Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
4657 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  ouvrir un port sur debian

 
 


Dernière réponse
Sujet : ouvrir un port sur debian
shurik84

O'Gure a écrit :


Je te conseille d'y aller par une méthode incrémentale :
1. Tu mets en place le réseau coté LAN
 >> il faut que l'ensemble des postes des deux réseaux puissent communiquer entre eux
(à priori c'est fait)
 
2. Tu mets en place la connectivité Internet pour le firewall
(ça dépend de ta méthode de connexion)
 
3. Tu mets en place la connectivité Internet pour les deux autres réseau
>> ça dépend de plusieurs paramètres mais le plus simple reste de rajouter un NAT sur l'interface de sortie vers Internet sur le firewall (le MASQUERADE de netfilter/iptables)
>> il faut que l'ensemble des machines puisses accéder au NET
 
4. tu t'intéresses au filtrage entre les deux réseaux.
>> table filter de netfilter/iptables
>> mécanisme stateful (-m state --state NEW,ESTABLISED, etc.)
 
5. tu t'intéresses à l'accessibilité de tes serveurs depuis le Web (DNAT, mécanisme stateful...)


 
 
1. Oui connexion entre les 4 reseaux possible avec ip forward à 1 ce qui est normale ( en revanche il me faut essayé de limiter la connexion qu'avec 2 réseaux !!
2. , 3., 5. Obliger de mettre en place la connectivité ? car je simule internet par un server web local par les VM  
 
4. Je pense que le gros du travail sera effectivement pour
>> table filter de netfilter/iptables
>> mécanisme stateful (-m state --state NEW,ESTABLISED, etc.)


Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
shurik84

O'Gure a écrit :


Je te conseille d'y aller par une méthode incrémentale :
1. Tu mets en place le réseau coté LAN
 >> il faut que l'ensemble des postes des deux réseaux puissent communiquer entre eux
(à priori c'est fait)
 
2. Tu mets en place la connectivité Internet pour le firewall
(ça dépend de ta méthode de connexion)
 
3. Tu mets en place la connectivité Internet pour les deux autres réseau
>> ça dépend de plusieurs paramètres mais le plus simple reste de rajouter un NAT sur l'interface de sortie vers Internet sur le firewall (le MASQUERADE de netfilter/iptables)
>> il faut que l'ensemble des machines puisses accéder au NET
 
4. tu t'intéresses au filtrage entre les deux réseaux.
>> table filter de netfilter/iptables
>> mécanisme stateful (-m state --state NEW,ESTABLISED, etc.)
 
5. tu t'intéresses à l'accessibilité de tes serveurs depuis le Web (DNAT, mécanisme stateful...)


 
 
1. Oui connexion entre les 4 reseaux possible avec ip forward à 1 ce qui est normale ( en revanche il me faut essayé de limiter la connexion qu'avec 2 réseaux !!
2. , 3., 5. Obliger de mettre en place la connectivité ? car je simule internet par un server web local par les VM  
 
4. Je pense que le gros du travail sera effectivement pour
>> table filter de netfilter/iptables
>> mécanisme stateful (-m state --state NEW,ESTABLISED, etc.)

O'Gure

shurik84 a écrit :

au niveau sécurité dans le cadre du filtrage proxy / firewall ca va gêner non ? si je veut que seulement 1 ou 2 machines d'un ou deux réseaux arrivent a accéder au web !


Je te conseille d'y aller par une méthode incrémentale :
1. Tu mets en place le réseau coté LAN
 >> il faut que l'ensemble des postes des deux réseaux puissent communiquer entre eux
(à priori c'est fait)
 
2. Tu mets en place la connectivité Internet pour le firewall
(ça dépend de ta méthode de connexion)
 
3. Tu mets en place la connectivité Internet pour les deux autres réseau
>> ça dépend de plusieurs paramètres mais le plus simple reste de rajouter un NAT sur l'interface de sortie vers Internet sur le firewall (le MASQUERADE de netfilter/iptables)
>> il faut que l'ensemble des machines puisses accéder au NET
 
4. tu t'intéresses au filtrage entre les deux réseaux.
>> table filter de netfilter/iptables
>> mécanisme stateful (-m state --state NEW,ESTABLISED, etc.)
 
5. tu t'intéresses à l'accessibilité de tes serveurs depuis le Web (DNAT, mécanisme stateful...)
shurik84

O'Gure a écrit :


Pour activer le routage : sysctl -w net.ipv4.ip_forward=1
Cette ligne n'est pas persistente, il te faudra la retapper au redémmarage ou la mettre dans un script.
Je ne me rappelle plus si au boot, la debian lit le fichier /etc/sysctl.conf (si oui, tu peux mettre la conf la dedans pour activer le routage)


 
Oui, il le lit au boot donc c'est ce que je vais faire car retapper la commande pas pratique en revanche en activant le routage les autre machines virtuelles arrive a pinguer les 4 réseaux  
 
au niveau sécurité dans le cadre du filtrage proxy / firewall ca va gêner non ? si je veut que seulement 1 ou 2 machines d'un ou deux réseaux arrivent a accéder au web !
 
M'enfin bref je verrais !!! :wahoo:  Je vais lire les liens car ils ont l'air complet !! Merci  :hello:
O'Gure

shurik84 a écrit :

L'histoire du nat, c'est pour la suite pour du filtrage mais je me suis tromper ca sera plus orienter sur la table filter ?


Dans un LAN, il faut TOUJOURS privilégier le routage au NAT. Ca te complexifie une archi et les confs pour rien.
Lorsque tu voudras ouvrir sur Internet, oui là le NAT sera malheureusement obligatoire si tu n'as pas plusieurs adresse IP publique. Suivant les politiques par défaut de tes chaines filter, tu auras peut etre besoin d'ouvrir le port TCP/80 dans certains sens, sinon de base, une règle de DNAT suffira. (avec un maquerade pour le trafic sortant vers internet).

 

http://irp.nain-t.net/doku.php/130netfilter:start
http://www.linux-france.org/prj/in [...] ing-Howto/

 
shurik84 a écrit :

Une autre question le routage sur les poste windows doit il etre activer ou ce n'est pas nessaire ?


Non, tu rajoutes seulement la route par défaut dans les propriétés réseau
shurik84 Sorry  :ange:
O'Gure shurik84> pour tes prochains posts dans cette catégorie, évite de poster 10000 fois tes questions dans différents topics.
Il n'y a rien de plus énervants de passer du temps à te répondre et de voir que sur un aute topic tu as avancé.
 
=> Soit un nouveau topic (tu as le droit d'en créer)
=> Soit un post dans un SEUL topic.
 
Merci.
shurik84 Ok je te remercie je vais tester !!
L'histoire du nat, c'est pour la suite pour du filtrage mais je me suis tromper ca sera plus orienter sur la table filter ?
 
Une autre question le routage sur les poste windows doit il etre activer ou ce n'est pas necessaire ?
O'Gure Pas besoin de nat, il suffit de rajouter une route par défaut sur tes équipements Windows et d'activer le routage sur la debian

 

Pour les postes sur le réseau 1 : passerelle par défaut :192.168.0.254
Pour les postes sur le réseau 2: passerelle par défaut : 192.168.147.254
Pour activer le routage : sysctl -w net.ipv4.ip_forward=1
Cette ligne n'est pas persistente, il te faudra la retapper au redémmarage ou la mettre dans un script.
Je ne me rappelle plus si au boot, la debian lit le fichier /etc/sysctl.conf (si oui, tu peux mettre la conf la dedans pour activer le routage)
shurik84 bonjour, j'ai egalement un probleme de redirection de port
je posséde 2 réseaux différents sous windows xp et entre les 2, je dispose d'un serveur debian qui va faire office plus tard de proxy/firewall et pour tester cela j'ai installé wamp sur les 2 poste xp et je n'arrive pas a faire accédé un poste xp au serveur web ( 2ieme poste xp ) par l'intermediaire du serveur debian
 
Réseau 1 : 192.168.0.0
Réseau 2 : 192.168.147.0
Serveur Debian : 4 interfaces
eth0 : 192.168.0.254
eth3 : 192.168.147.254
 
Dans le server debian :  
 
iptables -t nat -A POSTROUTING -i eth3 -p tcp --dport 80 -j DNAT --to destination 192.168.147.10
Il m'indique cette ligne : Bad IP address `destination'
 
Pour moi l'adresse de destination est bonne en revanche je doute sur la ligne de commande iptable
 
Aucun soucis de ping ! Le poste XP ne ping pas l'autre poste XP étant donné que c'est 2 réseaux différents
De plus je suis sous virtualisation VMWare !
 
Ma question : La ligne iptables est elle correcte ?
Pour permettre l'accès du poste XP 1 au serveur Web ( Poste XP 2 )
Il faut utiliser la commande route ou IPtables ?
 
Merci de votre aide !
Koko90

l0ky a écrit :

Dit exactement ce que tu veux faire. Tu nous parles de redirection de port de ta freebox alors que tu interroges une adresse locale (127.0.0.1). Donc le traffic NE PASSERA JAMAIS par le réseau !


Ok, je voulais faire un serveur Web accessible depuis l'extérieur. Je disais qu'il n'était même pas accessible depuis l'intérieur alors qu'il aurait dut l'être.  
 
Je prenais un exemple d'accès depuis l'intérieur pour ne pas avoir la remarque "configure la redirection des ports du routeur" que tout le monde sort dans les FAQ est autres. Cette étape je sais la faire (j'aurais même pas du en parler).
Je m'étais mal exprimé.
 
Entre temps j'ai ENFIN compris : il faut être un processus root pour écouter un port < 1024. Je ne savais pas ça et je lançais mon serveur en client (c'était même pas destiné à être un démon, juste un serveur web que je lance à l'occasion - quand je fais un ssh depuis l'extérieur et que je veux récupérer des fichiers).
 
Merci pour l'aide. Je suis heureux d'avoir compris ce qui cloche. J'ai pu constater que mon prog n'écoutais pas...
 
PS : Et merci pour l'explication de ce qu'est iptables. Je me coucherais moins bête ce soir (je débute pour les réseaux sous linux)...
l0ky Dit exactement ce que tu veux faire. Tu nous parles de redirection de port de ta freebox alors que tu interroges une adresse locale (127.0.0.1). Donc le traffic NE PASSERA JAMAIS par le réseau !
l0ky iptables N'EST PAS un firewall, c'est un outils qui permet de configurer le firewall de linux qui est netfilter.
netfilter est inclut dans le noyau. Par défaut aucun filtrage n'est actif.
 
Fait un

iptables -L -v -n


 et colle le résultat ici.
 
Ensuite un port ne peut pas etre ouvert si un service n'ecoute pas sur ce port. En l'occurence tu essaeye de te connecter, probablement a un serveur web, sur ton adresse locale (127.0.0.1). Vérifie qu'un serveur écoute dessus par un:

netstat -laptn


par exemple
Koko90 Bonjour
 
J'ai un PB similaire. Je n'arrive pas à débloquer le port 80 sous debian (sarge).
Je suis derrière une freebox avec la fonction routeur activé mais la redirection de port est bien configurée.
J'ai essayé toutes les configs possible d'iptables (en autorisant tout, en autorisant juste le port 80, en virant carrément le package avec apt-get etc...) mais ça ne marche pas.
 
Par exemple :

Code :
  1. $ telnet 127.0.0.1 80
  2. Trying 127.0.0.1...
  3. telnet: Unable to connect to remote host: Connection refused


 
Alors qu'un test sur le port 22 (ssh) marche :

Code :
  1. $ telnet 127.0.0.1 22
  2. Trying 127.0.0.1...
  3. Connected to 127.0.0.1.
  4. Escape character is '^]'.
  5. SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4


 
Existe-t-il un autre firewall que iptables ? Comment on les vires ?
 
Merci d'avance.
l0ky D'apres le netstat ce programme écoute sur 0.0.0.0 c'est a dire toutes les interfaces.
Si c'est réelement restreint alors ils ont fait ca comme des porcs [:roane]
 
Je pencherais plus pour une mauvaise configuration du proxy.
Le Veilleur

dams78 a écrit :

en effet, en autre...
mais tu dis que normalement c'est bon
mais c'est pas le cas
dois-je configurer toutes mes applications une pars une
ou ya t il un moyen d'ouvrir ou de partager ces ports
merci


Comme je te l'ai déjà dit, l'accès via ton réseau à ce genre d'interface de configuration est souvent limité via les fichiers de config de ces applications. Il suffit donc de les lires et de changer ce qu'il faut. Comme pour cups.
l0ky d'apres le résultat de iptables -L -v -n tu n'as AUCUN filtrage !!!!
Donc pour qu'un port soit ouvert il faut qu'il y ait un SERVICE EN ECOUTE sur ce port
Ce qui est le cas la.
 
Apres vérifie que tu n'as pas de proxy configuré dans ton browser
essaye en telnet dans un SHELL
 
telnet 127.0.0.1 4080
puis tu tapes  
GET / HTTP/1.0
suivit de 2 fois entrée.
tu devrait avoir des messages du serveur.
 
Apres essaye directement avec l'adresse 127.0.0.1 dans ton browser.
dams78 en effet, en autre...
mais tu dis que normalement c'est bon
mais c'est pas le cas
dois-je configurer toutes mes applications une pars une
ou ya t il un moyen d'ouvrir ou de partager ces ports
merci
l0ky Ah bah voilà il veut utiliser l'interface web de mldonkey [:ddr555]
 
Normalement c'est bon.
matafan Et tu es sense avoir quoi sur le port 4080 ?
dams78

tcp        0      0 0.0.0.0:4080            0.0.0.0:*               LISTEN     5505/mlnet_reel
l0ky pourrais tu faire un
 

netstat -laptn |  grep 4080


et poster le résultat ?

matafan Et tu es sense avoir quoi sur le port 4080 ?
dams78 en effet j'ai accés a mon port 631 (désolé pour moi, j'avais du mal tester)
en revanche en local j'ai toujours pas accés au port 4080
je suppose que c'est parcequ'il est bloqué mais je suis pas sur
(d'ou mon appel a l'aide)
merci de vos reponses en tout cas  :jap:
Le Veilleur Pour le 631, si tu parles de l'interface web de cups, pour pouvoir y accéder depuis ton lan, ce sont des paramètres à modifier dans le fichier de config de cups.
 
Pas besoin de jouer avec iptable ;)
rdc3 Chain INPUT (policy ACCEPT 8 packets, 821 bytes)  indique que tous les ports sont ouverts.
 
La question que je me pose c'est: Qu'est-ce que tu essaies de faire exactement?
 
Le port 631 est habituellement employé pour Internet Printing Protocol et le 4080 est pour ichat3 pour Mac. Le tout me laisse croire que ce que tu cherches à faire c'est de router le trafic sur un réseau local.
dams78 voila les service que j'utilise
localhost:631
localhost:4080
et y'en aura peut etre d'autre si j'installe d'autre truc (comme SWAT par exemble)
sinon voila le resultat de iptables -L -v -n
 
Chain INPUT (policy ACCEPT 8 packets, 821 bytes)
 pkts bytes target     prot opt in     out     source               destination
 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 
Chain OUTPUT (policy ACCEPT 1 packets, 40 bytes)
 pkts bytes target     prot opt in     out     source               destination  
 
si tu y comprend quelque chose...
l0ky c'est pour quel service ?
par défaut si tu n'as pas installer shorewall ou autre font-end a iptables tu n'as pas de filtrage sur ta machine.
pour etre sur pourrais tu faire en root un  

iptables -L -v -n

 
et poster le résultat dans  un block fixed ?
dams78 j'i connais pas grand chose en "port"
et j'ai encore rien ouvert ni fermer par contre quand j'essaye en local il me refuse
par la suite j'aimerai aussi y accédé par internet
l0ky tu as un service qui écoute sur ce port ?
apres il te suffit d'autoriser les flux sur ce port via iptables.
Par défaut tout est ouvert.
TheRom_S il faut a priori utiliser ton systeme de firewall
sous debian, c'est souven un script fait a la main utilisant iptables
le mien se trouve dans /etc/network/if-pre-up/jesaisplus.sh
commence par regarder là sinon, ce site pourra te dire comment faire ce type de script
dams78 bonjour,
voila je voudrai savoir comment faire pour ouvrir un port sur une machine debian.
quand je suis sur ma machine debian pour accéder a certaines applications sous un navigateur je tape l'adresse localhost:"un port"
maintenant je voudrai pourvoir faire la même chose en local : "mon adresse ip":"le port"
merci de votre aide

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)