Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1899 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  Serveur linux de partage de connexion ADSL pour winXP

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Serveur linux de partage de connexion ADSL pour winXP

n°109314
zytrahus5
wait what?
Posté le 05-06-2002 à 13:15:41  profilanswer
 

salut, je voudrais monter un serveur de partage de connexion ADSL sous linux, et puis monter un firewall...
 
c'est pour partager une connexion pour 3 machines sous XP, le PC sous linux sera appelé à ne faire que ça toute la journée, donc pas besoin d'une grosse machine, mais juste d'un boitier très silencieux... lol
 
Avez vous des conseils à me donner sur ce que je vais devoir utiliser ? (Samba, Firewall, etc...)
 
merci pour vos conseils...
 
A+

mood
Publicité
Posté le 05-06-2002 à 13:15:41  profilanswer
 

n°109315
niccco
Posté le 05-06-2002 à 13:18:13  profilanswer
 

tu as fait une recherche sur ce site car le sujet a deja ete aborde des 10enes
de fois alors cherche .
sinon google est ton ami.
 
 
www.nikauch.d2g.com/board/
 
++

n°109316
cassidy
Black Rainbow
Posté le 05-06-2002 à 13:18:43  profilanswer
 

pour le partage/firewall c 'juste' une serie de regle iptable.
 
J'ai un script (ecrit par un pote) qui fait ca, si ca t'interesse...


---------------
Join us now and share the software;
n°109330
awlex
Posté le 05-06-2002 à 14:16:34  profilanswer
 

Moi ca m'interresse, ou puis-je trouver ce script ?

n°109350
apolon34
Vive Linux!!
Posté le 05-06-2002 à 14:54:54  profilanswer
 

fais le toi meme
 
iptables est super simple et c'est moins con que de pomper des trucs tout faits qui correspondent pas a tes besoins

n°110007
cassidy
Black Rainbow
Posté le 06-06-2002 à 20:52:47  profilanswer
 

awlex a écrit a écrit :

Moi ca m'interresse, ou puis-je trouver ce script ?  




 
je te l'ai envoier par mail
 
bah c clair que iptable est pas specialement complex, mais on a pas tjs le temps, et parfois des trucs tout fait ca marche pas si mal :)


---------------
Join us now and share the software;
n°110022
aurelboiss
Posté le 06-06-2002 à 21:35:10  profilanswer
 

Apolon34 t un peut pretentieu ou t'es tres fort ;) parce que iptables n'est pas tres simple enfin toi tu dois dire ca parce que c sur que si tu fais des regles de partage de net y'a pas besoin d'etre ingenieur lol mais pour un newb c pas tjs evident  
@++

n°110066
apolon34
Vive Linux!!
Posté le 06-06-2002 à 23:06:53  profilanswer
 

aurelboiss a écrit a écrit :

Apolon34 t un peut pretentieu ou t'es tres fort ;) parce que iptables n'est pas tres simple enfin toi tu dois dire ca parce que c sur que si tu fais des regles de partage de net y'a pas besoin d'etre ingenieur lol mais pour un newb c pas tjs evident  
@++  




 
Je suis pas pretentieu ni tres fort
 
Je trouve juste que la syntaxe iptables est tres simple.
Tu vas pas dire que -A INPUT, -A OUTPUT c'est dur a comprendre
 
apres tu specifies le proto, port source, destination c'est pas tres complique, mais necessite les connaissances basiques en tcp/ip
 
si tu as pas ces connaissances, ca sert pas a grand chose un firewall

n°110088
dacoincoin
Posté le 06-06-2002 à 23:32:02  profilanswer
 

apolon34 a écrit a écrit :

 
iptables est super simple




 
Plus simple que ça : ?
 
IF_INTERNET="ppp0"
 
pass out quick on $IF_INTERNET proto tcp from any to any flags S/SA modulate state
pass out quick on $IF_INTERNET proto udp from any to any keep state
pass out quick on $IF_INTERNET inet proto icmp from any to any keep state
 
block in on $IF_INTERNET all


Message édité par dacoincoin le 06-06-2002 à 23:34:13
n°110095
apolon34
Vive Linux!!
Posté le 06-06-2002 à 23:56:17  profilanswer
 

c'est quoi ton bordel ?

mood
Publicité
Posté le 06-06-2002 à 23:56:17  profilanswer
 

n°110100
dacoincoin
Posté le 07-06-2002 à 00:10:47  profilanswer
 

apolon34 a écrit a écrit :

c'est quoi ton bordel ?  




quel bordel ?
 
ça te fait un firewall en "statefull-inspection" selon les termes des marketeux de cisco.
 
