Iptable et Pes4

Iptable et Pes4 - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 19-05-2005 à 14:07:37    

:hello:  
 
Suite à ce post j'aimerai trouver un moyen de jouer à pes4 derriere ma passerelle.
http://forum.hardware.fr/hardwaref [...] 3397-1.htm.
 
Donc pour ouvrir le port udp 5739 :
 

Citation :

iptables -A INPUT -p udp --dport 5739 -j ACCEPT


 
Mais pour ouvrir tous les ports udp allant de 1000 a 1100 je bloque un peu :/, une idée ?
 
 
merci


Message édité par The Dml le 19-05-2005 à 14:08:46
Reply

Marsh Posté le 19-05-2005 à 14:07:37   

Reply

Marsh Posté le 19-05-2005 à 14:15:24    

iptables -A INPUT -p udp --dport 1000:1100 -j ACCEPT

Reply

Marsh Posté le 19-05-2005 à 14:16:48    

syl94 a écrit :

iptables -A INPUT -p udp --dport 1000:1100 -j ACCEPT


 
je vais tenter ca de suite  merci :jap:

Reply

Marsh Posté le 19-05-2005 à 14:18:06    

Déjà c'est pas dans la chaine INPUT que tu dois mettre cette règle sauf si le serveur de pes4 est sur ta passerelle.
C'est dans la chaine FORWARD.
 
Ensuite tu as la possibilité de mettre des ranges de ports [:l0ky]

man iptables


c'est avec --destination-port


Message édité par l0ky le 19-05-2005 à 14:18:31
Reply

Marsh Posté le 19-05-2005 à 14:22:11    

l0ky a écrit :


c'est avec --destination-port


 
 
--dport != --destination-port  ? :heink:


Message édité par syl94 le 19-05-2005 à 14:24:00
Reply

Marsh Posté le 19-05-2005 à 14:25:59    

Extrait du man d'iptables:

Citation :

--destination-port [!] port[:port]
       Destination port or port range specification. The flag --dport is a
       convenient alias for this option


Message édité par l0ky le 19-05-2005 à 14:27:07
Reply

Marsh Posté le 19-05-2005 à 14:27:08    

bah oui, donc --dport est la meme chose que --destination-port ... ou alors j'ai loupé un truc

Reply

Marsh Posté le 19-05-2005 à 14:28:11    

oui.
c'est juste que j'ai mis plus longtemps que toi a taper mon post et que je trouve que --destination-port est plus parlant que --dport. je prefère utiliser les options longues [:mrbrelle]

Reply

Marsh Posté le 19-05-2005 à 14:31:59    

l0ky a écrit :

oui.
c'est juste que j'ai mis plus longtemps que toi a taper mon post et que je trouve que --destination-port est plus parlant que --dport. je prefère utiliser les options longues [:mrbrelle]


 
ok  ;) pareil pour les options longues, mais tout depend si tu tape une regle vite fait ou si tu prend ton temps pour faire ta conf

Reply

Marsh Posté le 19-05-2005 à 14:56:00    

Bon ca marche toujours pas :/ , je vous met met mon script ca éclairera peut etre les choses.
 

Citation :

#!/bin/sh
# Script "iptables.sh"
# Fichier contenant les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://www.via.ecp.fr/~alexis/formation-linux/
 
# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
 
# DEBUT des règles de FIREWALLING
 
# DEBUT des politiques par défaut
 
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
 
# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT
 
# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT
 
# FIN des politiques par défaut
 
# J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
 
# Pour pes4  
iptables -A FORWARD -p udp --dport 5739 -j ACCEPT
iptables -A FORWARD -p udp --dport 1000:1100 -j ACCEPT
iptables -A INPUT -p udp --dport 5739 -j ACCEPT
 
 
# J'autorise les connexions TCP entrantes sur le port 22
# (pour que mon serveur SSH soit joignable de l'extérieur)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
 
 
#mldonkey/xmule
iptables -A INPUT -p tcp --dport 4080 -j ACCEPT
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -p udp --dport 4666 -j ACCEPT
 
# J'accepte le protocole ICMP (i.e. le "ping" )
iptables -A INPUT -p icmp -j ACCEPT
 
 
# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT
 
# FIN des règles de FIREWALLING
 
 
# DEBUT des règles pour le PARTAGE DE CONNEXION (i.e. le NAT)
 
# Je veux que mon système fasse office de "serveur NAT"
# (Remplaçez "eth0" par votre interface connectée à Internet)
iptables -t nat -A POSTROUTING -s 192.168.0.0/5 -o ppp0 -j MASQUERADE
 
# FIN des règles pour le PARTAGE DE CONNEXION (i.e. le NAT)
 
 
# DEBUT des règles de PORT FORWARDING
 
# Je veux que les requêtes TCP reçues sur le port 80 soient forwardées
# à la machine dont l'IP est 192.168.0.3 sur son port 80
# (la réponse à la requête sera forwardée au client)
#iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:80
 
# FIN des règles de PORT FORWARDING

Reply

Marsh Posté le 19-05-2005 à 14:56:00   

Reply

Marsh Posté le 19-05-2005 à 15:00:27    

Mes commentaires:
 - Tu mets plusieurs fois tes politiques par défaut
 - En forward ta politique est  ACCEPT et apres tu mets des règles en  

iptables -A FORWARD xxxxx -j ACCEPT


    => ca sert a rien
 - tu a mis  

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

ce qui est bien mais tu ne l'as mis ni pour la chaine FORWARD ni pour la chaine OUTPUT

Reply

Marsh Posté le 19-05-2005 à 15:03:51    

Un commentaire supplémentaire :
 Certains protocoles de jeux négocient les ports à utiliser (comme par exemple le FTP le fait pour le transfert de données).
 
 Je ne connais pas pes4 mais si c'est le cas soit il faut que ton firewall suivent ces négociations pour ouvrir les ports corrects et balancer le trafic à tes clients, soit que tu forward en bourin les ports succeptible d'etre utiliser vers ton client


Message édité par l0ky le 19-05-2005 à 15:04:22
Reply

Marsh Posté le 19-05-2005 à 18:11:19    

Désolé de pas répondre plutot, donc pour info là ca ne marche pas :/.
Donc en ce qui concerne le script je suis pas tres doué avec iptable donc tant que ca marche a peu pres je chippote pas...
 
Mais la question est pourquoi cela ne marche pas ? c'est suite à ta deuxieme remarque quoté ?

Reply

Marsh Posté le 19-05-2005 à 18:31:21    

non vu que en FORWARD tu acceptes tout (politique par défaut)

Reply

Marsh Posté le 19-05-2005 à 18:40:16    

Donc pas d'idée sur le pourquoi du bug a part ce que tu as dit pour les port comme celui du ftp ?

Reply

Marsh Posté le 19-05-2005 à 18:52:44    

si, possible mon dernier commentaire

Reply

Marsh Posté le 19-05-2005 à 18:53:30    

tu fais des règles iptables pour loggué et tu vois ce qu'il te dit

Reply

Marsh Posté le 19-05-2005 à 18:54:41    

debug ! met en  place le log par exemple avant ton reject sur l'input.  
 
Ca pourrait te donner un truc du genre -A INPUT -j LOG . Si tu est courageux, je te conseil d'utliser ulog a la place, parce que plus propre (il ne va pas logguer dans /var/log/message ou syslog), mais dans un fichier qui lui est dédié. Il te faut le package ulogd

Reply

Marsh Posté le 19-05-2005 à 18:54:58    

merde, grillé :)

Reply

Marsh Posté le 19-05-2005 à 19:02:04    

Je vais essayer ca :) merci

Reply

Marsh Posté le 23-05-2005 à 23:35:26    

Salut The Dml
Pourrait t'on savoir si tu as réussi ?
si oui comment ?
Merki

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed