Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

partage de connection avec iptables

bobymaw

Par bobymaw
dans OS alternatifs

 Partager

Messages recommandés

bobymaw Power Member

bobymaw

Posté(e)
Posté(e)

Bonjour

Je cherche à partagé ma connection internet entre plusieur machine.

Voilà pour l'instant mon iptable sur le routeur

FORWARD_NET="172.16.0.0/255.255.0.0"
...

$IPT -A FORWARD -i eth0 -d $FORWARD_NET -j ACCEPT
$IPT -A INPUT -i wlan0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT
$IPT -A OUTPUT -o wlan0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT
$IPT -A FORWARD -i wlan0 -s $FORWARD_NET -j ACCEPT
 $IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Seulement c'est une connection wifi que je suis obligé de laissé en WEP donc peut sécuriser.

J'aimerais donc en filtré les ports forwarder pour ne laisser passé que les ports : http https smtp pop et msn.

Je ne sais pas comment modifier mes règles iptables j'ai essayé d'ajouter un --dport dans les tables FORWARD mais j'ai une erreur.

Quelqu'un sait il comment faire?

 

Pair ailleur j'aimerais brider la connection à environ 15 Ko/s à mes périphérique wifi (si possible à chaque périphérique et non en globale). Je sais que c'est possible avec PF sous openbsd mais je n'ai rien lu à se sujet sur iptable. Est ce possible?

Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

QoS => tcroute

http://www.linux-france.org/prj/inetdoc/gu...artc.qdisc.html

 

quelle est l'interface WAN (eth0 je présume)?, LAN (wlan0)?

 

idem pour le FORWARD WAN->LAN

man iptables => -m state

 

//politique par défaut
iptables -P FORWARD DROP
//accepte les retours de connexions
$IPT -A FORWARD -i eth0 -o wlan0 -m state --state ESTABLISHED,RELATED -j ACCEPT
//accepte les connexions sortantes sur http, https, smtp, pop
$IPT -A FORWARD -i wlan0 -o eth0 -p tcp -m state --state NEW -m multiport --dports 80,443,25,110 -j ACCEPT
//accepte les requêtes DNS sortantes (sauf si tu as un DNS sur la passerelle qui se chargera de faire les transferts de zone)
$IPT -A FORWARD -i wlan0 -o eth0 -p udp -m state --state NEW --dport 53 -j ACCEPT

 

tu es au courant qu'on peut faire passer tout et n'importe quoi sur TCP80 et qu'iptables ne gère qu'au niveau 4. Un proxy transparent serait un plus pour vérifier que c'est bien du HTTP qui passe

bobymaw Power Member

bobymaw

Posté(e)
  • Auteur
Posté(e)

Merci pour ton aide

 

Pour le proxy je suis au courant mais j'avance pas à pas. J'essaye déjà de filtrer les ports après je me lancerai dans la configuration de squid.

 

J'ai donc remplacer mes deux lignes forward par les tiennes en laissante les ports ouvert pour le DHCP et la linge POSTROUTING.

Apparament l'option -m multiport me renvoie des erreurs, je me suis débrouillé avec une boucle for.

 

Avec ou sans la ligne forwardant le port 53 je n'arrive pas à surfer.

Firefox m'indique qu'il "ne peut trouver le serveur à l'adresse www.google.com"

Petit précision j'utilise dnsmasq comme serveur dhcp qui donc inclue également un serveur dns.

 

Est ce que c'est deux "erreur" sont lié?

Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

rajoute une règle de LOG dans ta table FORWARD pour voir ce qui est bloqué

lordtoniok Godlike Member

lordtoniok

Posté(e)
Posté(e)

Petite question con:

As-tu activé le routage dans le noyau ?

cat /proc/sys/net/ipv4/ip_forward

ca devrait être à un pour marcher.

bobymaw Power Member

bobymaw

Posté(e)
  • Auteur
Posté(e)

Oui le routage paquet est bien activé dans le noyau.

 

J'avais d'abord tappé : iptables -A FORWARD -j LOG --log-prefix "** forward packets ** "

mais je n'avais aucun mesasge dans /var/log/message.

J'ai rajouté les règles :

 

iptables -A INPUT -i wlan0 -j LOG --log-prefix "** input packets ** "
iptables -A OUTPUT -o wlan0 -j LOG --log-prefix "** output packets ** "

 

voilà le résultat des l'instant ou mon ordinateur est connecté (en ouvrant un navigateur web et en essayant de surfer :

Jun 29 19:48:02 nom_machine [ 1004.798663] ** input packets ** IN=wlan0 OUT= MAC=xxxx SRC=172.16.0.10 DST=172.16.0.1 LEN=51 TOS=0x00 PREC=0x00 TTL=64 ID=58996 PROTO=UDP SPT=54293 DPT=53 LEN=31 
Jun 29 19:48:07 nom_machine [ 1009.868247] ** input packets ** IN=wlan0 OUT= MAC=xxxx SRC=172.16.0.10 DST=172.16.0.1 LEN=51 TOS=0x00 PREC=0x00 TTL=64 ID=58997 PROTO=UDP SPT=54293 DPT=53 LEN=31 
Jun 29 19:48:12 nom_machine [ 1014.843327] ** input packets ** IN=wlan0 OUT= MAC=xxxx SRC=172.16.0.10 DST=172.16.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=57122 DF PROTO=UDP SPT=40782 DPT=53 LEN=40 
Jun 29 19:48:17 nom_machine [ 1019.848620] ** input packets ** IN=wlan0 OUT= MAC=xxxx SRC=172.16.0.10 DST=172.16.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=57123 DF PROTO=UDP SPT=40782 DPT=53 LEN=40 
Jun 29 19:48:22 nom_machine [ 1024.855032] ** input packets ** IN=wlan0 OUT= MAC=xxxx SRC=172.16.0.10 DST=172.16.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=59625 DF PROTO=UDP SPT=59111 DPT=53 LEN=40 
Jun 29 19:48:25 nom_machine [ 1028.114777] ** input packets ** IN=wlan0 OUT= MAC=xxxx SRC=172.16.0.10 DST=172.16.0.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=60439 DF PROTO=UDP SPT=53095 DPT=53 LEN=47 
Jun 29 19:48:27 nom_machine [ 1029.860582] ** input packets ** IN=wlan0 OUT= MAC=xxxx SRC=172.16.0.10 DST=172.16.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=59626 DF PROTO=UDP SPT=59111 DPT=53 LEN=40 
Jun 29 19:48:30 nom_machine [ 1033.121095] ** input packets ** IN=wlan0 OUT= MAC=xxxx SRC=172.16.0.10 DST=172.16.0.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=60440 DF PROTO=UDP SPT=53095 DPT=53 LEN=47 
Jun 29 19:48:35 nom_machine [ 1038.126885] ** input packets ** IN=wlan0 OUT= MAC=xxxx SRC=172.16.0.10 DST=172.16.0.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=60441 DF PROTO=UDP SPT=53095 DPT=53 LEN=47 
Jun 29 19:48:40 nom_machine [ 1043.132283] ** input packets ** IN=wlan0 OUT= MAC=xxxx SRC=172.16.0.10 DST=172.16.0.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=60442 DF PROTO=UDP SPT=53095 DPT=53 LEN=47 
Jun 29 19:48:46 nom_machine [ 1048.216207] ** input packets ** IN=wlan0 OUT= MAC=xxxx SRC=172.16.0.10 DST=172.16.0.1 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=65445 DF PROTO=UDP SPT=44142 DPT=53 LEN=47

Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

ton routeur fait serveur DNS (ou relai)? si oui, il faut autoriser les requêtes DNS en INPUT sur ton routeur.

 

quelle est la configuration attribuée à tes postes par ton serveur DHCP?

bobymaw Power Member

bobymaw

Posté(e)
  • Auteur
Posté(e)

c'est le cas normalement :

$IPT -A INPUT -i wlan0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT

$IPT -A OUTPUT -o wlan0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT

 

mes poste sont sur un réseau 172.16.0.x le bail est renouvellé toutes les 12h

bobymaw Power Member

bobymaw

Posté(e)
  • Auteur
Posté(e)

J'ai rajouté

$IPT -A INPUT -i wlan0 -p udp --dport 53 --sport 53 -j ACCEPT

$IPT -A OUTPUT -o wlan0 -p udp --dport 53 --sport 53 -j ACCEPT

 

J'ai vérifié ma configuration de dnsmasq et hostapd je ça ne marche toujours pas...

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...