Re: PB ssh et firewall :(!
Jean-Michel OLTRA wrote: bonjour, Le mardi 21 septembre 2004, dlist a écrit... merci pour toutes suggestions. ps: les 2 machines ont été installées avec une knoppix (noyau 2.4.22-xfs pour zouzou et l'autre je ne sais pas); j'ai modifié le sources.list pour avoir une sarge sur zouzou; pas touché loulou. Voilà ce que je mets à la fin de mon fichier de règles, sur le pare-feu: ## logging # liquide ce qui reste qui n'est pas lie une connexion valide $IPTABLES -A INPUT -j LOG --log-level $LOG_LEVEL --log-prefix RESIDUS-IN: $IPTABLES -A INPUT -j DROP $IPTABLES -A OUTPUT -j LOG --log-level $LOG_LEVEL --log-prefix RESIDUS-OUT: $IPTABLES -A OUTPUT -j DROP et le même style en FORWARD _Si_ une règle n'a pas éliminé un paquet avant, ça permet de voir un peu ce qui se passe. Oui, moi je ne suit pas du tout ;) ! Voilà ce que m'a donné ta modif, dans /etc/netfilter.sh..., si c bien là qu'il fallait la mettre... ? [EMAIL PROTECTED]:/# /etc/netfilter/netfilter restart Flush des règles IpTables: [termine] Application des règles IpTables: Warning: weird character in interface `eth0:1' (No aliases, :, ! or *). Warning: weird character in interface `eth0:1' (No aliases, :, ! or *). iptables v1.2.9: log-level `--log-prefix' unknown Try `iptables -h' or 'iptables --help' for more information. iptables v1.2.9: log-level `--log-prefix' unknown Try `iptables -h' or 'iptables --help' for more information. [Termine] Note : la seconde machine est 'plantée'; l'aide offerte par 1 membre de la liste.., que je remercie quand-même au passage est finie... ; alors 1 avis est assez bienvenu..., comme d'hab' ;) ! Cordialement Mi
Re: PB ssh et firewall :(!
bonjour, Le mercredi 06 octobre 2004, Mezig a écrit... $IPTABLES -A INPUT -j LOG --log-level $LOG_LEVEL --log-prefix RESIDUS-IN: $IPTABLES -A INPUT -j DROP $IPTABLES -A OUTPUT -j LOG --log-level $LOG_LEVEL --log-prefix RESIDUS-OUT: $IPTABLES -A OUTPUT -j DROP Voilà ce que m'a donné ta modif, dans /etc/netfilter.sh..., si c bien là qu'il fallait la mettre... ? Dans le fichier de règles, oui. [EMAIL PROTECTED]:/# /etc/netfilter/netfilter restart Flush des règles IpTables: [termine] Application des règles IpTables: Warning: weird character in interface `eth0:1' (No aliases, :, ! or *). ?? Warning: weird character in interface `eth0:1' (No aliases, :, ! or *). iptables v1.2.9: log-level `--log-prefix' unknown Try `iptables -h' or 'iptables --help' for more information. iptables v1.2.9: log-level `--log-prefix' unknown Try `iptables -h' or 'iptables --help' for more information. [Termine] la variable $LOG_LEVEL doit être définie dans le script (j'ai debug), tu dois pouvoir t'en passer (et donc du --log-level). -- jm
Re: PB ssh et firewall :(!
