salut à tous voilà un moment que je regarde iptables et j'ai voulu m'y mettre
j'ai un routeur et je veux juste que mon deuxieme pc ne fasse que de la connexion internet et rien d'autre (uniquement du surf, pas de téléchargement pas de kazaa,edonkey ou autre chose)
 
L'ip de mon routeur 192.168.0.1
mon reseau 192.168.0.0/255.255.255.0
 
j'ai mis sur mon firewall sur lequel j'ai installé redhat 7.3
2 interfaces
 
eth0 192.168.0.2
eth1 193.168.0.3
 
sur mon autre poste j'ai mis comme ip 192.168.0.4
passerelle 192.168.0.3
 
sur mon firewall  
dans le ficchier resolv.conf j'ai mis les dns de wandanoo
193.252.19.3
193.252.19.4
 
comme passerelle 193.51.200.1 celle de mon routeur
 
j'ai ensuite connecté mon routeur directement sur interface eth0
 
j'ai copier cela depuis lea-linux.og
 
echo 1 > /proc/sys/net/ipv4/ip_forward
 
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
 
iptables -A INPUT -i eth0 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -i eth0 --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT  
 
iptables -A INPUT -i eth0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
 
 
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE  
 
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT  
iptables -A FORWARD -o eth1 -i eth0 -p tcp --sport 80 -j ACCEPT
 
j'arrive à surfer avec mon firewall
mais pas avec mon deuxieme poste  
 
est que quelqu'un pourrais m'aider  
merci d'avance
 
 

si tu fais ifconfig sur ton poste client ça te donnes koi ?

est ce que c'est ce que tu as recopier testo depuis ton linux ??
 
car sinon moi j'ai ça :  
 
echo "1" > /proc/sys/net/ipv4/ip_forward  
 
t'as oublié les "

salut oui j'ai recopier texto depuis le site www.lea-linux.org
echo 1 > /proc/sys/net/ipv4/ip_forward
 
avant de poser des règles iptables le routage marche alors ce n'est pas un cette ligne qui cloche
quand je fait ipconfig/all c'est un poste Windows XP  
j'ai ça
adresse ip 192.168.0.4
passerelle 192.168.0.3
Dns 193.252.19.3
Dns 193.252.19.4
 
ensuite l'adresse MAC et le reste

svp essaye quand même ça en ligne de commande ça te coute rien  
 
# echo "1" > /proc/sys/net/ipv4/ip_forward  
 
si tu dis que ton routage marche , c'est vague ça veut pas forcément dire que le forwarding est bien activé.
 
avec les "1"

va marche sans les ""
fais un cat /proc/sys/net/ipv4/ip_forward   pour verifier mais ca devrait etre bon
 
par contre il te manque peut etre une ligne pour ton interface loopback genre :
 
iptables -A INPUT -i lo -j ACCEPT

je suis sur que le routage marche quand il n'y a pas de règles iptables ça marche bien sans les "" mais en ce qui concerne  
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -o lo -j ACCPET
c'est pour accepter tout ce qui ce passe sur l'interface lo (127.0.0.1) comme pour faire un 127.0.0.1:10000 pour utiliser WEBMIN par exemple enfin c'est ce que j'ai pur comprendre en regardant sur www.lea-linux.org
mais cela ne règle pas mon problème

il faut forwarder le port UDP 53 entre eth0 et eth1 pour que ton poste accède au DNS sinon il trouvera jamais le site...
 
par ailleurs:
rajoute -m state --state RELATED,ESTABLISHED à
iptables -A FORWARD -o eth1 -i eth0 -p tcp --sport 80 -j ACCEPT  
 et rejoute RELATED à
iptables -A INPUT -i eth0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT

Merci du post je vais tester

j'ai rajoué ceci
 
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 53 -j ACCEPT  
iptables -A FORWARD -o eth1 -i eth0 -p tcp --sport 53 -j ACCEPT
 
iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 53 -j ACCEPT  
iptables -A FORWARD -o eth1 -i eth0 -p udp --sport 53 -j ACCEPT
 
mais cela ne marche pas quand même
je ne comprends pas pourquoi

as-tu configuré les DNS sur ton poste client? Arrives-tu à ping à l'extérieur?

oui mes dns son correctement configurer mais je n'arrive pas à pingger dès que je mets  
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
 
mais ça c'est normal
 
je ne comprends pas pourquoi mes requètes DNS ne passent pas d'une interface vers une autre

sur ton poste client tu à bien déclaré les DNS ?
/etc/resolv.conf
 
-- Edit --
oups grilled

essaye plutot  
iptables -A FORWARD -i eth1 -o ppp0 -p tcp --dport 53 -j ACCEPT  
.......

pour le DNS, tu n'as pas besopin d'ouvrir le port en TCP. UDP suffit.
 
Fais un ifconfig sur les 2 machines et post le résultat. De même post ton script iptables complet.
 
D'après tes infos, je me demande si ça vient de ton script.

As-tu essayé de pinger une adresse sur le net ???
C'est peut-être que ta résolution de nom qui flanche (il m'est arrivé la même chose) ???
 
Comment as-tu configuré tes clients ?? (ils utilisent ta passerelle comme serveur de nom ou pas ?).
 
Et balance ton script complet ainsi que le resultat d'un : route -n !
C'est peut-être la aussi que ça merdouille.
 
Le passant.

Petite remarque supplémentaire : l'ip de ton interface branchée avec le routeur ne devrait pas être du type 193.51.200.qqchose ???
 
J'y connait rien en routeur, mais ça me parraitrait logique que sur un même "sous-réseau", les classe d'ip soient les même. Non ?
 
Le passant.

oui désolé je me suis trompé dans l'ip de mon routeur
ip routeur 192.168.0.1
j'étais sous cette classe ip avant mais j'ai changé parce que tous les scripts iptablesque j'ai trouvé son vers des ip 192.168.0.0 ou 192.168.1.0
mon route -n
 
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
192.168.0.0    0.0.0.0         255.255.255.0 U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.0.1 0.0.0.0         UG    0      0        0 eth1
 
mon script iptables  
 
echo 1 > /proc/sys/net/ipv4/ip_forward  
 
iptables -P INPUT DROP  
iptables -P OUTPUT DROP  
iptables -P FORWARD DROP  
 
iptables -A INPUT -i lo -j ACCEPT  
iptables -A INPUT -o lo -j ACCPET
 
iptables -A INPUT -i eth0 --protocol udp --source-port 53 -j ACCEPT  
iptables -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT  
iptables -A INPUT -i eth0 --protocol tcp --source-port 53 -j ACCEPT  
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT  
 
iptables -A INPUT -i eth0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT  
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT  
 
 
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE  
 
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT  
iptables -A FORWARD -o eth1 -i eth0 -p tcp --sport 80 -j ACCEPT  
 
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 53 -j ACCEPT    
iptables -A FORWARD -o eth1 -i eth0 -p tcp --sport 53 -j ACCEPT  
 
iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 53 -j ACCEPT    
iptables -A FORWARD -o eth1 -i eth0 -p udp --sport 53 -j ACCEPT
 
mon ifconfig
eth0      Lien encap:Ethernet  HWaddr 00:A0:24:AC:B1:95
          inet adr:192.168.0.2  Bcast:192.168.0.255  Masque:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1600421 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1611210 errors:0 dropped:0 overruns:0 carrier:0
          collisions:3725 lg file transmission:100
          RX bytes:324263855 (309.2 Mb)  TX bytes:1459232395 (1391.6 Mb)
          Interruption:9 Adresse de base:0xd800
 
eth1      Lien encap:Ethernet  HWaddr 00:60:6E:39:AB:96
          inet adr:192.168.0.3  Bcast:192.168.0.255  Masque:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1846371 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1508963 errors:0 dropped:0 overruns:0 carrier:0
          collisions:12124 lg file transmission:100
          RX bytes:1525200980 (1454.5 Mb)  TX bytes:357311147 (340.7 Mb)
          Interruption:10 Adresse de base:0xda00
 
lo        Lien encap:Boucle locale
          inet adr:127.0.0.1  Masque:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:52 errors:0 dropped:0 overruns:0 frame:0
          TX packets:52 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:4658 (4.5 Kb)  TX bytes:4658 (4.5 Kb)
 
 
sur mon poste windows je ne peux pas faire ifconfig ça marche pas
je n'en peux plus j'essaie de me metre à linux mais j'ai beaucoup de mal c'est hyper dur mais c'est un bon OS
je ne comprends pas je fais exactement ce qui est dit sur  
www.lea-linux.org et ça ne marche pas

je comprends plus! ton poste client ets sur eth0 ou eth1?

mon poste client est windows XP 192.168.0.4

mais connecté sur la carte eth0 ou eth1 de ta passerelle?

sur l'interface eth1 192.168.0.3

configure eth1 en 192.168.1.1 et ton poste windows en 192.168.1.2. Sur windows configure la passerelle sur 192.168.1.1. Netmask toujours en 255.255.255.0.
Refait le defaultroute sur ta passerelle sur eth0 (car actuellement le defaultroute est sur eth1).

c'est sympa de ta part de m'aider je vois que l'on s'écris presque en direct mais désolé je ne suis pas un expert en linux je ne sais pas que le defaut route et aussi pourquoi je suis obligé de changé mes ip vers 192.168.1.1
 
peux tu m'expliquer

actuellement quand linux cherhce une IP, il va chercher sur les 2 cartes. Autant lui dire sur quelle carte aller chercher l'ordi.
La default route, c'est pour les adresses qu'il ne connait pas (en dehors du netmask, donc dans ton cas tout ce qui n'est pas 192.168.0.*). Il va alors questionner les DNS que tu as dans ton resolv.conf, en utilisant la default route. Ce que je ne comprends, c'est qu'elle est actuellement sur eth1 alors qu'elle devrait être sur eth0 c'est à dire vers le net.
Pour l'instant, tu as 2 cartes, crée 2 sous-réseaux. 1 en 192.168.0.*/255.255.255.0 sur eth0 et l'autre en 192.168.1.*/255.255.255.0 sur eth1. Configure comme je t'ai dit le windows pour le mettre dans le bon sous-réseau.

tes routes sont HS tu devrais avoir qqchose comme :
 
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
IP_internet   0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         IP_internet   0.0.0.0         UG    0      0        0 ppp0
 
Par contre, dans ton cas (avec routeur), je ne sais pas du tout si tu dois avoir ppp0 ou eth1 ....
 
Et dans le ifconfig, un jolie ppp0 dois apparaitre !!!
 
En fait, la tu n'as AUCUNE connection au net de créé (pas de ppp0 qui est "l'interface" avec le net), donc tes règles peuvent fonctionner... ou pas, puisque le problème commence bien en amont !!!!!
 
Un problème de ce type, lorsqu'on utilise un modem, est dû à la définition d'une ip sur l'interface lié au modem.
Perso, j'ai viré cette IP et tout roule dans l'ordre.
cf. mon ifconfig (le route -n est au-dessus) :
 
eth0      Link encap:Ethernet  HWaddr 52:54:05:F9:29:69
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11583584 errors:0 dropped:0 overruns:0 frame:3
          TX packets:13728255 errors:0 dropped:0 overruns:0 carrier:0
          collisions:2448 txqueuelen:100
          RX bytes:199062525 (189.8 Mb)  TX bytes:1293867003 (1233.9 Mb)
          Interrupt:10 Base address:0x6800
 
eth1      Link encap:Ethernet  HWaddr 00:E0:7D:E2:30:EE
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:13658157 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11104033 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1203072362 (1147.3 Mb)  TX bytes:87295107 (83.2 Mb)
          Interrupt:11 Base address:0x6000
 
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:38 errors:0 dropped:0 overruns:0 frame:0
          TX packets:38 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:4140 (4.0 Kb)  TX bytes:4140 (4.0 Kb)
 
ppp0      Link encap:Point-to-Point Protocol
          inet addr:IP_internet  P-t-P:IP_machin  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:360244 errors:363597 dropped:0 overruns:0 frame:0
          TX packets:380966 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:221970820 (211.6 Mb)  TX bytes:252645988 (240.9 Mb)
 
Sauf que toi tu as un routeur, donc je ne sais pas du tout si la configuration est identique....
 
Euh, quand tu dis routeur... c'est lequel ?
 
Le passant.

c'est fait j'ai changé l'adresse de eth1 en 192.168.1.1
et mon poste windows en 192.168.1.2 mais maintenant je ne vais plus sur le net depuis mon poste linux comment ça se fait

c'est un routeur donc pas de ppp0.
mais on doit lire:
0.0.0.0         192.168.0.1   0.0.0.0         UG    0      0        0 eth0

route add default gw 192.168.0.1  
sur ton linux

et renvoie nous un route -n après

mon routeur c'est un ZyXEL Prestige 310

Fait tout comme bobor il dit, moi j'y connait peu de n..... en routeur !
 
Le passant.

voilà ce que j'ai maintenant  
 
[root@firewall root]# route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0 U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.0.1    0.0.0.0         UG    0      0        0 eth0

je crois que tu t'es viandé dans ton route add (cf. le 192.168.1.0).

ta table de routage est correcte maintenant. Est-ce que ça marche? Linux? Windows?
 
sinon, essaie quelques ping:
depuis windows:
ping 192.168.1.1
ping 213.41.49.5
ping www.tf1.fr
 
depuis linux:
pîng 192.168.0.1
pîng 192.168.1.2
ping 213.41.49.5
ping www.tf1.fr
 

non son routeur donc sa passerelle est en 192.168.0.1 sur eth0.
192.168.1.0 est le réseau sur eth1

comment ça
j'ai mis dans le defaut route l'adresse 192.168.0.1 c'est bien ce que tu m'as dit non ???

le ping ne marche pas

 
Ah, oui... Quand j'ai écris un message, il y a plein de truc qui m'ont échappé.
 
J'ai rien dit !
 
La prochaine fois je vais faire un peu plus attention.
 
Le passant.

 
Lequel ??