[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux-team] passerelle



At 13:03 14/09/99 +0100, you wrote:
        Salut la Team,

voilà j'ai quelques questions :

Mon premier problème est que la passerelle doit recevoir une IP via le DHCP
du provider Internet... Le démon dhcpcd n'est pas lancé automatiquement et
je dois le lancer manuellement à chaque fois.  j'aimerai l'ajouter
proprement dans un script de démarrage, mais je ne sais pas lequel... pour
rappel cette machine tourne sous RH 6.0.

linuxconf configure tres bien les connections ppp0
config -> networking -> client tasks -> PPP/SLIP
tu definit le port modem (/dev/ttyS0 pour le com 1; ttyS1 pour le COM2, etc..)
modem string init : ATZ
modem dial comand : ATDT
Phone number : (devine...)
expect : login:
send : (ton login)
expect : word:
send : (ton password)

rajoute aussi ton username et password tout en bas dans le PAP

(heu là il se peut que j'oublie des morceaux .. les gourous qui me lisent me corrigeront bien .. :)

Pour les clients du réseau B, pas de problème, ce sont des machines windows
9x, avec IP fixe, j'ai juste ajouté l'adresse de la passerelle linux dans le
gateway de chacune des machines... Je crois qu'il n'y a rien d'autre à
faire.

si !
tu _dois_ definir le DNS.
dans les prop. reseau : dans "TCP-IP pour (carte reseau)"
ajouter ton serveur DNS
ex:
host : sky99999
domain : skynet.be
et ajouter les adresses IP
(pour skynet c'est 193.238.2.21 et 193.238.2.22)


Sur la passerelle linux je fais de l'IP mascerade... je connaissais ipfwadm
mais cette commande a été remplacée par ipchains depuis le kernel 2.1.x...
je crois que la syntaxe est correcte, mais si il y a une erreur dites-le moi
!
ipchains -A forward -j MASQ -s <IP du réseau B>/24 -d 0.0.0.0/0
mais malgré ca, toujours pas moyen d'accéder à internet depuis B...
je suppose que linux n'arrive pas à faire le lien entre les 2 cartes réseaux
et que je dois faire un truc style :
route add -net <IP du réseau (B)> gw <IP de (A)>
le problème, c'est que l'IP de (A) est dynamique et peut changer à chaque
reboot, il y a certainement un moyen four faire ca automatiquement, non ?

c'est faisable sans faire de route add :
voici un mocreau de ce que j'utilise chez moi .. à adapter à tes adresses IP internes..

/sbin/ipchains -F
/sbin/ipchains -P input ACCEPT
/sbin/ipchains -P output ACCEPT
#Deny forwarding excepted from intranet
/sbin/ipchains -P forward REJECT
/sbin/ipchains -A forward -s 10.0.10.0/24 -j MASQ


si tu es parano (ou tout simplement si tu te soucies de la securité de ton PC) tu peux ajouter ceci :
Il s'agit de bloquer certains ports, uniquement pour le ppp0 (modem). Tu peux donc continuer a faire des telnet sur ta redhat depuis ton intranet, mais pas depuis l'extérieur ..

certains de ces ports ne sont pas utilisés sous linux (je pense par exemple au 31337) mais ca te mentionnera quand meme les personnes qui essayent de te scanner etc...

#proctection to avoid IP spoofing
#deny on eth0 something else than 10.0.10.*
/sbin/ipchains -A input -i eth0 -s ! 10.0.10.0/24 -j REJECT
#deny 10.0.10.* on other interfaces than eth0
/sbin/ipchains -A input -i ! eth0 -s 10.0.10.0/24 -j REJECT

#no packets coming from ppp0 should be claiming a source adress of 10.0.10.*
#these will be -l (logged)
/sbin/ipchains -A input -i ppp0 -s 10.0.10.0/24 -l -j REJECT

#blocking incoming connection attempts
# Deny and log incoming connections attempts on ports : ..
#ftp
/sbin/ipchains -A input -i ppp0 --dport 21 -y -l -j REJECT
#ssh
/sbin/ipchains -A input -i ppp0 --dport 22 -y -l -j REJECT
#telnet
/sbin/ipchains -A input -i ppp0 --dport 23 -y -l -j REJECT
#rlp
/sbin/ipchains -A input -i ppp0 --dport 39 -y -l -j REJECT
#www
/sbin/ipchains -A input -i ppp0 --dport 80 -y -l -j REJECT
#linuxconf
/sbin/ipchains -A input -i ppp0 --dport 98 -y -l -j REJECT
#rtelnet
/sbin/ipchains -A input -i ppp0 --dport 107 -y -l -j REJECT
#netbios-ns
/sbin/ipchains -A input -i ppp0 --dport 137 -y -l -j REJECT
#netbios-dgm
/sbin/ipchains -A input -i ppp0 --dport 138 -y -l -j REJECT
#netbios-ssn
/sbin/ipchains -A input -i ppp0 --dport 139 -y -l -j REJECT
#login
/sbin/ipchains -A input -i ppp0 --dport 513 -y -l -j REJECT
#shell
/sbin/ipchains -A input -i ppp0 --dport 514 -y -l -j REJECT

/sbin/ipchains -A input -i ppp0 --dport 5000:5001 -y -l -j REJECT
#X server
/sbin/ipchains -A input -i ppp0 --dport 6000:6010 -y -l -j REJECT
/sbin/ipchains -A input -i ppp0 -p udp --dport 6000:6010 -l -j REJECT

/sbin/ipchains -A input -i ppp0 --dport 31337 -y -l -j REJECT
/sbin/ipchains -A input -i ppp0 -p udp --dport 31337 -l -j REJECT



n'oublie pas pour l'irc et le ftp de charger qqes modules :
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_irc
/sbin/modprobe ip_masq_user

en esperant avoir su aider ...

Vincent