Voir le sujet précédent :: Voir le sujet suivant |
Auteur |
Message |
Oliviez
Inscrit le: 30 Mai 2003 Localisation: Chambly (60) - France
|
Posté le: 03 Oct 2004 15:12 Sujet du message: Passerelle et partage... Help |
|
|
Voila je suis cnnecté à internet via une freebox, je voudrais installer un serveur qui partagerais ma connexion et qui ferait office de serveur web, ftp,...
Bref mon serveur sous debian, kernel 2.6.6 se connecte à internet sans souci (ya pas grand chose à faire à vrai dire) mais impossible de partager ma connexion... Je dois avoir un souci dans mes règles de filtrage...
Alors voila mes fichiers si quelqu'un trouve l'erreur ou si il manque un truc...
/etc/network/interface
Code: | auto lo
iface lo inet loopback
# Démarrage et arrêt automatique des règles "iptables"
pre-up /etc/network/if-pre-up.d/iptables-start.sh
post-down /etc/network/if-post-down.d/iptables-stop.sh
auto eth1
iface eth1 inet dhcp
auto eth0
iface eth0 inet static
address 192.168.1.1
netmask 255.255.255.0
broadcast 192.168.1.255
# Activation de la fonction de forwarding IP au niveau du noyau
up echo "1" > /proc/sys/net/ipv4/ip_forward |
/etc/resolv.conf : les dns de free
Code: | nameserver 212.27.32.176
nameserver 212.27.32.177
|
/etc/network/if-pre-up.d/iptables.start.sh
Code: | #!/bin/sh
echo ".";
echo "--------------------------------------------------";
echo " Lancement des règles de partage et de firewalling";
echo "--------------------------------------------------";
# reset des tables
echo "RESET";
iptables -F
iptables -t nat -F
# default policy : DROP
echo "Politique par défaut...";
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# on accepte les paquets relatifs aux connexions déja ouvertes
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# accepte tout ce qui concerne l'interface loopback
iptables -A INPUT -i lo -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o lo -m state --state NEW -j ACCEPT
# on accepte tout sur l'interface du réseau interne
echo "Accès au réseau local...";
iptables -A INPUT -i eth0 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT
# pour le ftp data
echo "FTP";
iptables -A INPUT -i eth1 -p tcp --source-port 20 --destination-port 1025:65535 -m state --state NEW -j ACCEPT
# liste des ports acceptés sur l'interface externe
echo "Ouverture ports 21, 22 et 80...";
iptables -A INPUT -i eth1 -p tcp -m multiport --destination-ports 21,22,80 -m state --state NEW -j ACCEPT
# on accepte ce qui sort vers l'exterieur
iptables -A OUTPUT -o eth1 -j ACCEPT
# on accepte de forwarder vers l'exterieur
iptables -A FORWARD -o eth1 -j ACCEPT
echo "FORWARD exterieur OK";
# masquerade du réseau interne
echo "Partage connection...";
#iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
#Les requetes reçues sur le port 80 sont forwardées aur la machine2
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80
echo "--------------------------------------------------";
echo " FIN des règles de partage et de firewalling";
echo "--------------------------------------------------"; |
/etc/network/if-post-dow.d/iptables-stop.sh
Code: | # REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F
# REMISE de toutes les politiques par défaut à ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT |
J'ai juste installé le package dhcp-client et suivi les formations/tutos que l'on peut trouver sur internet...
Voilà si il vous faut plus d'infos sur certains fichiers...
un petit iptables -L :
Code: | -~:: iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT tcp -- anywhere anywhere tcp spt:ftp-data dpts:1025:65535 state NEW
ACCEPT tcp -- anywhere anywhere multiport dports ftp,ssh,www state NEW
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere
|
Apparemment tout est ouvert mais pas comme il faut puisque il m'est impossible de me connecter de mon autre pc à internet en passant par le serveur (j'ai bien mis le proxy à 192.168.1.1 l'adresse du serveur,...), mon autre pc à l'adresse 192.168.1.2 en local. _________________ N'hésite pas à rechercher l'information à la source. S'y noie fréquemment. |
|
Revenir en haut |
|
|
FhOb
Inscrit le: 05 Aoû 2003 Localisation: Bordeaux
|
Posté le: 03 Oct 2004 19:56 Sujet du message: |
|
|
be apparement ta des regles un peu bizarre
tout ce qui va et viens sur ta passerelle est soit en INPUT soit en OUTPUT
tout ce qui passe par une interface et sort par l'autre est en FORWARD
donc une regle avec iptables -A FORWARD -o eth0 -j ACCEPT est pas terrible en securite
par ce que si le pirate entre l'ip de ta passerelle comme passerelle il peut rentre dans ton reseau et donc plus de protection
apres, moi j'ai fait comme ce que tu veux faire et mes regles sont
#!/bin/sh
INTERNET="eth0"
INTERNET_IP='x.x.x.x'
DMZ="eth1"
DMZ_IP='192.168.65.254'
NETWORK_DMZ='192.168.65.0/24'
LAN="eth2"
LAN_IP='192.168.45.254'
NETWORK_LAN='192.168.45.0/24'
echo 1 >/proc/sys/net/ipv4/ip_forward
echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 >/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 >/proc/sys/net/ipv4/tcp_syncookies
echo 1 >/proc/sys/net/ipv4/conf/all/log_martians
for i in /proc/sys/net/ipv4/conf/*/log_martians
do
echo 1 >$i
done
for i in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 >$i
done
for i in /proc/sys/net/ipv4/conf/*/accept_redirects
do
echo 0 >$i
done
for i in /proc/sys/net/ipv4/conf/*/send_redirects
do
echo 0 >$i
done
for i in /proc/sys/net/ipv4/conf/*/accept_source_route
do
echo 0 >$i
done
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Accepte les connexions en entree
iptables -A INPUT -i lo -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -i ${INTERNET} -d ${INTERNET_IP} -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ${DMZ} -s ${NETWORK_DMZ} -d ${DMZ_IP} -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ${LAN} -s ${NETWORK_LAN} -d ${LAN_IP} -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ${INTERNET} -d ${INTERNET_IP} -p icmp --icmp-type 8 -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i ${DMZ} -s ${NETWORK_DMZ} -d ${DMZ_IP} -p icmp --icmp-type 8 -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i ${LAN} -s ${NETWORK_LAN} -d ${LAN_IP} -p icmp --icmp-type 8 -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i ${LAN} -s ${NETWORK_LAN} -d ${LAN_IP} -p tcp --dport 22 -m limit --limit 1/s -j ACCEPT
# Accepte les connexions deja etablies
iptables -A FORWARD -i ${INTERNET} -o ${LAN} -d ${NETWORK_LAN} -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ${INTERNET} -o ${DMZ} -d ${NETWORK_DMZ} -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ${DMZ} -s ${NETWORK_DMZ} -o ${INTERNET} -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ${DMZ} -s ${NETWORK_DMZ} -o ${LAN} -d ${NETWORK_LAN} -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ${LAN} -s ${NETWORK_LAN} -o ${INTERNET} -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ${LAN} -s ${NETWORK_LAN} -o ${DMZ} -d ${NETWORK_DMZ} -m state --state ESTABLISHED,RELATED -j ACCEPT
# Accepte les nouvelles connexions
iptables -A FORWARD -i ${DMZ} -s ${NETWORK_DMZ} -o ${INTERNET} -j ACCEPT
iptables -A FORWARD -i ${LAN} -s ${NETWORK_LAN} -o ${INTERNET} -j ACCEPT
iptables -A FORWARD -i ${LAN} -s ${NETWORK_LAN} -o ${DMZ} -d ${NETWORK_DMZ} -j ACCEPT
# Masque les connexions
iptables -t nat -A POSTROUTING -s ${NETWORK_DMZ} -o ${INTERNET} -j MASQUERADE
iptables -t nat -A POSTROUTING -s ${NETWORK_LAN} -o ${INTERNET} -j MASQUERADE
iptables -t nat -A POSTROUTING -s ${NETWORK_LAN} -o ${DMZ} -d ${NETWORK_DMZ} -j MASQUERADE
# On autorise les serveurs du reseau
# IP_HOTE='0.0.0.0'
# IP_SERVEUR='192.168.65.1'
# PORT_SERVEUR='25'
# iptables -t nat -A PREROUTING -i ${INTERNET} -d ${INTERNET_IP} -s ${IP_HOTE} -p tcp --dport ${PORT_SERVEUR} -j DNAT --to-destination ${IP_SERVEUR}
# iptables -A FORWARD -i ${INTERNET} -s ${IP_HOTE} -o ${LAN} -d ${IP_SERVEUR} -p tcp --dport ${PORT_SERVEUR} -j ACCEPT
#FIN
tu peux t'en inspirer si tu veux _________________ La connaissance s'accroit quand on la partage
Principe of [email protected] |
|
Revenir en haut |
|
|
armen
Inscrit le: 09 Mar 2004 Localisation: Ouest-Nord-Ouest de la France
|
Posté le: 03 Oct 2004 20:52 Sujet du message: |
|
|
Les modules pour le suivi de connexion sont-ils chargés ? (voir http://www.andesi.org/forum/viewtopic.php?t=3190 )
pour tester si tu as des ports ouverts, utilise un site style www.pcflank.com (lien test your system).
Pour tester que le serveur web marche bien, validator.w3.org (et en plus il t'indiquera si la page testée est conforme aux standards )
Armen qui a perdu sa connexion ADSL depuis vendredi après midi. Personne ne l'a vue passer ? _________________ "La grandeur d'un métier est peut-etre, avant tout, d'unir des hommes : il n'est qu'un luxe véritable, et c'est celui des relations humaines." Antoine de Saint-Exupéry |
|
Revenir en haut |
|
|
Oliviez
Inscrit le: 30 Mai 2003 Localisation: Chambly (60) - France
|
Posté le: 04 Oct 2004 00:02 Sujet du message: |
|
|
Ok merci FhOb, je vais tester avec tes règles mais je suis pas en ip fixe moi...
Bon on verra si mes adaptations vont fonctionner (simple suppression des INTERNET_IP et DMZ_IP), la réponse très bientôt! _________________ N'hésite pas à rechercher l'information à la source. S'y noie fréquemment. |
|
Revenir en haut |
|
|
Oliviez
Inscrit le: 30 Mai 2003 Localisation: Chambly (60) - France
|
Posté le: 04 Oct 2004 21:46 Sujet du message: |
|
|
Et bien ça marche pas du tout...
Avec ton fichier je n'ai même plus accès au serveur en local...
Pas cool quoi...
Bref je reste sur ma faim, je vais peut-être réinstallé en espérant que quelquechose a pas été bien fait... _________________ N'hésite pas à rechercher l'information à la source. S'y noie fréquemment. |
|
Revenir en haut |
|
|
FhOb
Inscrit le: 05 Aoû 2003 Localisation: Bordeaux
|
Posté le: 05 Oct 2004 01:26 Sujet du message: |
|
|
commence par ces regles de base et regarde si tu as des erreurs ( modules, etc... )
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -P OUPUT ACCEPT
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
et essai de "pinger" ta machine puis un site "www.andesi.org"
si ca marche le reste doit marche et ca doit etre un probleme de mise au point
ps. si tu es en degroupe total tu doit etre en ip fixe _________________ La connaissance s'accroit quand on la partage
Principe of [email protected] |
|
Revenir en haut |
|
|
armen
Inscrit le: 09 Mar 2004 Localisation: Ouest-Nord-Ouest de la France
|
Posté le: 05 Oct 2004 09:42 Sujet du message: |
|
|
Je te livre le script que j'utilise (très fortement inspiré de l'exemple d'Olivier Allard-jacquin).
Je l'ai modifié ce matin pour retirer ce qui m'est spécifique (mais il doit marcher quand même. Je n'utilise pas le port forwarding...
En début de script, il y a quelques variables à paramétrer...
Code: |
###############################################################################
# NOM: iptable.sh
#
# COMMENTAIRE : Synthèse d'utilisation de ce qui a été vu dans le document
# (chapitre III-10-3)
#
# Ce script fait partie du document :
# "Firewall et sécurité d'un réseau personnel sous Linux"
# http://olivieraj.free.fr/fr/linux/information/firewall/
#
# Auteur: Olivier ALLARD-JACQUIN (http://olivieraj.free.fr/)
# Créé le : 2003/07/09 Dernière modification le : 2003/07/09
#
# modifié le 22/05/2004 (Armen) : ouverture port 80, simplification du script
#
###############################################################################
#
# Variables locales
#---------------------
# Paramètrage du réseau local (LAN)
LAN_INTERFACE=eth0 ; # Interface réseau interne
LAN_IP=192.168.1.1 ; # Adresse réseau interne
LAN_NETWORK=192.168.1.0/24 ; # Réseau interne
LAN_BROADCAST=192.168.1.255 ; # Adresse de broadcast interne
# Paramètrage de la connexion Internet (WAN)
WAN_INTERFACE=eth1 ; # Interface modem
WAN_NETWORK=0.0.0.0/0
# Paramètrage de l'IP masquerading
# NAT=0 <=> Le NAT N'est PAS autorisé
# NAT=1 <=> Le NAT est autorisé
NAT=1
#==============================================================================
# A PARTIR DE CE POINT, VOUS N'AVEZ PLUS BESOIN DE CONFIGURER CE SCRIPT!!!
#==============================================================================
# Initialisation de Netfilter
#----------------------------
# Initialise la table Filter (par défaut tout les échanges sont refusés)
echo "+ Initialisation de la table Filter"
iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
# Initialise la table NAT (par défaut tout les échanges sont activés)
echo "+ Initialisation de la table NAT"
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
# Initialise la table Mangle (par défaut tout les échanges sont activés)
echo "+ Initialisation de la table Mangle"
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
echo "+ Desactivation du NAT"
echo 0 > /proc/sys/net/ipv4/ip_forward
# Règles du localhost
# On NE fait PAS de restriction aux adresses IP source / destination 127.0.0.0
#---------------------------------------------------------------------------------------
echo "+ Règles du localhost"
iptables -t filter -A OUTPUT -o lo -p all -j ACCEPT
iptables -t filter -A INPUT -i lo -p all -j ACCEPT
# Règles de connexion au reseau local
# Tout est autorisé
#-------------------------------------------
echo "+ Règles du réseau local ($LAN_INTERFACE - $LAN_IP - $LAN_NETWORK)"
# Connexions firewall <-> réseau
iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $LAN_IP -d $LAN_NETWORK -p all -j ACCEPT
iptables -t filter -A INPUT -i $LAN_INTERFACE -s $LAN_NETWORK -d $LAN_IP -p all -j ACCEPT
# Connexions firewall <-> broadcast réseau
iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $LAN_IP -d $LAN_BROADCAST -p all -j ACCEPT
iptables -t filter -A INPUT -i $LAN_INTERFACE -s $LAN_BROADCAST -d $LAN_IP -p all -j ACCEPT
#
# Règles de connexion à Internet
# Seul les connexions initialisés par la machine sont autorisées
# C'est le suivit de connexion
#-----------------------------------------------------------------------
# Chargement des modules pour le suivit de connexion
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
echo "+ Règles pour Internet ($WAN_INTERFACE - $WAN_NETWORK) [ip $WAN_INTERFACE inconnue]"
echo "+ port 80 ouvert !!!"
iptables -t filter -A OUTPUT -o $WAN_INTERFACE -d $WAN_NETWORK -p all -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i $WAN_INTERFACE -s $WAN_NETWORK -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
# on autorise les connexion sur le port 80 (si on a un serveur web, enlever le commentaire)
# iptables -A INPUT -i $WAN_INTERFACE -s $WAN_NETWORK -p tcp --sport 1024:65535 --dport 80 -m state --state NEW -j ACCEPT
#
# Règles pour l'IP masquerading
# Pour que le IP masquerading soit activé, il faut la variable "$NAT" soit à "1"
#--------------------------------------------------------------------------------------
if [ "$NAT" == "1" ]; then
# Chargement des modules pour l'IP masquerading
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_irc
echo "+ Autorise l'IP masquerading de $LAN_NETWORK -> $WAN_NETWORK"
iptables -t filter -A FORWARD -i $LAN_INTERFACE -o $WAN_INTERFACE -s $LAN_NETWORK -d $WAN_NETWORK -p all -m state --state ! INVALID -j ACCEPT
iptables -t filter -A FORWARD -i $WAN_INTERFACE -o $LAN_INTERFACE -s $WAN_NETWORK -d $LAN_NETWORK -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o $WAN_INTERFACE -s $LAN_NETWORK -d $WAN_NETWORK -p all -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
else
echo "+ L'IP masquerading N'est PAS autorisé"
echo 0 > /proc/sys/net/ipv4/ip_forward
fi
|
En espérant que cela puisse t'aider.
(Attention aux lignes trop longues qui risquent de se retrouver sur 2 lignes en cas de copier/coller) _________________ "La grandeur d'un métier est peut-etre, avant tout, d'unir des hommes : il n'est qu'un luxe véritable, et c'est celui des relations humaines." Antoine de Saint-Exupéry |
|
Revenir en haut |
|
|
FhOb
Inscrit le: 05 Aoû 2003 Localisation: Bordeaux
|
Posté le: 05 Oct 2004 13:18 Sujet du message: |
|
|
tes regles sont bonnes, a ce qu'il me semble
par contre as tu fait les pings que je t'ai dit et quelles sont les reponses
quelle est la config de ton poste client
as tu bien initialise la route par defaut vers ta passerelle sur ton client _________________ La connaissance s'accroit quand on la partage
Principe of [email protected] |
|
Revenir en haut |
|
|
Oliviez
Inscrit le: 30 Mai 2003 Localisation: Chambly (60) - France
|
Posté le: 07 Oct 2004 19:12 Sujet du message: |
|
|
Je suis sous free mais pas en dégroupé donc pas d'ip fixe.
Je vais tester avec les règles de base ce soir si possible.
Ma config réseau est ainsi :
- freebox relié au serveur sous debian (voir conf 1er message)
- serveur debian relié à ordi perso sous win/linux
sous win j'utilise putty pour gerer le serveur.
Après mon test est simple : sur mon poste client, je met l'ip du serveur en proxy sous firefox...et je test qq sites web. _________________ N'hésite pas à rechercher l'information à la source. S'y noie fréquemment. |
|
Revenir en haut |
|
|
armen
Inscrit le: 09 Mar 2004 Localisation: Ouest-Nord-Ouest de la France
|
Posté le: 07 Oct 2004 21:42 Sujet du message: |
|
|
J'ai la même config (free sans ip fixe, serveur web sur la passerelle avec utilisation d'un DNS dynamique pour avoir un nom de machine fixe qui pointe vers une ip variable, ddclient se charge de prévnir le DNS dynamique).
Mais sous Firefox, je ne déclare pas de proxy, c'est au niveau de la configuration du réseau (sous le poste sous Windows ou le poste sous Debian Sarge) que je déclare la passerelle (ma machine sous Debian Woody) et tout roule.
J'espère que tu vas t'en sortir rapidement.
Armen qui est content d'avoir récupéré sa connexion ADSL après 3 jours d'interruption (sale coup pour l'uptime car j'éteinds la machine si elle n'est pas accessible). _________________ "La grandeur d'un métier est peut-etre, avant tout, d'unir des hommes : il n'est qu'un luxe véritable, et c'est celui des relations humaines." Antoine de Saint-Exupéry |
|
Revenir en haut |
|
|
Oliviez
Inscrit le: 30 Mai 2003 Localisation: Chambly (60) - France
|
Posté le: 07 Oct 2004 22:32 Sujet du message: |
|
|
Excellent ça marche avec le script de Olivier ALLARD-JACQUIN !!!!
merci les gars.
Allez reste plus qu'à configurer le serveur web, le ftp, le firewall, le partage de fichiers,etc... _________________ N'hésite pas à rechercher l'information à la source. S'y noie fréquemment. |
|
Revenir en haut |
|
|
armen
Inscrit le: 09 Mar 2004 Localisation: Ouest-Nord-Ouest de la France
|
Posté le: 08 Oct 2004 06:19 Sujet du message: |
|
|
Pour le ftp (depuis le net), j'ai la règle suivante :
Code: | /sbin/iptables -A INPUT -i eth1 -s 0.0.0.0/0 -p tcp --sport 1024:65535 --dport 21 -m state --state NEW -j ACCEPT
|
Je ne la lance que quand je sais que je vais faire du FTP.
Au début, j'avais activé les log, (voir le script d'origine). ça n'arrête pas les tentatives d'accès, donc je préfère lancer le moins de services possibles visiblent du net. _________________ "La grandeur d'un métier est peut-etre, avant tout, d'unir des hommes : il n'est qu'un luxe véritable, et c'est celui des relations humaines." Antoine de Saint-Exupéry |
|
Revenir en haut |
|
|
OcamlScheme
Inscrit le: 23 Avr 2003 Localisation: Paris
|
Posté le: 08 Oct 2004 15:55 Sujet du message: |
|
|
L'abandon de ftp pour sftp peut etre souhaitable ...
Et comme par experience je sais que tout linuxien aime
pouvoir prendre le controle de sa becane a distance
il y a toujours un serveur ssh qui tourne
OS _________________ Debian in Sid
[email protected] |
|
Revenir en haut |
|
|
armen
Inscrit le: 09 Mar 2004 Localisation: Ouest-Nord-Ouest de la France
|
Posté le: 08 Oct 2004 15:57 Sujet du message: |
|
|
Ben oui, je l'avoue, j'ai un serveur ssh qui tourne ...
De toute manière, je n'ai ni écran, ni clavier sur ma passerelle, donc ssh est obligatoire. Comment, qui a dit Telnet _________________ "La grandeur d'un métier est peut-etre, avant tout, d'unir des hommes : il n'est qu'un luxe véritable, et c'est celui des relations humaines." Antoine de Saint-Exupéry |
|
Revenir en haut |
|
|
OcamlScheme
Inscrit le: 23 Avr 2003 Localisation: Paris
|
Posté le: 08 Oct 2004 16:02 Sujet du message: |
|
|
So ... sftp powa !
OS _________________ Debian in Sid
[email protected] |
|
Revenir en haut |
|
|
|