# Iptables , simples questions

## vibidoo

Salut 

j'ai installé mes règles Iptables conformément au  tutorials 1.1.16  .

Mon réseau ( ip dynamique ) fonctionne avec pas mal de modification par rapport au script de base .

J'ai juste un petit disfonctionnement : 

J'ai déclarer la variable :

```

IP_LAN_RANGE="192.168.0.0/16" 

```

Normalement cette variable devrait couvrir tout mon réseau interne ?

Ensuite je déclare dans la chaine INPUT 

```

iptables -A INPUT -p all -i eth0 -s $IP_LAN_RANGE -j ACCEPT 

```

Avec la ligne ci dessus , tout les types de packets provenant du réseau interne sont accepté .

Et pourtant j'arrive pas à accéder au firewall ( exemple FTP )

Pour que ça passe je suis obligé de  : 

```

IP_LAN_RANGE="192.168.0.0/16" 

IP_LAN1="192.168.0.5"

IP_LAN2="192.168.0.6"

#############""

iptables -A INPUT -p all -i eth0 -s $IP_LAN_RANGE -j ACCEPT 

iptables -A INPUT -p all -i eth0 -s $IP_LAN1 -j ACCEPT

iptables -A INPUT -p all -i eth0 -s $IP_LAN2 -j ACCEPT 

```

Rajoutant les 4 lignes ci-dessus , mes 2 pc ( IP_LAN1 , IP_LAN2) , peuvent accéder aux service du firewall ( FTP)

----------

## Mat_le_ouf

Je ne sais pas si ça changera ghrand chose, mais tu pourrais très bien faire comme range :

```
IP_LAN_RANGE="192.168.0.0/28"
```

 ce qui te laissera 4 bits pour tes ordis (soit 14 ordis quand même), et devrait être amplement suffisant.

Sinon je vois pas pourquoi ça fonctionnerait pas...

----------

## vibidoo

 :Crying or Very sad: 

non c'est toujours pareil , je viens d'essayé 

```

IP_LAN_RANGE="192.168.0.0/28" 

#IP_LAN1="192.168.0.5" 

#IP_LAN2="192.168.0.6" 

```

Mes pc avec Ip ....5 et ....6 n'accèdent toujours pas au service FTP

----------

## Mat_le_ouf

Bon, à ce moment là essaye un truc du genre:

```
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
```

 normalement ça devrait fonctionner, te restera plus qu'à indiquer tous les autres services que tu veux partager...

Mais bon, pour ma part j'ai pas eu à faire ça...

Voilà le résultat de iptables-save chez moi :

```
# Generated by iptables-save v1.2.7a on Mon Jan 27 19:15:35 2003

*nat

:PREROUTING ACCEPT [366640:19877437]

:POSTROUTING ACCEPT [911:54572]

:OUTPUT ACCEPT [24193:1461208]

-A PREROUTING -i ppp0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.1

-A PREROUTING -i ppp0 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.0.1

-A POSTROUTING -o ppp0 -j MASQUERADE

COMMIT

# Completed on Mon Jan 27 19:15:35 2003

# Generated by iptables-save v1.2.7a on Mon Jan 27 19:15:35 2003

*mangle

:PREROUTING ACCEPT [3686671:1459915685]

:INPUT ACCEPT [1171706:154795345]

:FORWARD ACCEPT [2514790:1305110095]

:OUTPUT ACCEPT [859116:294736658]

:POSTROUTING ACCEPT [3373906:1599846753]

COMMIT

# Completed on Mon Jan 27 19:15:35 2003

# Generated by iptables-save v1.2.7a on Mon Jan 27 19:15:35 2003

*filter

:INPUT ACCEPT [68284:17746612]

:FORWARD ACCEPT [1116618:67973186]

:OUTPUT ACCEPT [859117:294736982]

:tcprules - [0:0]

-A INPUT -i ppp0 -p tcp -m tcp --dport 8080 -j ACCEPT

-A INPUT -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT

-A INPUT -i ppp0 -p tcp -m tcp --dport 6891 -j ACCEPT

-A INPUT -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -j tcprules

-A FORWARD -i ppp0 -p tcp -m tcp --dport 5900 -j ACCEPT

-A FORWARD -i ppp0 -p tcp -m tcp --dport 21 -j ACCEPT

-A FORWARD -j tcprules

-A tcprules -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A tcprules -i ! ppp0 -m state --state NEW -j ACCEPT

-A tcprules -i ppp0 -m state --state INVALID,NEW -j DROP

COMMIT
```

Je t'avouerais que je me suis inspiré d'autres configs, mais ça fonctionne très bien en tout cas!

----------

## vibidoo

T'as raison mat , je peux faire ça !!   :Very Happy: 

encore une question , comme tu as une connection dynamique comment t'as initialisé adresse Ip de ppp0 ?

 je pensais faire : 

```

INET_IP=" ifconfig ppp0 | grep inet | cut -d : -f 2 | cut -d  ' ' -f 1 "

```

mais en déclaration de variable ppp0 n'est jamais  accepté .

En fait je suis obligé de rentrer manuellement l'adresse IP de ppp0 avant chaque démarrage de iptables !!!

----------

## Mat_le_ouf

 *vibidoo wrote:*   

> encore une question , comme tu as une connection dynamique comment t'as initialisé adresse Ip de ppp0 ?

  Je n'initialise pas l'IP de ppp0, c'est, si j'ai bien compris, le -A POSTROUTING -o ppp0 -j MASQUERADE qui me permet de faire ça de façon transparente.

Sinon évidemment l'IP de ppp0 m'est gracieusement fournie par mon provider  :Wink: 

----------

## pounard

perso moi g une mis une range 198.168.1.0/24

et heu ca marche nickel (je c pas si 28 ca marche)

----------

## pounard

[quote]INET_IP=" ifconfig ppp0 | grep inet | cut -d : -f 2 | cut -d  ' ' -f 1 "

heu essye plutot :

INET_IP=` ifconfig ppp0 | grep inet | cut -d : -f 2 | cut -d  ' ' -f 1 `

avec des " il te retroune skia dedans en string, avec les ` il retrourne le résultat d' une commande

----------

## vibidoo

cool ça marche pour mon INET 

merci   :Wink: 

j'ai toujours le problème du range , mais ça c'est pas urgent du tout 

merci à vous

----------

