Re: Iptables et free TV
2006/2/21, Pascal Hambourg [EMAIL PROTECTED]: Salut,Klaus Becker a écrit : Je souhaite regarder la freetv sur mes 2 postes deriere ma debian quifait routeur et firewall.Essaye d'utiliser le suivi de connexions rtsp. Mes règles iptables sur le firewall sont les suivantes :modprobe ip_conntrack_rtspmodprobe ip_nat_rtsp Sous sarge, je n'ai pas ces 2 modules.Il faut appliquer le patch rtsp-conntrack du patch-o-matic-ng aux sources du noyau, activer l'option CONFIG_IP_NF_RTSP et recompiler.http://www.netfilter.org/projects/patch-o-matic/pom-extra.html#pom-extra-rtsp-conntrack http://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/--Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrenchPensez à rajouter le mot ``spam'' dans vos champs From et Reply-To:To UNSUBSCRIBE, email to [EMAIL PROTECTED]with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]Waw! Recompiler? rien que ca? Bon, ben je vais jouer à me faire une jolie collection de kernel pannic :DMerci pour l'info.
Re: Iptables et free TV
Le Dienstag 21 Februar 2006 08:46, Pascal Hambourg a écrit : Salut, Klaus Becker a écrit : Je souhaite regarder la freetv sur mes 2 postes deriere ma debian qui fait routeur et firewall. Essaye d'utiliser le suivi de connexions rtsp. Mes règles iptables sur le firewall sont les suivantes : modprobe ip_conntrack_rtsp modprobe ip_nat_rtsp Sous sarge, je n'ai pas ces 2 modules. Il faut appliquer le patch rtsp-conntrack du patch-o-matic-ng aux sources du noyau, activer l'option CONFIG_IP_NF_RTSP et recompiler. Est-ce vraiment indispensable? Finalement mon seul problème est le firewall que je n'arrive pas à configurer correctement pour avoir la télé avec vlc; quand je le désactive, ça marche. Klaus http://www.netfilter.org/projects/patch-o-matic/pom-extra.html#pom-extra-rt sp-conntrack http://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/
Re: Iptables et free TV
Klaus Becker a écrit : Il faut appliquer le patch rtsp-conntrack du patch-o-matic-ng aux sources du noyau, activer l'option CONFIG_IP_NF_RTSP et recompiler. Est-ce vraiment indispensable? Finalement mon seul problème est le firewall que je n'arrive pas à configurer correctement pour avoir la télé avec vlc; quand je le désactive, ça marche. D'après ce que j'ai compris, le protocole RTSP fonctionne plus ou moins comme le FTP en mode actif, avec des contraintes similaires vis à vis du suivi de connexion mais aussi du NAT. Si la machine fait du NAT pour d'autres postes, j'ai peur que les deux modules helpers soient nécessaires pour que les flux de données UDP émis par le serveur RTSP la traversent sans contorsions, comme pour FTP. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables et free TV
Pascal Hambourg [EMAIL PROTECTED] writes: Klaus Becker a écrit : quand je le désactive, ça marche. D'après ce que j'ai compris, le protocole RTSP fonctionne plus ou moins comme le FTP en mode actif, avec des contraintes similaires vis à vis du suivi de connexion mais aussi du NAT. Si la machine fait du NAT pour d'autres postes, j'ai peur que les deux modules helpers soient nécessaires pour que les flux de données UDP émis par le serveur RTSP la traversent sans contorsions, comme pour FTP. j'ai compris la même chose que Pascal et je ne vois pas comment ça peut fonctionner sur les client en NAT quand tu (Klaus) désactives le firewall. ++ -- Sébastien BARTHÉLEMY
Re: Iptables et free TV
Sébastien BARTHÉLEMY a écrit : Pascal Hambourg [EMAIL PROTECTED] writes: Klaus Becker a écrit : quand je le désactive, ça marche. j'ai compris la même chose que Pascal et je ne vois pas comment ça peut fonctionner sur les client en NAT quand tu (Klaus) désactives le firewall. Je n'ai pas vu que Klaus utilisait du NAT. Pour moi il n'a qu'une station cliente directement reliée à la Freebox. Dans ce cas, sans firewall, ça marche. -- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez � rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables et free TV
Le Dienstag 21 Februar 2006 11:57, Pascal Hambourg a écrit : Sébastien BARTHÉLEMY a écrit : Pascal Hambourg [EMAIL PROTECTED] writes: Klaus Becker a écrit : quand je le désactive, ça marche. j'ai compris la même chose que Pascal et je ne vois pas comment ça peut fonctionner sur les client en NAT quand tu (Klaus) désactives le firewall. Je n'ai pas vu que Klaus utilisait du NAT. Pour moi il n'a qu'une station cliente directement reliée à la Freebox. Dans ce cas, sans firewall, ça marche. exact Klaus
Re: Iptables et free TV
Salut,Juste un truc que j'ai remarqué.Je n'ai pas une grosse configuration reseau (juste un Freebox,un switch, et 2 portables, 1 sous Debian et 1 sous redhat), j'ai du ouvrir certain portsudp dpts:15000:15999 udp dpts:32000:32999Je ne sais pas s'il y a une importance mais en tous cas ca marche mieux avec c'est port ouvertsOn 2/21/06, Klaus Becker [EMAIL PROTECTED] wrote:Le Dienstag 21 Februar 2006 11:57, Pascal Hambourg a écrit: Sébastien BARTHÉLEMY a écrit : Pascal Hambourg [EMAIL PROTECTED] writes: Klaus Becker a écrit : quand je le désactive, ça marche. j'ai compris la même chose que Pascal et je ne vois pas comment ça peut fonctionner sur les client en NAT quand tu (Klaus) désactives le firewall. Je n'ai pas vu que Klaus utilisait du NAT. Pour moi il n'a qu'une station cliente directement reliée à la Freebox. Dans ce cas, sans firewall, ça marche.exactKlaus-- Jerome HEYMONET
Re: Iptables et free TV
Klaus Becker a écrit : Le Dienstag 21 Februar 2006 08:46, Pascal Hambourg a écrit : Salut, Klaus Becker a écrit : Je souhaite regarder la freetv sur mes 2 postes deriere ma debian qui fait routeur et firewall. Essaye d'utiliser le suivi de connexions rtsp. Mes règles iptables sur le firewall sont les suivantes : modprobe ip_conntrack_rtsp modprobe ip_nat_rtsp Sous sarge, je n'ai pas ces 2 modules. Il faut appliquer le patch rtsp-conntrack du patch-o-matic-ng aux sources du noyau, activer l'option CONFIG_IP_NF_RTSP et recompiler. Est-ce vraiment indispensable? Finalement mon seul problème est le firewall que je n'arrive pas à configurer correctement pour avoir la télé avec vlc; quand je le désactive, ça marche. Non ce n'est pas indispensable. Tu peux t'en sortir en ouvrant les ports kivonbien. L'utilisation du suivi de connexion permet de simplifier l'écriture des règles et surtout de n'ouvrir qu'un minimum de ports, les autres s'ouvrent tout seul. Klaus Sébastien http://www.netfilter.org/projects/patch-o-matic/pom-extra.html#pom-extra-rt sp-conntrack http://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/ -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables et free TV
The fyxx a écrit : 2006/2/21, Pascal Hambourg [EMAIL PROTECTED] mailto:[EMAIL PROTECTED]: Salut, ... Waw! Recompiler? rien que ca? Bon, ben je vais jouer à me faire une jolie collection de kernel pannic :D Merci pour l'info. Tu ne devrais pas avoir de kernel panic si tu rajoutes un module.;-) En revanche, il y a de grandes chances que tu doives recompiler iptables aussi -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables et free TV
Klaus Becker wrote: Le Dienstag 21 Februar 2006 11:57, Pascal Hambourg a écrit : Sébastien BARTHÉLEMY a écrit : Je n'ai pas vu que Klaus utilisait du NAT. Pour moi il n'a qu'une station cliente directement reliée à la Freebox. Dans ce cas, sans firewall, ça marche. exact C'est pareil que chez moi (du moins pour l'instant). Mais ce qui est le plus intéressant, c'est qu'une fois que le flux est initié, on peut réactiver le filtrage (remettre DROP en policy sur INPUT), si on a iptable -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Moi qui croyais qu'UDP était un protocole sans connexion... Est-ce que netfilter laisse passer les paquets parce que peu de temps avant un autre est déjà passé avec succès ? Sinon, je me posais la question pour plus tard, parce que je viens de déménager et mon routeur-wifi (linksys wrt54g) est encore dans son carton. Est-ce qu'il est capable de laisser passer le flux ou bien il faudra que j'active la « fonction DMZ » vers la machine sur laquelle je regarde la TV ? Francois BOTTIN -- How kind, the PFY sighs. But where will I go? Somewhere where they know nothing about computing... where they wouldn't know a RAM chip from a potato chip! But I don't want to visit Microsoft! he whines. The BOFH 1998 - Simon Travaglia (bofh.ntk.net) -- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez � rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables et free TV
Francois Bottin a écrit : C'est pareil que chez moi (du moins pour l'instant). Mais ce qui est le plus intéressant, c'est qu'une fois que le flux est initié, on peut réactiver le filtrage (remettre DROP en policy sur INPUT), si on a iptable -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Ça n'a rien d'extraordinaire, au contraire c'est parfaitement normal tant que le module de suivi de connexion (ip_conntrack) reste chargé. Moi qui croyais qu'UDP était un protocole sans connexion... Netfilter a une conception assez large de la notion de connexion. Tout flux bidirectionnel quel que soit le protocole IP employé est considéré comme une connexion. Est-ce que netfilter laisse passer les paquets parce que peu de temps avant un autre est déjà passé avec succès ? La connexion étant déjà établie, les paquets lui appartenant sont classés dans l'état ESTABLISHED par le suivi de connexion et par conséquent acceptés par la règle iptables ci-dessus. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Iptables et free TV
Bonjour la liste!Je viens chercher des infos ici puisque je ne m'en sort pas et que je vois que les sujets sur free sont à la mode ;)Alors voila tout d'abord le but du post: Je souhaite regarder la freetv sur mes 2 postes deriere ma debian qui fait routeur et firewall. Ces deux postes sont en windows(frink et kiki), sans la debian ca marche tres bien, donc aucun probleme coté krosoft.Voila ma config du rezo:WEB -eth1 [DEBIAN] eth0--- Switch materiel -- frink | KikiPassons à Iptables.J'ai par defaut une politique DROP sur INPUT, OUTPUT et FORWARD.voila mon script iptables: iciEn gros, vers la ligne 42, il y a les règles pour renvoyer la freebox sur frink, acctuellement commentées car j'aime pas laisser en place quelque chose qui ne marche pas:# Seules les connexion déjà établies ou en relation a des connexions établies sont autorisées venant du net sur le LAN #iptables -A FORWARD -i $CARTE_WAN -o $CARTE_LAN -m state --state RELATED,ESTABLISHED -j ACCEPT #iptables -A FORWARD -i $CARTE_WAN -o $CARTE_LAN -s $MAFREEBOX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT # connexion venant du reseau peuvent sortir #iptables -A FORWARD -i $CARTE_LAN -o $CARTE_WAN -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT #iptables -t nat -A PREROUTING -p udp --dport 31336:31337 -i $CARTE_WAN -j DNAT --to $FRINK #iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT J'ai aussi essayé en mettant INPUT OUTPUT et FORWARD en accept, et sans resultat.J'ai donc renoncé pour l'instant à regarder la tv, mais c'est vrai que je trouve ca ralant. J'aimerais comprendre ce que je ne saisi pas, car j'ai beaucoup de mal avec iptables, et j'aimerais voir mes erreurs pour bien le maitriser. Donc si quelqu'un a une piste, je prends :DBonne soirée.
Re: Iptables et free TV
The fyxx a écrit : Bonjour la liste! Salut Je viens chercher des infos ici puisque je ne m'en sort pas et que je vois que les sujets sur free sont à la mode ;) Alors voila tout d'abord le but du post: Je souhaite regarder la freetv sur mes 2 postes deriere ma debian qui fait routeur et firewall. Ces deux postes sont en windows(frink et kiki), sans la debian ca marche tres bien, donc aucun probleme coté krosoft. Voila ma config du rezo: WEB -eth1 [DEBIAN] eth0--- Switch materiel -- frink | Kiki Ma config est la suivante : Freebox -- Firewall(Debian) +- Client linux(VLC) | +- Client windows(VLC) Passons à Iptables. J'ai par defaut une politique DROP sur INPUT, OUTPUT et FORWARD. voila mon script iptables: ici http://fyxx.free.fr/liens_donnes_sur_le_net/iptables20060220 En gros, vers la ligne 42, il y a les règles pour renvoyer la freebox sur frink, acctuellement commentées car j'aime pas laisser en place quelque chose qui ne marche pas: # Seules les connexion déjà établies ou en relation a des connexions établies sont autorisées venant du net sur le LAN #iptables -A FORWARD -i $CARTE_WAN -o $CARTE_LAN -m state --state RELATED,ESTABLISHED -j ACCEPT #iptables -A FORWARD -i $CARTE_WAN -o $CARTE_LAN -s $MAFREEBOX -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT # connexion venant du reseau peuvent sortir #iptables -A FORWARD -i $CARTE_LAN -o $CARTE_WAN -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT #iptables -t nat -A PREROUTING -p udp --dport 31336:31337 -i $CARTE_WAN -j DNAT --to $FRINK #iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT Essaye d'utiliser le suivi de connexions rtsp. Mes règles iptables sur le firewall sont les suivantes : modprobe ip_conntrack_rtsp modprobe ip_nat_rtsp $IPTABLES -A FORWARD -i $INET_IFACE -s 212.27.38.253 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $LAN_IFACE -d 212.27.38.253 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT J'ai aussi essayé en mettant INPUT OUTPUT et FORWARD en accept, et sans resultat. J'ai donc renoncé pour l'instant à regarder la tv, mais c'est vrai que je trouve ca ralant. J'aimerais comprendre ce que je ne saisi pas, car j'ai beaucoup de mal avec iptables, et j'aimerais voir mes erreurs pour bien le maitriser. Donc si quelqu'un a une piste, je prends :D Bonne soirée. Sébastien -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables et free TV
Le Montag 20 Februar 2006 22:55, Sébastien GALLET a écrit : The fyxx a écrit : Bonjour la liste! Salut Je souhaite regarder la freetv sur mes 2 postes deriere ma debian qui fait routeur et firewall. Essaye d'utiliser le suivi de connexions rtsp. Mes règles iptables sur le firewall sont les suivantes : modprobe ip_conntrack_rtsp modprobe ip_nat_rtsp Sous sarge, je n'ai pas ces 2 modules. Klaus
Re: Iptables et free TV
Salut, Klaus Becker a écrit : Je souhaite regarder la freetv sur mes 2 postes deriere ma debian qui fait routeur et firewall. Essaye d'utiliser le suivi de connexions rtsp. Mes règles iptables sur le firewall sont les suivantes : modprobe ip_conntrack_rtsp modprobe ip_nat_rtsp Sous sarge, je n'ai pas ces 2 modules. Il faut appliquer le patch rtsp-conntrack du patch-o-matic-ng aux sources du noyau, activer l'option CONFIG_IP_NF_RTSP et recompiler. http://www.netfilter.org/projects/patch-o-matic/pom-extra.html#pom-extra-rtsp-conntrack http://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/ -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]