dlist wrote: Bonjour. Je me permets d'intervenir dans ce thread, car j'essaie d'aider (à distance, compte root ..) mezig dans la résolution des ses problèmes de réseau interne. Il a une configuration assez particulière (montée par un participant de cette liste), que je vais essayer de décrire. Il a deux machines (des portables) nommé Zouzou et Loulou.. et il aimerait pouvoir ssh-er de l'une à l'autre. Actuellement il arrive depuis lou vers zou mais pas le contraire. Voici ce que j'ai compris de sa config: Freebox Hub - Zouzou | | Loulou Zouzou: une carte pcmcia ethernet sur laquelle il y a deux interfaces réseau eth0 (ip fixe: 82.226.XX.XX) et eth0:1 (192.168.0.254, ip fixe). Loulou: une carte aussi mais eth0 en 192.168.0.250 fixe. Maintenant, pour faire fonctionner tout ça il y a des règles iptables sur les 2 machines (..). N'étant pas un spécialiste, je me permets de mettre les deux fichiers firewall.sh en fichier joint. Je me demande aussi l'intérêt d'avoir iptables sur loulou, ne pourrait-on pas les virer, ou en tous les cas les simplifier. Le but est qu'un débutant puisse s'y retrouver et vu comme c'est parti on en est loin. merci pour toutes suggestions. ps: les 2 machines ont été installées avec une knoppix (noyau 2.4.22-xfs pour zouzou et l'autre je ne sais pas); j'ai modifié le sources.list pour avoir une sarge sur zouzou; pas touché loulou. Slt 1précision, la Loulou est 1 noyau 2.4.24-xfs :)! Note : on se dirige donc vers une suppression des règles iptables de la Loulou :( ? Dûr, pour 1 quasi 'parano' ;) ! Merci à tous pour votre aide et conseils :) ! Mi
IPaliasing [était: Re: PB ssh et firewall]
Bonjour à tout le monde. je poursuis le thread avec plusieurs questions. Nous sommes toujours en train d'essayer de faire marcher le réseau, sans succès... 1) sur la passerelle, il a été défini une interface eth0 et une autre (un alias) eth0:1. J'ai lu sur le net que iptables et le ip aliasing n'étaient pas bon copain; d'ailleurs dans les logs, on lit: Warning: Weird character in interface eth0:1 ainsi que: eth0: ERROR while getting interface flags; No such device et aussi: Wed Sep 22 19:09:39 2004: SIOCSIFNETMASK: No such device Wed Sep 22 19:09:39 2004: SIOCSIFBRDADDR: No such device Bizarrement, 'ifconfig' montre les 2 interface, correctement configurées. J'ai aussi lu, http://lists.debian.org/debian-firewall/2003/12/msg00040.html , qu'une manière de contourner ce problème et de définir l'alias sur l0:0 (avec bitmask=netmask 255.255.255.255) et non eth0:1. Mais 'ifconfig l0:0 up' donne les mêmes erreurs qu'au-dessus, mais sans cette fois-ci monter l'interface correctement. Est-ce que quelqu'un a testé cette méthode? 2) j'aimerai encore m'assurer que sur la machine Loulou (donc pas la passerelle) tout ce qui est nécessaire et de définir une route vers la passerelle, genre: route add default gw 192.168.0.254 3) Ne connaissant pas la Freebox, je me demande s'il n'y pas de spéciale la concernant.. Voilà ce que je mets à la fin de mon fichier de règles, sur le pare-feu: ## logging # liquide ce qui reste qui n'est pas lie une connexion valide $IPTABLES -A INPUT -j LOG --log-level $LOG_LEVEL --log-prefix RESIDUS-IN: $IPTABLES -A INPUT -j DROP $IPTABLES -A OUTPUT -j LOG --log-level $LOG_LEVEL --log-prefix RESIDUS-OUT: $IPTABLES -A OUTPUT -j DROP et le même style en FORWARD _Si_ une règle n'a pas éliminé un paquet avant, ça permet de voir un peu ce qui se passe. on testera ça une fois le réseau fonctionnel. Pour l'instant je vais tout ouvrir, ça devrait simplifier la recherche du problème. Encore merci S. ps: voici encore le /etc/network/interfaces de la passerelle: # /etc/network/interfaces -- configuration file for ifup(8), ifdown(8) # The loopback interface # automatically added when upgrading # si tu décide d'essayer la solution l0:0 # il faut modifier comme suit # (seulement modifier ce qui est indiqué) # ancienne ligne auto lo eth0 eth0:1 # nouvelle ligne #auto lo eth0 l0:0 iface lo inet loopback iface eth0 inet static address 82.226.31.88 netmask 255.255.255.0 broadcast 82.226.31.255 gateway 82.226.31.254 # ancienne ligne iface eth0:1 inet static # nouvelle ligne #iface l0:0 inet static address 192.168.0.254 # ancienne ligne netmask 255.255.255.0 # nouvelle ligne #netmask 255.255.255.255 #broadcast 192.168.0.255 # après relancer le réseau avec # /etc/init.d/networking restart #
Re: PB ssh et firewall :(!
Bonjour. Je me permets d'intervenir dans ce thread, car j'essaie d'aider (à distance, compte root ..) mezig dans la résolution des ses problèmes de réseau interne. Il a une configuration assez particulière (montée par un participant de cette liste), que je vais essayer de décrire. Il a deux machines (des portables) nommé Zouzou et Loulou.. et il aimerait pouvoir ssh-er de l'une à l'autre. Actuellement il arrive depuis lou vers zou mais pas le contraire. Voici ce que j'ai compris de sa config: Freebox Hub - Zouzou | | Loulou Zouzou: une carte pcmcia ethernet sur laquelle il y a deux interfaces réseau eth0 (ip fixe: 82.226.XX.XX) et eth0:1 (192.168.0.254, ip fixe). Loulou: une carte aussi mais eth0 en 192.168.0.250 fixe. Maintenant, pour faire fonctionner tout ça il y a des règles iptables sur les 2 machines (..). N'étant pas un spécialiste, je me permets de mettre les deux fichiers firewall.sh en fichier joint. Je me demande aussi l'intérêt d'avoir iptables sur loulou, ne pourrait-on pas les virer, ou en tous les cas les simplifier. Le but est qu'un débutant puisse s'y retrouver et vu comme c'est parti on en est loin. merci pour toutes suggestions. ps: les 2 machines ont été installées avec une knoppix (noyau 2.4.22-xfs pour zouzou et l'autre je ne sais pas); j'ai modifié le sources.list pour avoir une sarge sur zouzou; pas touché loulou. firewall.loulou Description: Binary data firewall.zouzou Description: Binary data
Re: PB ssh et firewall :(!
Bonjour, dlist wrote: Bonjour. Je me permets d'intervenir dans ce thread, car j'essaie d'aider (à distance, compte root ..) mezig dans la résolution des ses problèmes de réseau interne. idem ;) [...] Maintenant, pour faire fonctionner tout ça il y a des règles iptables sur les 2 machines (..). N'étant pas un spécialiste, je me permets de mettre les deux fichiers firewall.sh en fichier joint. Je me demande aussi l'intérêt d'avoir iptables sur loulou, ne pourrait-on pas les virer, ou en tous les cas les simplifier. Le but est qu'un débutant puisse s'y retrouver et vu comme c'est parti on en est loin. sur loulou c'est inutile, le pare-feu peut/doit être sur la machine reliée à la freebox (jouant alors le rôle de passerelle et pare-feu), elle seule étant en contact avec l'exterieur. Aussi, je me permet de vanter une fois de plus les mérite de FireHOL, qui assure une meilleure config d'iptables, et ce beaucoup plus facilement merci pour toutes suggestions. de rien, J8.
Re: PB ssh et firewall :(!
Le mardi 21 sep 2004 à 13 h 03, justice8 prit sa plus fine plume pour écrire: Bonjour, salut dlist wrote: Bonjour. Je me permets d'intervenir dans ce thread, car j'essaie d'aider (à distance, compte root ..) mezig dans la résolution des ses problèmes de réseau interne. idem ;) vraiment? [...] Maintenant, pour faire fonctionner tout ça il y a des règles iptables sur les 2 machines (..). N'étant pas un spécialiste, je me permets de mettre les deux fichiers firewall.sh en fichier joint. Je me demande aussi l'intérêt d'avoir iptables sur loulou, ne pourrait-on pas les virer, ou en tous les cas les simplifier. Le but est qu'un débutant puisse s'y retrouver et vu comme c'est parti on en est loin. sur loulou c'est inutile, le pare-feu peut/doit être sur la machine reliée à la freebox (jouant alors le rôle de passerelle et pare-feu), elle seule étant en contact avec l'exterieur. c'est bien ce que je me disais.. mais la dernière fois qu'on a essayé de flusher les règles, tout le réseau était HS.. Aussi, je me permet de vanter une fois de plus les mérite de FireHOL, qui assure une meilleure config d'iptables, et ce beaucoup plus facilement jamais essayé, mais comme il a déjà les règles écrites, on va partir de là. merci pour toutes suggestions. de rien, grazie mille! J8. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: PB ssh et firewall :(!
bonjour, Le mardi 21 septembre 2004, dlist a écrit... merci pour toutes suggestions. ps: les 2 machines ont été installées avec une knoppix (noyau 2.4.22-xfs pour zouzou et l'autre je ne sais pas); j'ai modifié le sources.list pour avoir une sarge sur zouzou; pas touché loulou. Voilà ce que je mets à la fin de mon fichier de règles, sur le pare-feu: ## logging # liquide ce qui reste qui n'est pas lie une connexion valide $IPTABLES -A INPUT -j LOG --log-level $LOG_LEVEL --log-prefix RESIDUS-IN: $IPTABLES -A INPUT -j DROP $IPTABLES -A OUTPUT -j LOG --log-level $LOG_LEVEL --log-prefix RESIDUS-OUT: $IPTABLES -A OUTPUT -j DROP et le même style en FORWARD _Si_ une règle n'a pas éliminé un paquet avant, ça permet de voir un peu ce qui se passe. -- jm
Re: PB ssh et firewall
On 20/09 14:22, Mezig wrote : Jean-Michel OLTRA wrote: Quand à tcpdump, ça me donne ça sûr la machine 1 (Zouzou) : la seule accessible :(! [EMAIL PROTECTED]:/etc/apt# tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 23:45:03.639204 IP defense-9-82-226-168-41.fbx.proxad.net.1493 Zouzou.maison.mrs.loc-srv: S 3540611069:3540611069(0) win 16384 mss En fait tcpdump est un 'sniffer', un programme qui écoute sur les cartes réseaux et qui affiche ce qu'il voit, si on ne filtre pas l'affichage, il affiche _tout_ et surtout ce dont on a pas besoin. Donc il faut filtrer pour n'afficher que ce qu'on veut: dans ton cas: tcpdump port 22 n'affichera que les trames avec comme port source ou destination 22 (ssh). Si tu as plusieurs cartes réseaux, il faut préciser laquelle tu veux écouter: tcpdump -i eth0 port 22 sinon le format general de l'affichage par défaut est: heure protocole SOURCE.port-source DESTINATION.port-destination flag-et-autres ce qui nous interesse ici est juste la source, la destination et leurs ports. Il faut alors voir à la sortie du ssh client (1) s'il y a qq chose, à l'entrée (2) du serveur, ensuite voir s'il essaye de répondre, s'il arrive à sortir (3) et si un paquet revient au client (4). client (1) (2) serveur (4) (3) Et si les résultats de tcpdump au-dessus sont significatifs..., une explication serai bienvenue :) ! pas ceux là, il y a principalement des requêtes DNS -- Jean-Michel Schelcher
Re: PB ssh et firewall :(!
bonjour, Le lundi 20 septembre 2004, Mezig a écrit... Mais pour var/log/iptables, ça ne peut m'aider, parce qu'il n'y a aucun log iptables sur aucune des 2 machines :( ! Non, je parle de loger avec la cible LOG Quand à tcpdump, ça me donne ça sûr la machine 1 (Zouzou) : la seule accessible :(! [EMAIL PROTECTED]:/etc/apt# tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes Si j'ai un peu compris, il te faut analyser le traffic sur l'interface qui est branchée sur le réseau local, entre les deux machines. tcpdump -i interface Et pourquoi l'autre n'est elle pas accessible ? Elle ne l'est pas physiquement ? -- jm
Re: PB ssh et firewall :(!
Jean-Michel OLTRA wrote: bonjour, Le dimanche 19 septembre 2004, Mezig a écrit... Je débute en ssh et/mais n'arrive pas à me conncecter de la Zouzou à la Loulou, qui est elle bloquée en console, ni ftp, ni rien n'a fonctionné, pour l'instant :( ! 1 avis serai bienvenu! Pour déboguer les soucis de pare-feu, j'utilise: * les logs d'iptables pour voir ce qui passe * tcpdump sur les deux machines pour voir ce qui passe et ce qui ne passe pas Si tu as des règles sur l'autre machine, ce serait bien de s'y pencher également. # c'est enfin fini Chouette ! Slt Et, merci pour cette réponse ! Mais pour var/log/iptables, ça ne peut m'aider, parce qu'il n'y a aucun log iptables sur aucune des 2 machines :( ! Quand à tcpdump, ça me donne ça sûr la machine 1 (Zouzou) : la seule accessible :(! [EMAIL PROTECTED]:/etc/apt# tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 23:45:03.639204 IP defense-9-82-226-168-41.fbx.proxad.net.1493 Zouzou.maison.mrs.loc-srv: S 3540611069:3540611069(0) win 16384 mss 1460,nop,nop,sackOK 23:45:03.749598 IP Zouzou.maison.mrs.32819 dnscache5-x.proxad.net.domain: 34276+ PTR? 41.168.226.82.in-addr.arpa. (44) 23:45:03.756877 IP dnscache5-x.proxad.net.domain Zouzou.maison.mrs.32819: 34276 1/0/0 (96) 23:45:03.785065 IP Zouzou.maison.mrs.32819 dnscache5-x.proxad.net.domain: 34277+ PTR? 134.39.27.212.in-addr.arpa. (44) 23:45:03.790717 IP dnscache5-x.proxad.net.domain Zouzou.maison.mrs.32819: 34277 1/0/0 (80) 23:45:06.643674 IP defense-9-82-226-168-41.fbx.proxad.net.1493 Zouzou.maison.mrs.loc-srv: S 3540611069:3540611069(0) win 16384 mss 1460,nop,nop,sackOK 23:45:11.811941 IP lalande-4-82-226-61-16.fbx.proxad.net.3507 Zouzou.maison.mrs.loc-srv: S 2830741085:2830741085(0) win 65535 mss 1452,nop,nop,sackOK 23:45:11.815143 IP Zouzou.maison.mrs.32819 dnscache5-x.proxad.net.domain: 34278+ PTR? 16.61.226.82.in-addr.arpa. (43) 23:45:11.822102 IP dnscache5-x.proxad.net.domain Zouzou.maison.mrs.32819: 34278 1/0/0 (94) 23:45:18.007089 IP 199.199.171.171.1455 Zouzou.maison.mrs.microsoft-ds: S 2100462058:2100462058(0) win 64240 mss 1460,nop,nop,sackOK 23:45:18.008242 IP Zouzou.maison.mrs.32819 dnscache5-x.proxad.net.domain: 34279+ PTR? 171.171.199.199.in-addr.arpa. (46) 23:45:18.015594 IP dnscache5-x.proxad.net.domain Zouzou.maison.mrs.32819: 34279 NXDomain* 0/0/0 (46) 23:45:32.126017 IP charlebourg-10-82-226-225-165.fbx.proxad.net.4223 Zouzou.maison.mrs.microsoft-ds: S 457561709:457561709(0) win 16384 mss 1460,nop,nop,sackOK 23:45:32.127078 IP Zouzou.maison.mrs.32819 dnscache5-x.proxad.net.domain: 34280+ PTR? 165.225.226.82.in-addr.arpa. (45) 23:45:32.133477 IP dnscache5-x.proxad.net.domain Zouzou.maison.mrs.32819: 34280 1/0/0 (103) 23:45:33.375576 IP zeus.jabber.org.xmpp-client Zouzou.maison.mrs.33401: P 1384288576:1384288577(1) ack 475471941 win 8576 nop,nop,timestamp 3245244483 13348132 23:45:33.375783 IP Zouzou.maison.mrs.33401 zeus.jabber.org.xmpp-client: . ack 1 win 8576 nop,nop,timestamp 13351633 3245244483 23:45:33.381789 IP Zouzou.maison.mrs.32819 dnscache5-x.proxad.net.domain: 34281+ PTR? 67.212.245.208.in-addr.arpa. (45) 23:45:33.389315 IP dnscache5-x.proxad.net.domain Zouzou.maison.mrs.32819: 34281 1/0/0 (74) 23:45:35.011799 IP charlebourg-10-82-226-225-165.fbx.proxad.net.4223 Zouzou.maison.mrs.microsoft-ds: S 457561709:457561709(0) win 16384 mss 1460,nop,nop,sackOK (...) Note : l'autre machine est restée en console ; je n'arrive pas à y lancer gdm dessus et en 'exporter' quoi que se soit... ! Je me pose la question de sauvegarder, avant de virer le firewall.sh, qui bloque apparemment la config... ? Et si les résultats de tcpdump au-dessus sont significatifs..., une explication serai bienvenue :) ! Cordialement Mi
PB ssh et firewall :(!
Slt J'ai deux machines reliées en étoile, par un hub eth ! La première Zouzou, sert de FW, mais lors d'essais avec ssh, j'ai eut la surprise d'avoir aussi des règles iptables sur la seconde appelée : Loulou :(! Les fichiers firewall.sh sont joints ! Je débute en ssh et/mais n'arrive pas à me conncecter de la Zouzou à la Loulou, qui est elle bloquée en console, ni ftp, ni rien n'a fonctionné, pour l'instant :( ! 1 avis serai bienvenu! Merci par avance Cordialement Mi #!/bin/sh # script /etc/firewall.sh # mettez ici l'emplacement d'iptables : IPTABLES=/sbin/iptables # mettez ici le nom de l'interface réseau vers internet : EXTERNAL_IF=eth0 # mettez ici le nom de l'interface réseau vers votre lan : INTERNAL_IF=eth0:1 echo 1 /proc/sys/net/ipv4/ip_forward iptables -F iptables -X # je veux que les connexions entrentes soient bloquées par défaut iptables -P INPUT DROP # je veux que les connexions sortantes soient acceptées par défaut #iptables -P OUTPUT ACCEPT # je veux que les connexions forwardées soient acceptées par défaut iptables -P FORWARD ACCEPT # On accepte le traffic sur 'lo' $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT $IPTABLES -A FORWARD -i lo -j ACCEPT $IPTABLES -A FORWARD -o lo -j ACCEPT # On accepte le traffic sur le réseau local $IPTABLES -A INPUT -i $INTERNAL_IF -j ACCEPT $IPTABLES -A OUTPUT -o $INTERNAL_IF -j ACCEPT # on accepte le protocole ICMP iptables -A INPUT -p icmp -j ACCEPT # because of the alias, no forward rules, except # the ACCEPT POLICY #$IPTABLES -A FORWARD -i $INTERNAL_IF -j ACCEPT #$IPTABLES -A FORWARD -o $INTERNAL_IF -j ACCEPT # cacher les machines du lan $IPTABLES -A POSTROUTING -t nat -o $EXTERNAL_IF -j MASQUERADE # on accepte le ftp dans le lan -- A VOIR iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp -m multiport --sports daytime,ntp,www,https,domain,ftp,ftp-data,ssh,time,pop3,smtp,imap2,imaps,pop3s -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp -m multiport --dports daytime,ntp,www,https,domain,ftp,ftp-data,ssh,time,pop3,smtp,imap2,imaps,pop3s -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -i eth0 -p udp --sport domain -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p udp --dport domain -j ACCEPT $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT $IPTABLES -A OUTPUT -p icmp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A INPUT -p icmp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport ssh -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport ssh -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # Pour faire zoli echo [Termine] # c'est enfin fini firewall.sh Description: Bourne shell script
Re: PB ssh et firewall :(!
bonjour, Le dimanche 19 septembre 2004, Mezig a écrit... Je débute en ssh et/mais n'arrive pas à me conncecter de la Zouzou à la Loulou, qui est elle bloquée en console, ni ftp, ni rien n'a fonctionné, pour l'instant :( ! 1 avis serai bienvenu! Pour déboguer les soucis de pare-feu, j'utilise: * les logs d'iptables pour voir ce qui passe * tcpdump sur les deux machines pour voir ce qui passe et ce qui ne passe pas Si tu as des règles sur l'autre machine, ce serait bien de s'y pencher également. # c'est enfin fini Chouette ! -- jm