Et c'est très bien expliqué là : http://www.openbsd.org/faq/faq6.html#PF

n°110117
apolon34
Vive Linux!!
Posté le 07-06-2002 à 02:04:10  profilanswer
 

moi je trouve pas ca bien clair

n°110124
dacoincoin
Posté le 07-06-2002 à 02:41:40  profilanswer
 

apolon34 a écrit a écrit :

moi je trouve pas ca bien clair  




Fais la même chose en netfilter, qu'on rigole.

n°110130
apolon34
Vive Linux!!
Posté le 07-06-2002 à 03:57:39  profilanswer
 

si tu me dis a quoi ca sert exactement ouais

n°110548
dacoincoin
Posté le 08-06-2002 à 01:19:03  profilanswer
 

apolon34 a écrit a écrit :

si tu me dis a quoi ca sert exactement ouais  




 
Si tu arrive à faire la difference entre tcp/udp/icmp, ça parle toute seule ces règles. Pour les questions de détaille, RTFM.
 
Dans le cas de contraire, une 'tite lecture de "tcp illustred" est plus que recommandée.

n°110567
apolon34
Vive Linux!!
Posté le 08-06-2002 à 03:03:11  profilanswer
 

dans ce cas:  :fuck:

n°110583
Dark_Schne​ider
Close the World, Open the Net
Posté le 08-06-2002 à 09:30:47  profilanswer
 

http://linux-wizard.tuxfamily.org/liens.html#reseau
 
ce type de partage sous linux s'apelle du NAT


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°112410
zytrahus5
wait what?
Posté le 12-06-2002 à 16:02:34  profilanswer
 

merci pour vos réponses, mais c'est pas évident à ce servir de IPTABLES...
 
en plus apparemment, il ne supporte pas plusieurs protocoles comme ICQ...
 
ESt ce que vous connetriez un HOWTO en francais sur IPTABLES, parce que je m'embrouille un peu avec celui en version anglo...
 
Merci A+

n°112451
apolon34
Vive Linux!!
Posté le 12-06-2002 à 17:28:45  profilanswer
 

zytrahus5 a écrit a écrit :

merci pour vos réponses, mais c'est pas évident à ce servir de IPTABLES...
 
en plus apparemment, il ne supporte pas plusieurs protocoles comme ICQ...
 
ESt ce que vous connetriez un HOWTO en francais sur IPTABLES, parce que je m'embrouille un peu avec celui en version anglo...
 
Merci A+  




 
www.netfilter.org tu as toute la doc et en fr en plus

n°112473
sneakz
Posté le 12-06-2002 à 18:50:16  profilanswer
 

Iptables dépend du noyau que tu utilises (> 2.4) sinon il te faudra utiliser ipchains.
 
Il faut que tu créés un script que tu lances. Voici un exemple :
 
#!/bin/sh
#
# rc.firewall - Initial SIMPLE IP Firewall script for Linux 2.4.x and iptables
#
 
echo -e "\n\nLoading rc.firewall script ..\n"
 
###########################################################################
#
# 1. Configuration options.
#
 
###########################################################################
#
# Local Area Network configuration.
#
 
LAN_IP="192.168.0.1" -> l'IP de ta machine servant de passerelle
LAN_IP_RANGE="192.168.0.0/24" -> l'adressage de ton réseau
LAN_BCAST_ADRESS="192.168.255.255"
LAN_IFACE="eth0"
REMOTE_IP="194.21.74.55"
 
##################################################
 
#########################
#
# Localhost Configuration.
#
 
LO_IFACE="lo"
LO_IP="127.0.0.1"
 
 
##################################################
 
#########################
#
# Internet Configuration.
#
 
echo -e "Internet Configuration ..\n"
 
INET_IP=`ifconfig 'ppp0' | grep 'inet adr' | awk '{print $2}' | sed -e 's/adr\://'`
INET_IFACE="ppp0"
 
echo "External interface: $INET_IP"
echo "Internal interface: $LAN_IP"
 
 
###########################################################################
#
# IPTables Configuration.
#
 
IPTABLES="/usr/local/sbin/iptables" -> chemin eventuellement à modifier
##################################################
 
#########################
#
# 2. Module loading.
#
 
echo "Module Loading .."
/sbin/depmod -a
 
 
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ip_nat_ftp
/sbin/modprobe -a -k -s -v ip_nat_h323
#/sbin/modprobe ipt_REJECT
#/sbin/modprobe ipt_MASQUERADE
 
#/sbin/modprobe ipt_owner
 
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
 
echo "Done loading modules"
 
###########################################################################
#
# 3. /proc set up.
#
 
echo "enabling forwarding .."
echo "1" > /proc/sys/net/ipv4/ip_forward
 
#
# Dynamic IP users:
#
echo "enabling DynamicAddr .."
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
 
##################################################
 
#########################
# INPUT, FORWARD and OUTPUT chains.
#
 
echo "Set  policies."
 
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -t nat -F
 
#############################################################################
# Create separate chains
#############################################################################
 
$IPTABLES -N icmp_packets
$IPTABLES -N tcp_packets
$IPTABLES -N udpincoming_packets
$IPTABLES -N allowed
$IPTABLES -N bad_tcp_packets
 
 
####
# bad_tcp_packets chain
####
 
 
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
 
 
# Do some checks for obviously spoofed IP's
 
$IPTABLES -A bad_tcp_packets -i $INET_IFACE -s 192.168.0.0/16 -j DROP
$IPTABLES -A bad_tcp_packets -i $INET_IFACE -s 10.0.0.0/8 -j DROP
 
# Refuse packets claiming to be from a class B private Network
 
$IPTABLES -A bad_tcp_packets -i $INET_IFACE -s 172.16.0.0/12 -j DROP
 
 
####
# allowed rules
####
 
 
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
 
####
# icmp_packets rules
####
 
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
 
####
# tcp_packets rules
####
 
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
 
####
# udpincoming_packets rules
####
 
# nondocumented commenting out of these rules
#$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 53 -j ACCEPT
#$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 123 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 2074 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 4000 -j ACCEPT
 
 
############################################################################
# INPUT chain
#
# Bad TCP packets we don't want.
############################################################################
 
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
 
####
# Rules for incoming packets from the internet.
####
 
$IPTABLES -A INPUT -p TCP -i $INET_IFACE --dport 1719:1720 -j ACCEPT
$IPTABLES -A INPUT -p UDP -i $INET_IFACE --dport 1719:1720 -j ACCEPT
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udpincoming_packets
 
####
# Rules for special networks not part of the Internet
####
 
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BCAST_ADRESS -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "
 
#############################################################################
# OUTPUT chain
#############################################################################
 
# Bad TCP packets we don't want.
 
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p udp -j ACCEPT
 
####
# Special OUTPUT rules to decide which IP's to allow.
####
 
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
 
####
# Log weird packets that don't match the above.
####
 
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
 
#############################################################################
# POSTROUTING chain
#############################################################################
 
 
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s 192.168.0.0/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
 
#############################################################################
# PREROUTING chain
#############################################################################
 
# Bad TCP packets we don't want.
 
 
 
#############################################################################
# FORWARD chain
#############################################################################
 
####
# Accept the packets we actually want to forward
####
 
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "
 
####
# Bad TCP packets we don't want.
####
 
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
 
 
 
 
echo -e "\rc.firewall version done.\n"
 
Si tu veux des compléments d'info. fait le moi savoir !
 
http://anonymity.tuxfamily.org/


Message édité par sneakz le 06-12-2002 à 19:02:14
n°112474
sneakz
Posté le 12-06-2002 à 18:54:11  profilanswer
 

Pour ton firewall, je te conseille d'installer snort.
Pour contrer un scan de ports sur ta machine, veille à installer portsentry.
 
Pour vérifier la sécurité de ton réseau, il est bon que tu installes Nessus (un utilitaire d'audit très efficace).

n°112476
sneakz
Posté le 12-06-2002 à 19:00:20  profilanswer
 

Tu auras des pbs de Nat sur le proto h323 (VoIP) utilisé par netmeeting notamment.
Il faut que tu recompiles le noyau après l'avoir patché, que tu désinstalles le paquetage Iptables.
Tu trouveras le patch à l'URL :
http://roeder.goe.net/~koepi/newnat.html
et la version iptables-1.2.6a à ré-installer.


Message édité par sneakz le 06-12-2002 à 19:00:50
n°112620
cortex62
Posté le 13-06-2002 à 08:20:10  profilanswer
 

Autre chose si tu est interessé, il existe des distributions spécialisées dans le genre (ipcop.org). Ca peut suffire dans un premier temps.

n°112651
zytrahus5
wait what?
Posté le 13-06-2002 à 10:21:32  profilanswer
 

merci beaucoup pour votre aide !!!
 
est ce que IPTABLES est sur Mandrake 8.0 par defaut ?

n°112700
zytrahus5
wait what?
Posté le 13-06-2002 à 12:59:13  profilanswer
 

en gros dans ce que j'ai compris à propos de IPTABLES, c'est que utilisé avec des scripts, cela permet de router des paquets entre le réseau local pour y diriger vers internet...
 
Mais le firewall est créé par ce sript c'est donc un firewall plus ou moins fait maison ?
 
existe t il une autre solution pour le firewall qui soit compatible avec IPTABLES ?
 
A+

n°112725
sneakz
Posté le 13-06-2002 à 13:54:18  profilanswer
 

La sécurité d'un réseau repose sur ce que l'on appelle des règles.
Ces règles sont définies par l'administrateur réseau en l'occurence toi.
Ces règles (de façon schématique)doivent définir ce qui doit entrer sur le réseau local en provenance du réseau internet et ce qui ne doit pas entrer.
Ces règles (de façon schématique) doivent définir ce qui doit sortir sur le réseau internet en provenance du réseau local et de la machine passerelle (NAT/firewall) et ce qui ne doit pas sortir.
Ces règles sont définies dans le script présenté plus haut et elles s'appuyent sur IPTABLES. Ces règles sont les bases indispensables de la sécurité du réseau. Elles servent à filtrer les paquets entrants et sortants selon les différents protocoles utilisés pour acheminer les données jusqu'à l'hôte de destination.
 
Pour reprendre ton expression, c'est effectivement un firewall fait maison.  
 
Snort est un outil de détection d'intrusion (IDS). Il capture le traffic réseau et le compare à une base de données. Si une attaque est détectée, l'IDS déclenchera auomatiquement des actions programmée. Ce système permet de constater des comportements anormaux sur le traffic qui circule et en cherchant ensuite des signatures d'attaques connues comme des débordements de tampons ou bien des scans de ports. Snort utilise également un langage simple et léger de description de règles qui est flexible et assez puissant.
 
Portsentry détecte les attaques de type "SCAN". Un scanner est en général employé par un administrateur réseau pour déceler des failles. Malheureusement un scanner furtif au main d'un hacker peut mettre en évidence ces mêmes trous de sécurité (cf. services tournant sur la machine). C'est ici que Portsentry intervient. Il bloque le scan et rend en quelque sorte aveugle l'attaquant.


Message édité par sneakz le 13-06-2002 à 14:11:41
n°112762
zytrahus5
wait what?
Posté le 13-06-2002 à 17:06:10  profilanswer
 

merci pour tes complements d'info !!!
 
je suis allé acheté en presse le dernier Linux loader, je sais pas si c'est un bon mag mais dedans il parle d'une distrib qui fera apparemment l'affaire : SME elle prend 250 Mo et est dédiée à un poste serveur... est ce que ça pourrait convenir ? est ce que c'est plus simple que la solution MANDRAKE + IPTABLE ? je suis un peu perdu...
 
encore merci !

n°112805
Dark_Schne​ider
Close the World, Open the Net
Posté le 13-06-2002 à 20:34:50  profilanswer
 

oui et non
 
par exemple mdk avec Bastille c'est simple, dans un fichier tu mets les ports à bloquer, ceux à autoriser et hop il fait les règles ( http://www.bastille-linux.org/ ) ou ( http://www.shorewall.net/ ) ou le wizard de mdk ou knetfilter ou d'autres projets : http://freshmeat.net/browse/151/?topic_id=151


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°112829
zytrahus5
wait what?
Posté le 13-06-2002 à 21:56:26  profilanswer
 

oui mais quel avantage par rapport à SME ou clarkconnect ?
surtout si je n'ai pas besoin d'autre chose qu'une regle de partage de routage et de protection ?

n°112837
Dark_Schne​ider
Close the World, Open the Net
Posté le 13-06-2002 à 22:31:24  profilanswer
 

plus de souplesse ( si ce n'est pas juste un firewall ton truc )
 
par contre si tu veux juste un firewall -> distro spécialisés, en espérant que le suivi de sécu est bien fait


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°113709
zytrahus5
wait what?
Posté le 15-06-2002 à 20:18:18  profilanswer
 

:bounce: UP !!!
 
En fait, personne ne connaitrait SME ou clarkconnect ?
 
A+

n°114126
zytrahus5
wait what?
Posté le 16-06-2002 à 17:15:54  profilanswer
 

Un petit UP (:bounce:) pour ma recherche d'infos sur ClarkConnect...
 
A+

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  Serveur linux de partage de connexion ADSL pour winXP

 

Sujets relatifs
[]Linux] Creatio d'Iso de CDpeut-on monter un serveur ftp dans fstab ?
Lier base de donnée utilisateur et serveur de domaine 2000 et sambaRoutage, port, serveur apache...
[linux] multimedia box[linux] Serveur FTP... galère ;)
triple boot linux xp 2000DivX sous Linux + prob Radeon 8500
Je cherche un Outlook express sous Linux 
Plus de sujets relatifs à : Serveur linux de partage de connexion ADSL pour winXP


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR