IPtables et MSN / Netmeeting.
Salut,
PAS TAPER, MSN ou NetMeeting, c pas pour moi!
Je souhaite faire marcher pour le reseaux local MSN/Vocal et MSN/Echange
de fichier.
Le router est une debian/woody fraichement installé qui a pour version
de IPtables:
router:~# dpkg --list |grep ipta
ii iptables 1.2.6a-5 IP packet filter administration tools
for 2.
J'ai établie les regles qui permettent aux machines de communiquer a
l'exterieur grace au Masquerading. MSN marche bien pour les machines
locales mais pas du tout pour ce qui est du Vocal ou de l'échange de
fichier.
Pourtant y bien le NAT et Masquerading d'active, et ca marche quand meme
pas :(
Il faut peut-être faire du pre-routing sur un port du type:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport ???? -j DNAT --to
192.168.1.2
Mais avec cette solution, seule une machine pourrait utiliser MSN ou
Netmeeting!!!
Je vois pas comment faire, et j'ai pas trouvé grand chose sur
groups.google.com :(
Si quelqu'un a deja fait la manip ou connait la regle...merci de m'aider.
PS: Voila mes regles du firewall, c'est mon premier firewall :) Il est
joli, non ?
#!/bin/sh
# Activation du forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
#Pas de spoofing...pas de ping
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
# Pas de icmp
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Chargement de IPTABLES dans le noyau:
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
#On vide TOUT:
iptables -F
iptables -X
# On LOGUE les paquets refuse
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP
# On LOGUE les paquets accepte
#iptables -N LOG_ACCEPT
#iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : '
#iptables -A LOG_ACCEPT -j ACCEPT
# On refuse TOUT par defaut
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# On accepte le port des DNS:
for server in 206.123.6.11 206.123.6.10
do
iptables -A OUTPUT -o ppp0 -p udp --sp 1024: --dp 53 -d $server -m state
--state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --sp 53 --dp 1024: -s $server -m state
--state ESTABLISHED -j ACCEPT
done
#On peut surfer sur le web (utile pour mise a jour distrib!):
for port in 80 443
do
iptables -A OUTPUT -o ppp0 -p tcp --sp 1024: --dp $port -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sp $port --dp 1024: -m state --state
ESTABLISHED -j ACCEPT
done
# On accepte TOUT en local
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#
# On accepte SSH, HTTP, HTTPS sur ETH1 (Local)
#
for port in 22 80 443
do
iptables -A INPUT -i eth1 -p tcp -s 0/0 --dport $port -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -d 0/0 --sport $port -m state --state
NEW,ESTABLISHED -j ACCEPT
done
#
# On accepte SSH, HTTP, HTTPS sur ppp0 (Internet)
#
for port in 22 80 443
do
iptables -A INPUT -i ppp0 -p tcp -s 0/0 --dport $port -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp -d 0/0 --sport $port -m state --state
NEW,ESTABLISHED -j ACCEPT
done
# Connection Internet pour le reseau LOCAL
iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT
iptables -A FORWARD -o eth1 -i ppp0 -j ACCEPT
#Masquerading: Le LAN communique a l'exterieur avec l'@ IP Public
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE
Reply to: