# [Shorewall] M'a pris en otage... Reparamettrage

## Aachen_france

Bonjour,

Voila j'ai plusieurs problèmes avec mon serveur gentoo, qui en résulte de mes différente manip que j'ai faite décrite dans d'autre post... c'est pourquoi j'en créé un autre car je pense que mes problèmes y sont lies... (je vous remercie d'ailleurs pour toutes vos réponses et conseil)

Mon serveur me sers a plusieurs chose: (je précise que je n'ai pas d'interface graphique, tout est en ligne de commande..)

1) Partage de connections Internet sur un réseau domestique avec des station Windows... (connection wanadoo max 5Mo chez moi, Modem Ethernet Speed touch 510 V5 chez Wanadoo )

2) Partage de donne sur ce réseau ( serveur samba): les disques de données ce trouve en USB2 avec une carte PCI/USB2

3) Serveur DHCP (mes stations windows sont configurer en IP auto) Serveur ssh

4) serveice dyndns

5) serveur web (Apache2)

6) routeur pour un serveur sur le port 10001 d'une station du réseau domestique sous windows XP

Je ne m'y connais encore que très peut en linux, d'ailleurs les point 1), 2), 3) et  4) ce n'est pas moi qui les est installer/configurer

Voici mes différentes manip:

*J'ai configurer le shorewall pour faire le point 6) ça marchait extra...

*J'ai configurer un serveur Apache2 qui fonctionne/ait   pas mal...

*Voila j'ai voulu au départ faire une redirection d'ip... on m'avais conseiller de faire un emerge squid pour ça...  c'était une fausse piste, j'ai donc abandonner.... (emerge --unmerge squid)

*Entre temps ne me demande pas pourkoi, j'ai fait un emerge prel....    emerge --unmerge prel    et un re   emerge prel...

*Ensuite j'ai fait un tour pour configurer VirtualHost mais la j'ai remis comme c'était avant...

**J'ai eu un problème de dyndns qui ne fonctionnais plus bien a mon goût, en effet je n'arrivais plus a me connecter a mon ssh de l'extérieur avec le dyndns... Seul l'ip que je trouvais d'ailleurs sur le site de dyndns. org me permettait de me connecter... donc j'ai regarder du cote de ddclient, rien... donc jai voulu regarder le adsl-setup, c'est la que ca commençais a foirer... plus de connections au net... j'ai reconfiguré mon adsl-setup avec les ancien DNS de wanadoo, puis les nouveaux....

*J'ai regarder du cote de iptables avec l'aide du site de Christian Caleca, j'ai ess de reconfigurer avec sont tuto, rien n'y fait c'est même pire....

Alors mes symptôme:

Apres les manips d'écrite dans le **, je pouvais me connecter au net de mes machines sur le réseau (le reste marchait bien, apache, samba, mon serveur sous xp depuis l'exterieur), MAIS avec bcp de restriction, (notamment msn messenger impossible, les forums impossible (ex: ce forum, doctissimo...), hotmail impossible, mirc impossible, par contre laposte pour lire mes Email ok, ma banque ok, google ok; avec les recherches mais pas de page qui s'ouvre en cliquant sur les lien après la recherche...) par contre le reste marchait bien, apache, samba, mon serveur sous xp depuis l'extérieur.

Sur le gentoo, ping www.wanadoo.fr pas de problème, ping www.msn.fr me rendait packet filtred

Apres les manips sur iptables (je pensais que c'était la le problème après le packet filtred) et bien c'est devenu encore plus grave.... les station sur le réseau domestique, ne trouve même plus d'ip qui est sensé être donne pas le serveur dhcp....

Voila je pense que j'ai fait un peu le tour de mes mésaventure... 

Est ce que qq1 aurait un idée ou un conseil de recherche??? Car la je suis vraiment dans la m. jai même reconfigurer provisoirement un serveur pour le partage de ma connections sous windows, ..cest pour dire(jespère que ça restera du provisoire)

Merci d'avance pour vos réponses

a+ aachen

----------

## -KuRGaN-

Post nous le résultat d'un iptables -L de ton serveur pour commencer histoire de voir ou il en est.

----------

## Aachen_france

Merci pour ta reponce

Alors la ca va etre tres complique je crois...

1) comment on enregistre le resultat du iptables dans un fichier?

2) comment le recuperer pour le poster mon reseau est down...

Au pire je peut le reecrire a la main, mais ca va etre long et  de tout facon, (a la main ou par un fichier) ca ne sera pas avant ce soir...

J'ai tourver un autre tuto.

http://www.gentoo.org/doc/fr/home-router-howto.xml

Est ce que vous pensais que je doit recommencer toute le partie de routage et dns???

En fait il y a un truc qui me chagrine qd meme.... le rapport entre shorewall et iptables.... Dans shorewall il y a aussi des dites "macro" que je ne mettrise pas du tout... En plus si iptables fait tout, a quoi peut servir shorewall?

a+ aachen

----------

## Oupsman

1/ iptables -L > /tmp/iptables.res

2/ une clé USB ?

----------

## Ezka

1) Pour récupérer les sorties stdout/err de tes commandes dans un fichier tu as les redirections :

iptable -L > monfichiertexte.txt

2) Disquette ? (si si ça existe encore)

(arg trop lent)

PS : pour les redirections et les subtilités du shell : http://lea-linux.org/cached/index/Admin-admin_env-shell.html

----------

## man in the hill

Salut,

Essais mon script  http://www.guidelinux.org/phpBB/viewtopic.php?t=256&start=30 , il n'y que qques modifs à faire pour l'interface qui à accès au net (tu remplaces eth1 par ppp0)...Et si tu n'as pa de wifi, tu enlèves l'interface ra0... Si dyndns ne te convient pas inscrit toi chez no-ip car moi j'ai eu des problème de maj de mon IP avec dyndns et j'utilise no-ip... Je t'ai trouvé une page qui t'explique  http://linuxtransition.free.fr/logiciels/int_no-ip.php , c'est assez facile et rapide et surtout ça fonctionne bien !!!!

                                             @+

----------

## Aachen_france

Merci pour toute vos reponces...

c'est vrai que le clef usb dervait faire l'affaire... En plus je n'ai meme pas de lecteur de disquette dessus...

Bon pour le montage, comme vous avez lu plus haut... j'ai des disque en USB2 qui sont monter au demarrage... vous pensais quand mettant ma clef a la place, je pourrai le voir ce monter toute seul???

Sion je pence que c'est ca non??

```
mount /dev/sd3/ /mnt/ammovible/...

et apres

unmount /mnt/ammovible/

```

Comme je vous l'ai dis, j'ai encore du mal avec ces truc non auto de lunix.... (et oui je suis convincu par linux, mais c'est assez complique a l'utilisation pour certaine fonction que windaupe fait tout seul comme un grand... lol lol)

a+ aachen

----------

## At0m3

Faut que tu regardes du côté de hal, ivman et pmount... Ca fait "pareil que windows"

Je crois que ça se trouve sur le wiki gentoo fr ;  d'ailleurs, est-ce que vous savez si le wiki gentoo fr sera réparer un jour ou l'autre... ça fait plus de 2 mois qu'il a une erreur, c'est hyper chiant pour la recherche, et rien ne bouge...

----------

## ghoti

 *At0m3 wrote:*   

> Faut que tu regardes du côté de hal, ivman et pmount... Ca fait "pareil que windows"

 

A signaler aussi : sous kde, il y a les "kioslaves" qui marchent très bien et sous gnome, il y a gnome-volume-manager qui fait,  je crois, à peu près la même chose.

Ces 3 solutions sont les plus modernes mais cela fait longtemps qu'il existe des "autofs" et autres "supermount" !

----------

## Aachen_france

Merci pour toute vos reponces...

Je vais voir ca ce soir en rentrant est je post le resultat...

Merci pour les outils d'automontage, je crois qu'il y en a un sur ma machine... je pence que c'est autovfs...

Sinon pour les autres, ca pourra me servir plus tard je pense... car j'ai un peut de mal a faire un emerge de quoi que ce soit sans la connection au net operationnel.... lol lol (et c'est la mon probleme hi hi)

a+ aachen

----------

## Aachen_france

Bonsoir,

Bon j'ai fouiller un peut sur la toile, et en effet apres certain symptome, nottament que hier apres avoir refait TOUT le iptables comme dans les tuto; le iptables -L me donnais bien ce qui fallais, mais qd je restarter mon shorewall le iptables -L n'avais pas du tout la meme geule.... d'une dixene de ligne il passais a trois pages....

J'ai regarde mon rules du shorewall, rien de plus que ce que j'ai mis... par contre lors du demarrage de shorewall, j'ai remarque qui y avais dea macro qqpart... donc j'en deduis que mes soucis sont dans c'est marco...

Question: 1) dans quel fichier, comment on peut voir exactement les macros utiliser par shorewall?

2) et surtout comment revenir a des marco "standard"?

vous avez une idee

vous remiercie d'avance

a+ aachen

----------

## Aachen_france

Re,

Alors voila c'est bien ce que je pensais...

apres avoir fait un iptables -F   et -X donc une table vide... restart du shorewall, voila ce que me donne le iptables -L

```

Chain INPUT (policy DROP)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            

ppp0_in    all  --  anywhere             anywhere            

eth0_in    all  --  anywhere             anywhere            

Reject     all  --  anywhere             anywhere            

LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:INPUT:REJECT:' 

reject     all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)

target     prot opt source               destination         

ppp0_fwd   all  --  anywhere             anywhere            

eth0_fwd   all  --  anywhere             anywhere            

Reject     all  --  anywhere             anywhere            

LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:FORWARD:REJECT:' 

reject     all  --  anywhere             anywhere            

Chain OUTPUT (policy DROP)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            

fw2loc     all  --  anywhere             anywhere            

fw2net     all  --  anywhere             anywhere            

Reject     all  --  anywhere             anywhere            

LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:OUTPUT:REJECT:' 

reject     all  --  anywhere             anywhere            

Chain Drop (0 references)

target     prot opt source               destination         

reject     tcp  --  anywhere             anywhere            tcp dpt:auth 

dropBcast  all  --  anywhere             anywhere            

ACCEPT     icmp --  anywhere             anywhere            icmp fragmentation-needed 

ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded 

dropInvalid  all  --  anywhere             anywhere            

DROP       udp  --  anywhere             anywhere            multiport dports epmap,microsoft-ds 

DROP       udp  --  anywhere             anywhere            udp dpts:netbios-ns:netbios-ssn 

DROP       udp  --  anywhere             anywhere            udp spt:netbios-ns dpts:1024:65535 

DROP       tcp  --  anywhere             anywhere            multiport dports epmap,netbios-ssn,microsoft-ds 

DROP       udp  --  anywhere             anywhere            udp dpt:1900 

dropNotSyn  tcp  --  anywhere             anywhere            

DROP       udp  --  anywhere             anywhere            udp spt:domain 

Chain Reject (4 references)

target     prot opt source               destination         

reject     tcp  --  anywhere             anywhere            tcp dpt:auth 

dropBcast  all  --  anywhere             anywhere            

ACCEPT     icmp --  anywhere             anywhere            icmp fragmentation-needed 

ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded 

dropInvalid  all  --  anywhere             anywhere            

reject     udp  --  anywhere             anywhere            multiport dports epmap,microsoft-ds 

reject     udp  --  anywhere             anywhere            udp dpts:netbios-ns:netbios-ssn 

reject     udp  --  anywhere             anywhere            udp spt:netbios-ns dpts:1024:65535 

reject     tcp  --  anywhere             anywhere            multiport dports epmap,netbios-ssn,microsoft-ds 

DROP       udp  --  anywhere             anywhere            udp dpt:1900 

dropNotSyn  tcp  --  anywhere             anywhere            

DROP       udp  --  anywhere             anywhere            udp spt:domain 

Chain all2all (0 references)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

Reject     all  --  anywhere             anywhere            

LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:all2all:REJECT:' 

reject     all  --  anywhere             anywhere            

Chain dropBcast (2 references)

target     prot opt source               destination         

DROP       all  --  anywhere             anywhere            PKTTYPE = broadcast 

DROP       all  --  anywhere             anywhere            PKTTYPE = multicast 

Chain dropInvalid (2 references)

target     prot opt source               destination         

DROP       all  --  anywhere             anywhere            state INVALID 

Chain dropNotSyn (2 references)

target     prot opt source               destination         

DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN 

Chain dynamic (4 references)

target     prot opt source               destination         

Chain eth0_fwd (1 references)

target     prot opt source               destination         

dynamic    all  --  anywhere             anywhere            state INVALID,NEW 

loc2net    all  --  anywhere             anywhere            

Chain eth0_in (1 references)

target     prot opt source               destination         

dynamic    all  --  anywhere             anywhere            state INVALID,NEW 

loc2fw     all  --  anywhere             anywhere            

Chain fw2loc (1 references)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:fw2loc:ACCEPT:' 

ACCEPT     all  --  anywhere             anywhere            

Chain fw2net (1 references)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh 

LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:fw2net:ACCEPT:' 

ACCEPT     all  --  anywhere             anywhere            

Chain loc2fw (1 references)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh 

LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:loc2fw:ACCEPT:' 

ACCEPT     all  --  anywhere             anywhere            

Chain loc2net (1 references)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:loc2net:ACCEPT:' 

ACCEPT     all  --  anywhere             anywhere            

Chain net2fw (1 references)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:net2fw:ACCEPT:' 

ACCEPT     all  --  anywhere             anywhere            

Chain net2loc (1 references)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:net2loc:ACCEPT:' 

ACCEPT     all  --  anywhere             anywhere            

Chain norfc1918 (2 references)

target     prot opt source               destination         

rfc1918    all  --  172.16.0.0/12        anywhere            

rfc1918    all  --  anywhere             anywhere            ctorigdst 172.16.0.0/12 

rfc1918    all  --  192.168.0.0/16       anywhere            

rfc1918    all  --  anywhere             anywhere            ctorigdst 192.168.0.0/16 

rfc1918    all  --  10.0.0.0/8           anywhere            

rfc1918    all  --  anywhere             anywhere            ctorigdst 10.0.0.0/8 

Chain ppp0_fwd (1 references)

target     prot opt source               destination         

dynamic    all  --  anywhere             anywhere            state INVALID,NEW 

norfc1918  all  --  anywhere             anywhere            state NEW 

net2loc    all  --  anywhere             anywhere            

Chain ppp0_in (1 references)

target     prot opt source               destination         

dynamic    all  --  anywhere             anywhere            state INVALID,NEW 

norfc1918  all  --  anywhere             anywhere            state NEW 

net2fw     all  --  anywhere             anywhere            

Chain reject (10 references)

target     prot opt source               destination         

DROP       all  --  anywhere             anywhere            PKTTYPE = broadcast 

DROP       all  --  anywhere             anywhere            PKTTYPE = multicast 

DROP       all  --  255.255.255.255      anywhere            

DROP       all  --  224.0.0.0/4          anywhere            

REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset 

REJECT     udp  --  anywhere             anywhere            reject-with icmp-port-unreachable 

REJECT     icmp --  anywhere             anywhere            reject-with icmp-host-unreachable 

REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 

Chain rfc1918 (6 references)

target     prot opt source               destination         

LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:rfc1918:DROP:' 

DROP       all  --  anywhere             anywhere            

Chain shorewall (0 references)

target     prot opt source               destination         

Chain smurfs (0 references)

target     prot opt source               destination         

LOG        all  --  255.255.255.255      anywhere            LOG level info prefix `Shorewall:smurfs:DROP:' 

DROP       all  --  255.255.255.255      anywhere            

LOG        all  --  224.0.0.0/4          anywhere            LOG level info prefix `Shorewall:smurfs:DROP:' 

DROP       all  --  224.0.0.0/4          anywhere            

```

Je vias regarder ca plus en profondeur...

mais si vous avis des idees...

C'est regle ne sont pas dans le rules en toucas...

a+ aachen

----------

## Aachen_france

Comment je peut,

revenir a la normal....

il ne faudrait des fichiers par default... ou les trouver??

merci de votre aide

a+ aachen

----------

## Aachen_france

re,

vous avez une idee?

a+ aachen

----------

## bob1977

Salut Aachen_france,

 *Quote:*   

> Comment je peut,
> 
> revenir a la normal....
> 
> il ne faudrait des fichiers par default... ou les trouver??

 

  Si tu parles des fichiers de shorewall, le fait de le reemerger te remettra les fichiers de config par defaut mais ils ne seront pas actives: dans /etc/shorewall, tu auras des fichiers .cfg0000_ + le nom du fichier normal. Renomme tes fichiers actuels puis renomme les nouveaux en supprimant le ".cfg000_".

 Autrement, tu as surement des exemples de  fichiers de configs sur le site de shorewall

----------

## Aachen_france

merci pour ta reponce...

pour remerger je fait

```
emerge --unmerge shorewall

et 

emrege shorewall
```

c'est ca??

a+ aachen

----------

## bob1977

Il suffit juste de faire 

```
emerge shorewall
```

----------

## Aachen_france

Bonjour,

Merci de vos reponces...

Tres fatiguer aujourd'hui, je n'ai toujours la trouver une solution a mon probleme...

Juste avant le message qui precede, j'ai ess de faire comme j'ai dit... un emerge --unmerge puis un emerge... Conclusion: riem n'a change.. toujours la meme chose, le iptables me donne toujours le meme chose... J'ai l'inpression que ces fichier dont peur etre ailleur, mias ou? et quoi regarder?

En regardant mon iptables -L , je pense voie les regles qui m'enmerde... mais comment faire pour corrigre ca?

Vous avez une idee?

a+ aachen

----------

## Aachen_france

Re,

J'aurai bien virer totalemt shorewall, mais la, plus rien ne marche. meme avec les regles de iptables comme dans les tuto... Je n'ai meme plus acces au net de mon gentoo

Une idee?

merci

a+ aachen

----------

## man in the hill

 *Aachen_france wrote:*   

> Re,
> 
> J'aurai bien virer totalemt shorewall, mais la, plus rien ne marche. meme avec les regles de iptables comme dans les tuto... Je n'ai meme plus acces au net de mon gentoo
> 
> Une idee?
> ...

 

Shorewall t'a pris en otage   :Laughing:  !  Je ne vois pas trop ton prob, si tu vires shorewall et tu places un script iptables à la place avec la doc gentoo du routeur perso, plus  mon script...j'ai un serveur/routeur/firerwall qui fonctionne  avec mon script...donne moi le nom de tes interfaces réseaux et je vais modifier mon script pour coller à ta config...

Bon courage !

                                                               @+

----------

## Aachen_france

Merci de ta reponce...

Je commencer a etre totalement perdu avec tout ce que j'ai lu sur le net avec ces diferrant script...

Bon ma config est:

eht0 : reseau domestique

eht1:   => ppp0 relié au modem (je rappel que le modem n'est pas un routeur. il y besions du serveur pour ce conecter au net. s'est le serveur qui contient les usr et pas du FAI, pas le modem)

J'avais un regle dans le rules du shorewall qui doit etre aussi transcrite a l'iptables

```
DNAT net loc:192.168.0.251 tcp 10001 
```

J'ai un serveur sur cette machine 192.168.0.251:10001 :accecible de internet (par le DynDNS aussi)

Sinon normal:

DynDNS

samba: accessible de l'intranet

ssh: accecible de internet et intranet (par le DynDNS aussi)

serveur web apache2: accecible de internet et intranet (par le DynDNS aussi)

Prevoir si c'est possible l'utilisation de emule par 192.168.0.251

Voila je pense avoir fait le tour...

Il me faudra eventuellement des explications pour retirer shorewall, et installer ton script pour qu'il soit pris en compte au demarage

Si tu as de questions n'hesite pas...

Encore merci

a+ aachen

----------

## man in the hill

Salut,

Voilà:

```

##########################################################################

# On vide toutes les chaines des tables + les chaines persos.

##########################################################################

iptables -t filter -F

iptables -t filter -X

iptables -t nat   -F

iptabes  -t nat  -X

iptables -t mangle -F

iptables -t mangle  -X

iptables -X

############################################################################################################

# On bloque les entrées sur la machine locale, le forwarding et on accepte  les sorties à partir de la machine locale.

# iptables -L    pour lister les règles

# La table filter est celle par défaut mais je la précise quand même pour que l'on soit bien conscient que l'on utilise la table filter et non la table nat ou mangle.

############################################################################################################

iptables -t filter -P INPUT  DROP

iptables -t filter -P FORWARD DROP

iptables -t filter -P OUTPUT ACCEPT

######################

# Mise en place du NAT

######################

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

##################################################################

# On autorise le fonctionnement de l'interface loopback.

##################################################################

iptables -t filter -A INPUT -i lo -j ACCEPT

##########################

# On autorise le LAN

##########################

iptables -t filter -A INPUT -i eth0 -j ACCEPT

######################

# Se protèger du ping

######################

iptables -t filter -A INPUT -p icmp -m state --state RELATED -j ACCEPT

#############################################

# Autoriser le surf depuis le LAN

#############################################

iptables -t filter -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED   -j ACCEPT

######################################################################

# Autoriser les connexions déjà établies à rentrer vers le LAN

######################################################################

iptables -t filter -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED  -j ACCEPT

##########################################################################################

# Gestion des connexions externes déjà établies entrant sur la machine locale

##########################################################################################

iptables -t filter -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED  -j ACCEPT

#######################################################

# Serveur web sur la machine local

#######################################################

iptables -t filter -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT

#############

# DNAT

#############

iptables -t nat -A PREROUTING -i ppp0  -p tcp --dport  xx_port   -j DNAT --to 192.168.0.251:10001

##############################################################

# SSH  depuis le net vers le routeur comme point d'entrée

##############################################################

iptables -t filter -A INPUT  -i ppp0 -p tcp --dport ssh  -j ACCEPT

#########################################

# emule, c'est comme la règle DNAT

#########################################

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport xx_port  -j DNAT --to-destination 192.168.0.251:xx_port

iptables -t nat -A PREROUTING -i ppp0 -p udp --dport xx_port + 3  -j DNAT --to-destination 192.168.0.251:xx_port

######################################################################################################################

#                                                                             

######################################################################################################################

```

xx_port : Tu dois indiquer un port d'entré sur ton serveur gentoo...

Mon principe est simple, je laisse sortir les applications qui font des requêtes et les laissent recevoir leurs réponsent  et je bloques tout ce qui vient du net qui n'ont pas de règles écrites spécifiés...

Vu que ton serveur est une gentoo, c'est très simple à sauvegarder et lancer au démarrage !

Tout d'abord, tu dois décomenter la ligne :

```
net.ipv4.ip_forward = 1
```

  ds le fichier /etc/sysctl.conf pour dire au noyau de forwarder les connexions...(ça active le partage...).

Ensuite tu tapes ds un terminal  les règles iptables et tu les sauves via cette commande :

```
/etc/init.d/iptables  save
```

ds 

```
/var/lib/iptables/rules-save
```

Tu peux les sauver ds un fichier de sauvegarde:

```
iptables-save >/root/invisible_iptables
```

et pour les restorer :

```
iptables-restore </root/invisible_iptables
```

ps : tu donnes le nom que tu veux a ce fichier !

Pour mettre au demarrage :

```
rc-update add iptables  default
```

Dèjà, tu arrêtes shorewall, ensuite si tout fonctionne comme tu le souhaites , tu désinstalles avec emerge !

Tu peux tester tes ports à cette adresse:

http://www.pcflank.com/test.htm

J'espère que ça va marcher ! 

                                                                      @+

----------

## Aachen_france

Salut,

merci infiniment...

Juste deux questione encore...

Si je fait un copie/coller  dans un fichier avec mon xp et notepad++ que je cree est'til possible de faire avec ce fichier que je recupere avec le clefs USB  comme tu as dis?????

```
iptables-restore </root/invisible_iptables
```

Si tout marche bien, il faudrais que j'ellimine aussi le demmarage automatique de shorewall au boot...

Encore merci bcp...

a+ aachen

----------

## Aachen_france

Ha j'allais oublie,

lorsque je fait un 

```
/etc/init.d/iptables restart
```

il va me demarer automatiquement le shorewall.. je ne sais pas si ceci a avoir avec ca,

 *man in the hill wrote:*   

> 
> 
> Tout d'abord, tu dois décomenter la ligne :
> 
> ```
> ...

 

mais si ce n'est pas le cas, je vais tourner encore longtemps en rond... lol

merci

a+ aachen

----------

## man in the hill

Salut,

Sans les commentaires bien sûr   :Laughing:  ...

le mieux est que tu rentres les règles ds un terminal et que tu les sauvent , ensuite tu stop shorewall  et tu lances iptables :

```
/etc/init.d/iptables start
```

 pour démarrer iptables et tester si cela fonctionne....

Tu enlèves shorewall :

```
rc-update del shorewall default
```

si tu as bien shorewall au default, colle moi la commande :

```
rc-update show
```

Tu me remercieras quand cela fonctionera   :Laughing:  !!!!

 *Aachen_france wrote:*   

>  il va me demarer automatiquement le shorewall.. je ne sais pas si ceci a avoir avec ca,

 

Alors vire shorewall de suite !!!! et tous ces fichiers...

```
updatedb
```

 qui va indexer tes fichiers puis :

```
locate shorewall
```

 et tu effaces les fichiers....

                                                                 @+

----------

## PabOu

 *man in the hill wrote:*   

> Alors vire shorewall de suite !!!! et tous ces fichiers...
> 
> ```
> updatedb
> ```
> ...

 

Ou bien...

```
emerge portage-utils -av

qlist shorewall > fichiers_shorewall.txt

emerge -Cav shorewall

rm `cat fichiers_shorewall.txt`
```

----------

## man in the hill

 *PabOu wrote:*   

> 
> 
> Ou bien...
> 
> ```
> ...

 

Merci , PaBOu , je n'ai pas encore intégré les outils de portage-utils ds mon quotidien   :Laughing:  ...pourtant si efficace !

                                                           @+

----------

## Aachen_france

Bonsoir,

Merci pour toutes vos reponces...

En fait j'ai voulu verifier qqch et je pense que la sol est la...

Je vous mets le resultat d'un:

```
/etc/shorewall/shorewall start
```

```
Loading /usr/share/shorewall/functions...

Processing /etc/shorewall/params ...

Processing /etc/shorewall/shorewall.conf...

Loading Modules...

Restarting Shorewall...

Initializing...

Shorewall has detected the following iptables/netfilter capabilities:

   NAT: Available

   Packet Mangling: Available

   Multi-port Match: Available

   Extended Multi-port Match: Available

   Connection Tracking Match: Available

   Packet Type Match: Available

   Policy Match: Not available

   Physdev Match: Not available

   IP range Match: Available

   Recent Match: Available

   Owner Match: Available

   Ipset Match: Not available

   CONNMARK Target: Not available

   Connmark Match: Not available

   Raw Table: Available

   CLASSIFY Target: Available

Determining Zones...

   IPv4 Zones: loc net

   Firewall Zone: fw

Validating interfaces file...

Validating hosts file...

Validating Policy file...

Determining Hosts in Zones...

   loc Zone: eth0:0.0.0.0/0

   net Zone: ppp0:0.0.0.0/0

Processing /etc/shorewall/init ...

Pre-processing Actions...

   Pre-processing /usr/share/shorewall/action.Drop...

   ..Expanding Macro /usr/share/shorewall/macro.Auth...

   ..End Macro

   ..Expanding Macro /usr/share/shorewall/macro.AllowICMPs...

   ..End Macro

   ..Expanding Macro /usr/share/shorewall/macro.SMB...

   ..End Macro

   ..Expanding Macro /usr/share/shorewall/macro.DropUPnP...

   ..End Macro

   ..Expanding Macro /usr/share/shorewall/macro.DropDNSrep...

   ..End Macro

   Pre-processing /usr/share/shorewall/action.Reject...

   Pre-processing /usr/share/shorewall/action.Limit...

Deleting user chains...

Processing /etc/shorewall/continue ...

Processing /etc/shorewall/routestopped ...

Setting up Accounting...

Creating Interface Chains...

Configuring Proxy ARP

Setting up NAT...

Setting up NETMAP...

Adding Common Rules

Processing /etc/shorewall/initdone ...

Enabling RFC1918 Filtering

IP Forwarding Enabled

Setting up IPSEC...

Processing /etc/shorewall/rules...

..Expanding Macro /usr/share/shorewall/macro.DNS...

   Rule "ACCEPT loc fw udp 53 - - - -" added.

   Rule "ACCEPT loc fw tcp 53 - - - -" added.

..End Macro

..Expanding Macro /usr/share/shorewall/macro.DNS...

   Rule "ACCEPT fw net udp 53 - - - -" added.

   Rule "ACCEPT fw net tcp 53 - - - -" added.

..End Macro

..Expanding Macro /usr/share/shorewall/macro.SSH...

   Rule "ACCEPT loc fw tcp 22 - - - -" added.

..End Macro

..Expanding Macro /usr/share/shorewall/macro.SSH...

   Rule "ACCEPT fw net tcp 22 - - - -" added.

..End Macro

   Rule "DNAT net loc:192.168.0.251 tcp 10001    " added.

Processing /etc/shorewall/tunnels...

Processing Actions...

   Generating Transitive Closure of Used-action List...

Processing /usr/share/shorewall/action.Drop for Chain Drop...

..Expanding Macro /usr/share/shorewall/macro.Auth...

   Rule "REJECT - - tcp 113 -  -" added.

..End Macro

   Rule "dropBcast       " added.

..Expanding Macro /usr/share/shorewall/macro.AllowICMPs...

   Rule "ACCEPT - - icmp fragmentation-needed -  -" added.

   Rule "ACCEPT - - icmp time-exceeded -  -" added.

..End Macro

   Rule "dropInvalid       " added.

..Expanding Macro /usr/share/shorewall/macro.SMB...

   Rule "DROP - - udp 135,445 -  -" added.

   Rule "DROP - - udp 137:139 -  -" added.

   Rule "DROP - - udp 1024: 137  -" added.

   Rule "DROP - - tcp 135,139,445 -  -" added.

..End Macro

..Expanding Macro /usr/share/shorewall/macro.DropUPnP...

   Rule "DROP - - udp 1900 -  -" added.

..End Macro

   Rule "dropNotSyn - - tcp    " added.

..Expanding Macro /usr/share/shorewall/macro.DropDNSrep...

   Rule "DROP - - udp - 53  -" added.

..End Macro

Processing /usr/share/shorewall/action.Reject for Chain Reject...

..Expanding Macro /usr/share/shorewall/macro.Auth...

   Rule "REJECT - - tcp 113 -  -" added.

..End Macro

   Rule "dropBcast       " added.

..Expanding Macro /usr/share/shorewall/macro.AllowICMPs...

   Rule "ACCEPT - - icmp fragmentation-needed -  -" added.

   Rule "ACCEPT - - icmp time-exceeded -  -" added.

..End Macro

   Rule "dropInvalid       " added.

..Expanding Macro /usr/share/shorewall/macro.SMB...

   Rule "REJECT - - udp 135,445 -  -" added.

   Rule "REJECT - - udp 137:139 -  -" added.

   Rule "REJECT - - udp 1024: 137  -" added.

   Rule "REJECT - - tcp 135,139,445 -  -" added.

..End Macro

..Expanding Macro /usr/share/shorewall/macro.DropUPnP...

   Rule "DROP - - udp 1900 -  -" added.

..End Macro

   Rule "dropNotSyn - - tcp    " added.

..Expanding Macro /usr/share/shorewall/macro.DropDNSrep...

   Rule "DROP - - udp - 53  -" added.

..End Macro

Processing /etc/shorewall/policy...

   Policy ACCEPT for fw to loc using chain fw2loc

   Policy ACCEPT for fw to net using chain fw2net

   Policy ACCEPT for loc to fw using chain loc2fw

   Policy ACCEPT for loc to net using chain loc2net

   Policy ACCEPT for net to fw using chain net2fw

   Policy ACCEPT for net to loc using chain net2loc

Masqueraded Networks and Hosts:

   To 0.0.0.0/0 (all) from 192.168.0.0/24 through ppp0

Processing /etc/shorewall/tos...

   Rule "all:192.168.0.1 all:192.168.0.251 tcp 10001 10001 0" added.

Processing /etc/shorewall/ecn...

Setting up Traffic Control Rules...

Validating /etc/shorewall/tcdevices...

Validating /etc/shorewall/tcclasses...

Activating Rules...

Processing /etc/shorewall/start ...

Shorewall Restarted

Processing /etc/shorewall/started ...

```

Vous en pensais quoi? Est ce qu'il n'y aurais pas qqch a faire du cote de ces /urs/share/shorewall/marco.....? Tout semplement?

a+ aachen

----------

## -KuRGaN-

Je n'utilise pas shorewall, mais à première vue, il y a quelque chose de bizarre:

```

Determining Hosts in Zones...

   loc Zone: eth0:0.0.0.0/0

   net Zone: ppp0:0.0.0.0/0 

```

au pire je veux bien pour le pp0 mais pour l'eth0, tout c'est bizarre !!

----------

## man in the hill

Si tu veux effacer une règle iptables tu rajoutes un -D ds la règle que tu veux effacer (il faut quelle soit indentique à celle que tu veux enlever).

Sinon, pour shorewall , il utilise son propre vocab meme si iptables est en sous couche et quand tu ne connaîs pas le vocab , cela pose problème (tu n'as qu'a regerder ds ces fichiers en questions...). iptables , c'est simple , efficace et clair et tu peux tester chaque ligne pour voir les effets...

Enjoy !

----------

## Aachen_france

Bonjour,

merci pour toutes vos reponces...

J'ai pas eu bcp le temps hier soir pour tester les regles de iptables.. Je les ai deja rentrees en console et enregistees dans un fichier... je ne pouvais pas faire un emerge, ma connection internet etait occupe....

sinon j'ai ess cette commande, 

```
updatedb
```

 mais elle ne fonctionne pas chez moi... je vais ess l'emerge ce soir.. je vous tien au courrant

Merci

a+ aaChen

----------

## man in the hill

Salut,

Pour updatedb:

http://www.gentoo.org/doc/fr/handbook/handbook-amd64.xml?part=1&chap=9#doc_chap4

Bon sinon, je trouve que tu vas trop vite en besogne, le but du script que je t'ai passé, qui est une modif de mon script à moi (donc il y a la partie DNAT que je n'ai pas testé, le but donc est que tu rentres chaque règles ds une console et que tu vérifies son travail en fonction de ce que doit réaliser la règle, par ex quand tu arrives à cette règle :

```
...

...

##########################

# On autorise le LAN

##########################

iptables -t filter -A INPUT -i eth0 -j ACCEPT

...

...

```

Tout ton réseau local doit fonctionner, etc... en fonction des règles...

Tout mettre ds un fichier et balancer après n'est pas une bonne méthode, a mon avis !!!! Enfin , tu fais ce que tu veux   :Laughing:  !!!!!

Si tu veux effacer la règle tu rajoutes -D comme cela :

```

iptables -t filter -D INPUT -i eth0 -j ACCEPT
```

 et tu vérifies si elle est effacé avec :

```
iptables -L
```

                                                                        @+

----------

## Aachen_france

Bonjour,

Ok merci de tes conseils....

Mais en fait comme je doit faire un peut tout en "aveugle" pour repasser de mon reseau windows a linux, sans trop de coupure du net pour ma femme! alors j'avais pas trop le choix...

Enfin je pense que je vais attendre cette nuit qd madame dort pour faire petit a petit... 

En plus comme le modem et le linux ce trouve dans la cave, je pourrais au moin si je marrete a la ligne ou tu me dis, le faire a distance par le ssh non? comme cela ca m'evitera de courrir dans tous les sens pour faire des essais.... hihihi

Bon alors verdicte cette nuit je pense....

merci

a+ aachen

----------

## chipsterjulien

Salut !

Perso je suis un très grand utilisateur de shorewall et je n'ai jamais eu de soucis pour l'utilisation et la configuration surtout qu'il y a une très bonne traduction afin de le configurer correctement. http://linuxfr.org/2003/02/03/11227.html

Au cas où tu fasses une boulette, pour arrêter shorewall, il faut que tu fasses les manip suivante :

```
/etc/init.d/shorewall stop

shorewall clean ou clear
```

Si tu ne fais pas la 2° commande, shorewall te verrouille certaines choses afin que tu sois quand même protégé.

Je relirai ton poste un peu plus tard, car il est bientôt l'heure de manger  :Razz: 

Si jamais tu trouves la solution entre temps, ...  :Wink: 

La seule chose que je reproche c'est qu'il y a de nouvelles versions de shorewall et au maximum, sur gentoo on peut installer que la version 3.0.8  :Sad: 

----------

## novazur

 *Aachen_france wrote:*   

> Mon serveur me sers a plusieurs chose: (je précise que je n'ai pas d'interface graphique, tout est en ligne de commande..)

 

Ne le prends pas mal, mais très sincèrement, je pense que tu veux beaucoup trop en faire en ayant une connaissance plus que restreinte de Linux.

Tu aurais mieux fait de commencer par te familiariser avec un "linux simple", la ligne de commande, et les différents softs de base, avant de vouloir faire un routeur/firewall/serveur/etc...

Dans le cas contraire, tu vas passer tes prochains mois ici, et pour un résultat plus que médiocre.

Linux, c'est bien, mais c'est comme tout, ça s'apprend.

Tu dis toi même que certaines choses ont été installées par quelqu'un d'autre. Il aurait mieux valu que tu n'y touches pas derrière.

Après, tu fais ce que tu veux, mais ton routeur risque être une passoire.

----------

