Salut !
Qqn sait-il comment imposer un port pour les connexions établies par pppd ?
Je dois faire un déplacement prochainement et je n’aurai qu’une connexion RTC. Malheureusement, je suis obligé de virer mon pare-feu pour me connecter étant donné que pppd choisi un port de façon aléatoire.
En attendant, j’ai autorisé tout ce qui transite via ppp0 mais ça ne doit pas être idéal.
ps : je n’ai rien vu dans man pppd…
T’es sûr que pppd se met en écoute sur un port TCP? ça me semble bizarre vu qu’il gére les couches inférieures à IP 
[quote=“Bluenote”]
Je dois faire un déplacement prochainement et je n’aurai qu’une connexion RTC. Malheureusement, je suis obligé de virer mon pare-feu pour me connecter étant donné que pppd choisi un port de façon aléatoire.[/quote]
depuis quand pppd a t il un role à jouer dans une connection RTC ?
Par ailleurs, si tu as confondu avec ppp, je ne vois pas en quoi tu es obligé de lever ton pare feu pour établir une connection (= activer une interface) …
C’est pas clair ton affaire.
Non, après y avoir réfléchi ce n’est plus très clair pour moi aussi…
Quoiqu’il en soit, je n’arrive à établir une connexion qu’avec le pare-feu ouvert ou au minimum avec cette règle en plus :
iptables -A INPUT -i ppp0 -j ACCEPT
iptables -A OUTPUT -o ppp0 -j ACCEPT
Tous mes moyens de connexion (pon, wvdial, kppp) me disent utiliser pppd…
Je n’aurai jamais pu l’exprimer comme ça, mais c’est le sentiment que j’avais jusqu’à ce matin 
Euh, une idée comme ça :
Comme j’utilise un modem qui se sert du processeur de l’ordi et que pour le faire marcher, j’ai besoin de cette chose : “sl-modem-daemon”. Est-ce que ça n’expliquerait un comportement “exotique” ?
J’ai trouvé ça :
et également ça, mais je crois que ça ne me concerne pas :
Elles ressemblent à quoi tes rêgles iptables “standard” ? T’aurais pas autorisé la sortie uniquement sur eth0 par hasard? Et as-tu bien le connexion tracking activé, car si c’est le cas, seul la rêgle OUTPUT concernant ppp0 est nécessaire.
Non je ne filtre pas en fonction de l’interface sauf pour ‘lo’.
Par contre, j’ai ça (c’est ce que tu appelles le ‘connexion tracking’ ?) :
iptables -A OUTPUT -m state --state ! INVALID -s [mon_IP_locale] -j ACCEPTMais qd j’établis une connexion RTC j’ai une IP différente à chaque fois (donnée par mon fai). Ce serait donc ça…
[quote=“Bluenote”]Non je ne filtre pas en fonction de l’interface sauf pour ‘lo’.
Par contre, j’ai ça (c’est ce que tu appelles le ‘connexion tracking’ ?) :
iptables -A OUTPUT -m state --state ! INVALID -s [mon_IP_locale] -j ACCEPTMais qd j’établis une connexion RTC j’ai une IP différente à chaque fois (donnée par mon fai). Ce serait donc ça…[/quote]
Bizarre cette rêgle, généralement pour le suivi de connexion (connexion tracking), on utilise plutot ça :
En gros, le connexion tracking dans la chaîne INPUT permet d’accépter automatiquement les paquets liés à une connexion que tu as initialisé. Généalement, il n’est pas nécessaire de préciser autre chose que l’état de la connexion dans ce type de rêgle.
Un bon usage par exemple, c’est de mettre ce type de rêgle au début de ta chaîne INPUT, et laisse sortir sur l’interface ppp0, ça bloquera tout ce qui arrive par cette interface et que tu n’as pas demandé.[/quote]
Oui en fait, j’ai l’INPUT aussi 
iptables -A OUTPUT -m state --state ! INVALID -s [mon_IP_locale] -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -d [mon_IP_locale] -j ACCEPTje ferai des tests demain pour y voir plus clair (ce n’est pas sur “ma” machine)
merci en tt cas
Vu que dans chacune de tes rêgles de suivi de connexion tu précises l’adresse IP source ou destination, ces rêgles ne marchent pas pour l’interface ppp0. A mon avis ton probléme vient de là.
Bon, je me rends compte que j’ai été imprécis plus haut.
En fait, mon pare-feu n’empêche pas la connexion de mon modem, il me ‘drop’ seulement tous les paquets qui transitent (c’est naturel pour un pare-feu ). Ou plus précisément, il drope tout sauf le ping vers des ip (je n’ai pas de résolution de noms).
Bref, je ne pige pas tout mais une fois que je suis connecté et que je mets l’ip qui m’a été affectée dans le suivi de connexion de mon pare-feu, tout est ok.
Je pense que je peux enterrer mon histoire de port (même avec mon demi-modem…) mais je ne comprends toujours pas ce qui est écrit dans kppp lorsque une connexion est établie :
Le chiffre est “aléatoire” mais tjs proche de 45000. Ce n’est pas un n° de processus comme je l’ai pensé un moment. Aucun processus ne porte ce n° pendant ma connexion (en part. pas pppd, kppp)
Merci, je colle un résolu sur ce fil.
BlueNote: pppd est le démon pour accepter les connections ENTRANTES, donc rien à voir avec la connection RTC.
Par ailleurs, peux tu m’expliquer l’intéret de bloquer ce qui sort.
Finalement, j’imagine que quelle que soit l’interface, tu veux accepter les paquets entrants qui répondentr à une connection établie par ta machine, alors pourquoi tu te prends la tête à spécifier un ‘-d [ip]’ dans ta règle:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -d [mon_IP_locale] -j ACCEPT
dis moi ?
Ben non, mea culpa: pris d’un doute, j’ai établi une connection pptp et en fait, pppd est aussi bien utilisé en entrée qu’en sortie.
Au temps pour moi…
Aucun (je sais ) C’est dogmatique : je suis le plus restrictif possible. Tu comprends si un pirate génial parvient à installer un service sur ma machine qui lui envoie tous mes mp3, je veux qu’ils aient mon ip collé sur le front. (pour les droits d’auteurs)
C’est du pléonasme informatique (c’est + fort que moi, je suis hyper-anxieux) si les paquets qui reviennent chez moi n’ont pas mon ip collé sur le front, je n’en veux pas c’est tout (MattOTop : “mais mon cher, comment pourraient-ils revenir sans avoir ton adresse ip ?” Bluenote : “je n’en sais rien et justement, ce serait suffisamment louche pour que je refuse de les laisser entrer !!”) 
Tu veux que je développe ou je te prépare une aspirine ?
développe et file moi aussi une aspirine 
Faut pas avoir peur des attaques mitm ca peux arriver oui mais pas tout le temps non plus.