Re: freebox

To: debian-user-french@lists.debian.org
Subject: Re: freebox
From: fra-duf-no-spam@tourde.org (François TOURDE)
Date: Sun, 30 May 2004 17:06:27 +0200
Message-id: <[🔎] 87n03q2bv0.fsf@fermat.localhost>
Reply-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 238375412.20040530152839@mahiconsultant.com> (mahi consultant's message of "Sun, 30 May 2004 15:28:39 +0200")
References: <[🔎] 238375412.20040530152839@mahiconsultant.com>

Le 12568ième jour après Epoch,
mahi consultant écrivait:

> bonjour,
>
> j'ai une woody 3.0r1 qui fait office d'access point wifi (firewall, routeur) 
>
> tout fonctionnait parfaitement bien avec ADSL 9online simple puis dégroupé en utilisant pppoe. les clients wifi sont natés + squid (proxy transparent.) 
>
> je suis passé à la freebox, j'ai installé le dhcp-client et modifié les fichiers /etc/network/interfaces et /etc/resolv.conf 
>
>
> j'ai finalement l'access internet sur la woddy, mais pas sur les clients wifi bien que le reseau wifi fonctionne. 
>
> je pense qu'il y a une modif à faire dans iptables mais je vois pas
> ou.

Un peu partout je pense ;)

> wifi3:~/conf# more script.ipt
> IPTABLES=/sbin/iptables
> PORTS="20,21,25,53,80,110,443,6667,7000"
>
> $IPTABLES -F
> $IPTABLES -X
> $IPTABLES -F -t nat
> $IPTABLES -X -t nat
>
> # on ecrit notre propre règle qui va laisser passer les connexions des clients
> # vers l'extérieur, et seulement ces connexions.
>
> $IPTABLES -N ports
> $IPTABLES -A ports -p udp --dport 53 -j ACCEPT
> $IPTABLES -A ports -p tcp -j ACCEPT
> $ITPABLES -A ports -j DROP
>
> $IPTABLES -N connexions
> $IPTABLES -A connexions -m state --state RELATED,ESTABLISHED -j ACCEPT
> $IPTABLES -A connexions -i ! ppp0 -m state --state NEW -j ports
> $IPTABLES -A connexions -j DROP

ppp0 n'existe que quand tu es en PPPoE ... Donc pas avec la freebox.

> # On établie la politique de filtrage. Par défaut, rien ne peut rentrer, ni être
> # transmis d'une interface à une autre, mais on laisse passer tout le trafic
> # sortant de la machine.
> #------------------------------------------------------------------------------
>
> $IPTABLES -P INPUT DROP
> $IPTABLES -P FORWARD DROP
> $IPTABLES -P OUTPUT ACCEPT
>
> # Maintenant, on laisse passer tout le trafic entrant sur toutes les
> # interfaces, sauf celle connectée à internet. Plus besoin, on ne laisse
> # sortir que ce qu'il faut plus bas.
> #--------------------------------------------------------------------
>
>  $IPTABLES -A INPUT -j connexions
>  $IPTABLES -A FORWARD -j connexions
>
> # Init. de la table NAT:
> #-----------------------
>
> $IPTABLES -t nat -P PREROUTING ACCEPT
> $IPTABLES -t nat -P POSTROUTING ACCEPT
> $IPTABLES -t nat -P OUTPUT ACCEPT
>
> # Mise en place du NAT et du proxy transparent. Les clients sont nattés, et
> # toutes les connexions vers le http ou le https sont envoyés au proxy squid
> # qui se charge de faire la requête et de la renvoyer.
> #---------------------------------------------------------------------------
>
> $IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Même remarque ici.

Je pense aussi que globalement ton script (que je n'ai lu qu'en
diagonale) possède d'autres soucis, mais c'est une autre histoire :)

-- 
Unix is like a toll road on which you have to stop every 50 feet to
pay another nickel.  But hey!  You only feel 5 cents poorer each time.
             -- Larry Wall in <1992Aug13.192357.15731@netlabs.com>

Reply to:

References:
- freebox
  - From: mahi consultant <infos@mahiconsultant.com>

Prev by Date: Re: [HS] webservice cours boursier
Next by Date: Re: [HS] webservice cours boursier
Previous by thread: freebox
Next by thread: [Fwd: Re[2]: [HS] webservice cours boursier]
Index(es):
- Date
- Thread