 |
||
| ||
| |||||
| Dernière réponse | |
|---|---|
| Sujet : Pb : IPCHAINS & Serveur | |
| ethernal | thx :jap: |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| ethernal | thx :jap: |
| Jubijub | pptp ou pppoe : pptp : point to point protocol : protocole propriétaire Microsoft, qui crée un réseau virtuel privé pour établir la connection...fermé et un poil plus lent que le pppoe, donc suxx pppoe : ppp over ethernet : les paquets sont encapsulés dans des paquets IP : plus rapide, et norme libre en gros, t'a le choix, tu peux demander à FT la migration.... |
| ethernal | iptables : - http://www.knowplace.org/netfilter/syntax.html - http://www.linuxguruz.org/iptables/ - http://netfilter.filewatcher.org/ - http://people.unix-fu.org/andreasson/ connexion modem Speed Touch Home ethernet : pppoe : http://www.roaringpenguin.com/pppoe/ (la configuration avec pppoe en plugin demande une configuration spéciale du firewall pour accéder à certains sites) c'est quoi la défférence entre ppptp et pppoe ? ADSL en général : http://linux.adsl-bc.org/ [edtdd]--Message édité par ethernal--[/edtdd] |
| Snake Ultimate | Ok, merci je v voir les howto sur IPTABLES pour voir...
Sinon, comme script de reconnexion automatique (et reboot du modem si possible) pour une connexion ADSL PPTP via Alcatel Ethernet Speed Touch Home, on trouve koi ? |
| GUG |
|
| chr_79 |
|
| Jubijub | je confirme : pour le client, c tjs 27015 ...si tu fais un server, t'a la plage [27000-31000] |
| chr_79 |
|
| ethernal | iptables simplifie un peu les choses ...
Statefull = tu peux considérer que les connections établies sont de confiance par exemple. Imagine que tu as une machine connectée à Internet et que tu permets à tout le monde d'accéder à certains services (web, ftp,...). Chaque fois qu'une personne se connecte (input), tu testes pleins de choses (pas de spoof, pas d'adresses interdites, connection sur certains ports...) et puis tu accèptes la connection si tout est ok. Pour renvoyer des infos à la personne connectée (output), tu peux considérer que si la connection a été établie tu acceptes de lui envoyer ces informations. C'est assez pratique... ;) c'est ça le "statefull". [edtdd]--Message édité par ethernal--[/edtdd] |
| GUG | tous les servers sont po en 2015 y en a qui vont jusqu a 2065 :D |
| chr_79 |
|
| GUG | j ai tjrs po bien compris ce qu etait le statefool m enfin iptable le truc le plus interressent est carrement le port mapping super pratique faut vraiment que je m y mette a iptable pour l instant je suis sous ipchains |
| Jubijub | au fait, bien vu tes sites, c sympa, pour moi qui habite lyon... |
| Jubijub | [mode Martinez and Ping ON]
CAI STATEFULL !!!!!!!!!!!!!!!! [mode martinez and Ping OFF] en gros, ca gère tt les status de connections, bien mieux qu'IP chains... ca utilise aussi les fonctions rézo du kernel 2.4, qui sont plus rapides... et y'a plus de syntaxe possible, vu que ca intègre le portmapping, chose que ipchains ne peut faire qu'avec IPmasqADM... |
| Snake Ultimate | Ca apporte koi de + IPTABLES ? c plus simple à configurer ? |
| GUG | active aussi au debut les protections du kernel masi si t juste au debut de la conception d un firewall passe a iptable et un conseil avant de le faire ecrit sur un bout de papier la structures logiques de ton firewall avec ceux que tu veux ouvrir ou fermer |
| GUG | pour cs faut ouvrir (de tete) les ports 27010
et 27015 a 27065 |
| Snake Ultimate | Merci pour toutes ces infos !!! Trop cool toi :) |
| ethernal | http, ftp, pop (110) et smtp(25) n'utilise que le protocol tcp
mysql aussi je pense - si tu n'utilises mysql que avec php, je te conseille de fermer ce port ! Pour le ftp le port data(20) doit être ouvert aussi. Restreint les règles en spécifiant ton ip externe comme source ou destination. Si elle est dynamique utilise $MY_IP=`ifconfig ppp0 \grep inet \ cut -d : -f 2 \ cut -d \ -f 1` Cela t'oblige à relancer le firewall à chaque déconnexion, ajoute la ligne de commande dans /etc/ppp/ip-up.local Essaye dans la mesure du possible d'avoir les police par défaut à DENY (ipchains -P input DENY, ipchains -P output DENY, ipchains -P forward DENY) A consulter : une bonne url http://www.linux-firewall-tools.com/linux/faq/ un script idéal de base à modifier : http://www.linux-firewall-tools.co [...] l.ipchains Conseil : passe à iptables, c'est bien plus puissant ! ;) |
| chr_79 | si tu place la ligne "ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p tcp -i ppp0 -j DENY -y" a la fin ? |
| Snake Ultimate | J'y arrive po !!!!
Bon alors, le but : Partage de connexion sans filtrage + Filtrage sur serveur uniquement. Le serveur doit faire fonctionner Apache, MySQL, POP3, SMTP, FTP et COUNTER STRIKE. Voilà ce ke je pensais faire (en oubliant Counter ds un premier tps) : ipchains -P input ACCEPT (post modifié) ipchains -P forward DENY ipchains -P output ACCEPT ipchains -A forward -s 192.168.0.0/24 -i ppp0 -j MASQ ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p tcp -i ppp0 -j DENY -y ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 80 -p tcp -i ppp0 -j ACCEPT ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 21 -p tcp -i ppp0 -j ACCEPT ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 53 -p tcp -i ppp0 -j ACCEPT ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 25 -p tcp -i ppp0 -j ACCEPT ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 110 -p tcp -i ppp0 -j ACCEPT ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 3306 -p tcp -i ppp0 -j ACCEPT ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 80 -p udp -i ppp0 -j ACCEPT ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 21 -p udp -i ppp0 -j ACCEPT ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 53 -p udp -i ppp0 -j ACCEPT ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 25 -p udp -i ppp0 -j ACCEPT ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 110 -p udp -i ppp0 -j ACCEPT ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 3306 -p udp -i ppp0 -j ACCEPT Le partage marche nickel mais le serveur semle innaccessible depuis le web, la question est : k'est-ce qui va pas ? et y'a-t-il des ports inutilement ouverts ? [edtdd]--Message édité par Snake Ultimate--[/edtdd] |
