:03  profilanswer
 

[mode Martinez and Ping ON]
 
CAI STATEFULL !!!!!!!!!!!!!!!!
 
[mode martinez and Ping OFF]
 
en gros, ca gère tt les status de connections, bien mieux qu'IP chains...
 
ca utilise aussi les fonctions rézo du kernel 2.4, qui sont plus rapides...
 
et y'a plus de syntaxe possible, vu que ca intègre le portmapping, chose que ipchains ne peut faire qu'avec IPmasqADM...


---------------
Jubi Photos : Flickr - 500px
n°34451
Jubijub
Parce que je le VD bien
Posté le 11-10-2001 à 21:04:31  profilanswer
 

au fait, bien vu tes sites, c sympa, pour moi qui habite lyon...


---------------
Jubi Photos : Flickr - 500px
n°34463
GUG
Posté le 11-10-2001 à 21:45:23  profilanswer
 

j ai tjrs po bien compris ce qu etait le statefool m enfin  
 
iptable le truc le plus interressent est carrement le port mapping super pratique faut vraiment que je m y mette a iptable pour l instant je suis sous ipchains

mood
Publicité
Posté le 11-10-2001 à 21:45:23  profilanswer
 

n°34469
chr_79
Posté le 11-10-2001 à 22:21:07  profilanswer
 

GUG a écrit a écrit :

pour cs faut ouvrir (de tete) les ports 27010
et 27015 a 27065  




 
le 27015 suffit pour cs

n°34470
GUG
Posté le 11-10-2001 à 22:22:17  profilanswer
 

tous les servers sont po en 2015 y en a qui vont jusqu a 2065 :D

n°34471
ethernal
Chercheur de vérité...
Posté le 11-10-2001 à 22:26:04  profilanswer
 

iptables simplifie un peu les choses ...
Statefull = tu peux considérer que les connections établies sont de confiance par exemple.
Imagine que tu as une machine connectée à Internet et que tu permets à tout le monde d'accéder à certains services (web, ftp,...).  
Chaque fois qu'une personne se connecte (input), tu testes pleins de choses (pas de spoof, pas d'adresses interdites, connection sur certains ports...) et puis tu accèptes la connection si tout est ok.  
Pour renvoyer des infos à la personne connectée (output), tu peux considérer que si la connection a été établie tu acceptes de lui envoyer ces informations.
 
C'est assez pratique... ;)
c'est ça le "statefull".

 

[edtdd]--Message édité par ethernal--[/edtdd]

n°34478
chr_79
Posté le 11-10-2001 à 22:48:41  profilanswer
 

GUG a écrit a écrit :

tous les servers sont po en 2015 y en a qui vont jusqu a 2065 :D  




 
sauf que si il fait son propre serveur, il le fixe sur un port (le 27015 par défaut)  :D

n°34482
Jubijub
Parce que je le VD bien
Posté le 11-10-2001 à 22:57:28  profilanswer
 

je confirme : pour le client, c tjs 27015 ...si tu fais un server, t'a la plage [27000-31000]


---------------
Jubi Photos : Flickr - 500px
n°34484
chr_79
Posté le 11-10-2001 à 23:09:34  profilanswer
 

Jubijub a écrit a écrit :

je confirme : pour le client, c tjs 27015 ...si tu fais un server, t'a la plage [27000-31000]  




 
sauf que tu peux changer aussi le client et utiliser un autre port que le 27015.
 
Par défaut, c le 27015 que ton serveur doit accepter en entrée.
Comme tout est accepté en sortie dans le cas présent, tu n'a pas a préciser la plage de sortie.

n°34492
GUG
Posté le 11-10-2001 à 23:53:20  profilanswer
 

ethernal a écrit a écrit :

iptables simplifie un peu les choses ...
Statefull = tu peux considérer que les connections établies sont de confiance par exemple.
Imagine que tu as une machine connectée à Internet et que tu permets à tout le monde d'accéder à certains services (web, ftp,...).  
Chaque fois qu'une personne se connecte (input), tu testes pleins de choses (pas de spoof, pas d'adresses interdites, connection sur certains ports...) et puis tu accèptes la connection si tout est ok.  
Pour renvoyer des infos à la personne connectée (output), tu peux considérer que si la connection a été établie tu acceptes de lui envoyer ces informations.
 
C'est assez pratique... ;)
c'est ça le "statefull".  
 
 




 
merci

n°34697
Snake Ulti​mate
Webmaster France Hardware
Posté le 13-10-2001 à 01:57:46  profilanswer
 

Ok, merci je v voir les howto sur IPTABLES pour voir...
Sinon, comme script de reconnexion automatique (et reboot du modem si possible) pour une connexion ADSL PPTP via Alcatel Ethernet Speed Touch Home, on trouve koi ?


---------------
Les prix du matos sur Internet et près de chez vous : www.france-hardware.com
n°34723
ethernal
Chercheur de vérité...
Posté le 13-10-2001 à 12:04:31  profilanswer
 

iptables :  
- http://www.knowplace.org/netfilter/syntax.html
- http://www.linuxguruz.org/iptables/
- http://netfilter.filewatcher.org/
- http://people.unix-fu.org/andreasson/
 
connexion modem Speed Touch Home ethernet :
pppoe : http://www.roaringpenguin.com/pppoe/
(la configuration avec pppoe en plugin demande une configuration spéciale du firewall pour accéder à certains sites)
 
c'est quoi la défférence entre ppptp et pppoe ?
 
ADSL en général : http://linux.adsl-bc.org/

 

[edtdd]--Message édité par ethernal--[/edtdd]

n°34726
Jubijub
Parce que je le VD bien
Posté le 13-10-2001 à 12:09:41  profilanswer
 

pptp ou pppoe :  
pptp : point to point protocol : protocole propriétaire Microsoft, qui crée un réseau virtuel privé pour établir la connection...fermé et un poil plus lent que le pppoe, donc suxx
 
pppoe : ppp over ethernet : les paquets sont encapsulés dans des paquets IP : plus rapide, et norme libre
 
 
en gros, t'a le choix, tu peux demander à FT la migration....


---------------
Jubi Photos : Flickr - 500px
n°34728
ethernal
Chercheur de vérité...
Posté le 13-10-2001 à 12:13:58  profilanswer
 

thx  :jap:

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  Pb : IPCHAINS & Serveur

 

Sujets relatifs
Serveur radius linuxComment modifier l'adresse IP d'un serveur UNIX Sco OpenServeur
Serveur Gimp?Install de serveur HL/Cstrike sous linux
serveur FTP sous linuxServeur Q3
[debutant]serveur mail486 et serveur linux
ld.so.conf / Serveur CSDepuis quand le serveur tourne ??
Plus de sujets relatifs à : Pb : IPCHAINS & Serveur


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR