On Mon, 16 Jun 2003 22:34:10 +0200 Alain Barthélemy <[EMAIL PROTECTED]> wrote:
> Bonjour, > > Au bon vieux temps où j'ai installé Roaring Pinguin sur SuSE-7.1, il > me reste encore le fichier avec les règles ipchains qui sont toujours > opérationnelles. > > Je voudrais cependant faire des connexions ssh port 22 de l'extérieur > (du boulot) vers une station de mon LAN personnel. Le firewall bloque > tous les ports < 1024. Lorsque mon fils eu la bonne idée de commenter > toutes les lignes l'année passée, je pus faire des connexions > ssh. J'ai couru pour commenter toutes les lignes, je n'eus plus de > transfert ssh possible of course. > > Je rajoutai donc la ligne (voir ci-dessous): > > #laisser entrer requête ssh > ipchains -A input -l -i $EXTIF -s $ANY -p tcp ssh -j ACCEPT > > Pour n'autoriser que le port 22 (ssh). > > Problème: cela ne fonctionne pas. > > Quelqu'un a-t-il idée du problème? Je ne suis pas spécialiste > d'Ipchains. > > En y réflechissant, je mets, je mets cette ligne qui autorise la > connexion après le "Deny TCP connexion attempt". Intervertir les 2 > lignes serait-il suffisant. Il faut que je ne laisse entrer que le > port 22 ou faut-il que je mette !22 ou équivalent sur la ligne qui > bloque toutes les connexions TCP du port 0 à 1023? > > Merci pour toute suggestion. > > #!/bin/sh > # > # firewall-masq This script sets up firewall rules for a machine > # acting as a masquerading gateway > # > # Copyright (C) 2000 Roaring Penguin Software Inc. This software may > # be distributed under the terms of the GNU General Public License, version > # 2 or any later version. > > # Interface to Internet > EXTIF=ppp+ > INTIF=eth1 > > ANY=0.0.0.0/0 > OURNET=192.168.1.32/27 > > ipchains -P input ACCEPT > ipchains -P output ACCEPT > ipchains -P forward ACCEPT > > ipchains -F forward > ipchains -F input > ipchains -F output > > # Deny TCP and UDP packets to privileged ports > ipchains -A input -l -i $EXTIF -d $ANY 0:1023 -p udp -j DENY > ipchains -A input -l -i $EXTIF -d $ANY 0:1023 -p tcp -j DENY > > # Deny TCP connection attempts > ipchains -A input -l -i $EXTIF -p tcp -y -j DENY > > # Deny ICMP echo-requests > ipchains -A input -l -i $EXTIF -s $ANY echo-request -p icmp -j DENY > > # Laisser entrer requete ssh > # Ligne que je viens de rajouter mais ne marche pas > ipchains -A input -l -i $EXTIF -s $ANY -p tcp ssh -j ACCEPT > > # Do masquerading > ipchains -A forward -p tcp -s 192.168.1.32/27 -d 192.168.1.32/27 ssh -j ACCEPT > ipchains -A forward -j MASQ > echo 1 > /proc/sys/net/ipv4/ip_forward > C'est normal que le packet de synchronisation est rejeté avant d'être accepté. En fait faut voir le packet décent toutes les régles de haut en bas, si il est rejeté il est rejeté tout de suite et les autres régles (en dessous sont ignorées) en fait ton packet est stoppé à la 2eme requête "ipchains -A input -l -i $EXTIF -d $ANY 0:1023 -p tcp -j DENY" voila. > -- > Alain Barthélemy > [EMAIL PROTECTED] > http://bartydeux.be > > > > > _______________________________________________________ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > Archives: http://www.mail-archive.com/[EMAIL PROTECTED] > IRC: efnet.unixtech.be:6667 - #unixtech > _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: efnet.unixtech.be:6667 - #unixtech
