si tu n’as rien mis en mangle et en raw, alors c’est que tu ne les a pas utilisées pas de problême ne t’en preoccupes pas.
Pour mêmoire, grossièrement, tu as la table “filter” (par defaut, pas besoin de faire un iptables -t filter), qui décide de ce qui passe, la table “nat” qui redirige les paquets en se souvenant ou renvoyer les réponses, la table “mangle” qui permet de marquer ou de modifier les paquets, et la table “raw” que je ne sais même plus à quoi elle sert tellement elle ne sert jamais.
Re-Salut !!!
J’ai vu ça mais je ne sais pas quelles règles mettre :
Utilisation de PPTP avec des firewall et des routeurs
Le trafic PPTP utilise le port TCP 1723 et le protocole IP utilise ID 47, comme assigné par Internet Assigned Numbers Authority (IANA). PPTP peut être utilisé avec la plupart des firewalls et des routeurs en routant le trafic destiné pour le port 1723 par le biais du firewall ou du routeur.
Mes règles sont comme ceci à ce jour :
iptables -A FORWARD -i $lan -o $wan -s “@_IP_Client_1” -d “@_IP_Serveur” -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -d “@_IP_Client_1” -s “@_IP_Serveur” -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -s “@_IP_Client_2” -d “@_IP_Serveur” -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -d “@_IP_Client_2” -s “@_IP_Serveur” -j ACCEPT
#Activer le routage du protocole “gre” + différents modules
modprobe ip_gre
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ipt_state
Bonne soirée et merci d’avance !
ccc29
Salut !
J’ai trouvé pourquoi ça ne marche pas :
wlug.org.nz/PPTPConnectionTracking
J’ai un noyau 2.6.8 et non un 2.6.14. De plus, je n’ai pas les modules ip_nat_pptp et ip_conntrack_pptp de chargés car ils ne sont pas disponibles…
Est-ce que quelqu’un sait comment faire pour monter en version (2.6.8 ==> 2.6.14) sans recompiler car je veux éviter cette étape (FW en prod…)
Merci d’avance !
ccc29.
Le noyau binaire que tu récupèreras n’a aucune raison de marcher tout de suite mieux qu’un noyau que tu auras compilé. Les risques d’interruption de service sont les mêmes.
Je te conseille donc de récupèrer des sources récentes (impèrativement sous forme de paquet debian) et de les compiler en prenant comme .config de départ le config-2.6.8 de ton noyau qui tourne actuellement.
Pour se faire, ou si tu préfères installer un noyau binaire, tu peux modifier ton sources.list en t’inspirant de ça:
forum.debian-fr.org/viewtopic.php?t=5659
Tu as aussi des solutions de backport, avec des noyaux adaptés à la sarge, mais là dessus je ne peux rien dire quand à l’utilisation de ce type de paquet backport pour le noyau (je ne sais même pas s’ils en proposent):
backports.org/dokuwiki/doku.php
PS: le lien que tu as donné indique comment installer le patch pptp sur un noyau < 2.6.14 .
Si tu veux changer le moins possible ce qui tourne sur ta machine, ça vaut peut être le coup de te recompiler ton noyau actuel avec les mêmes options et le patch en plus, non ?
Oui mais il y a les sources des modules (enfin j’ai l’impression…).
kernel.org/git/?p=linux/kernel/g … c2d9b09732
Est-ce que ce n’est pas à moi de créer mes modules à l’aide de ces fichiers ?!
Bah, oui moi je suis bien motivé mais j’epère le réussir. Sinon, ce n’est pas possible d’installer une bête de patch ou dze faire une MAJ des modules pour avoir la possibilité de charger les modules ip_nat_pptp et ip_conntrack_pptp ?!
J’ai l’impression que je vais me lancer dans un truc afffreux alors qu’il y a peut-être plus simple…
Merci beaucoup d’avoir répondu !
ccc29.
Bah à priori, tu dois pouvoir déployer le module seul, et le compiler pour ton noyau avec l’aide des headers, mais AMA, c’est plus casse gueule que de recompiler une version de noyau patchée avec un patch adhoc ou une version ulterieure.
AMA vraiment, le plus simple, tu va chercher un noyau qui te convient ici:
packages.debian.org/cgi-bin/sear … elease=all
tu le download, ainsi (important) que les headers et les sources qui vont avec.
Ensuite tu essayes de l’installer avec dpkg -i, puis tu rebootes dessus.
Tu es sous lilo ou grub ?
Sais tu si tu as déjà udev ou si tu utilises encore hotplug ?
[quote=“mattotop”] AMA vraiment, le plus simple, tu va chercher un noyau qui te convient ici:
packages.debian.org/cgi-bin/sear … elease=all[/quote]
Mais ce sont des versions ultra récentes et non-stable apparemment… Comme mon FW est en production et que je peux l’arrêter que quelques minutes (passerelle du LAN), est-ce que je ne prends pas des risques de faire ça ?
Je n’ai pas d’environment graphique dessus.
Alors là… Mystère ! Comment je peux le savoir ?!
Merci !
ccc29.
[quote=“ccc29”][quote=“mattotop”] AMA vraiment, le plus simple, tu va chercher un noyau qui te convient ici:
packages.debian.org/cgi-bin/sear … elease=all[/quote]
Mais ce sont des versions ultra récentes et non-stable apparemment… Comme mon FW est en production et que je peux l’arrêter que quelques minutes (passerelle du LAN), est-ce que je ne prends pas des risques de faire ça ?[/quote]Bah non. Un noyau ne remplace pas l’autre: tu gardes l’ancien, et si ça ne marche pas, tu peux toujours rebooter dessus dans la seconde.[quote=“ccc29”][quote=“mattotop”]Tu es sous lilo ou grub ?[/quote]Je n’ai pas d’environment graphique dessus.[/quote]Ah mais non: ça, c’est le bootloader, ça n’a vraiment rien de graphique et de futile, c’est ce qui charge le noyau au boot.
Alors réponds (nous afons les moyens de fous fair barler), qu’est ce qui est installé ? lilo ou grub ? (lilo ne te propose que les derniers noyaux installés, il faut mettre en place quelques precautions pour pouvoir l’utiliser au moment des tests.[quote=“ccc29”][quote=“mattotop”]Sais tu si tu as déjà udev ou si tu utilises encore hotplug ?[/quote]Alors là… Mystère ! Comment je peux le savoir ?![/quote]Quand tu fais un aptitude search , les lignes des paquets commencent par p,v, ou i. Si c’est i, c’est installé (p pour purgé et v pour … ?)
Tu peux aussi lister ce qui est ou a été installé: dpkg --get-selections.[quote=“ccc29”]Merci !
ccc29.[/quote]de rien.
Ok, bah c’est parti alors !
[quote=“mattotop”]Ah mais non: ça, c’est le bootloader, ça n’a vraiment rien de graphique et de futile, c’est ce qui charge le noyau au boot.
Alors réponds (nous afons les moyens de fous fair barler), qu’est ce qui est installé ? lilo ou grub ? (lilo ne te propose que les derniers noyaux installés, il faut mettre en place quelques precautions pour pouvoir l’utiliser au moment des tests.[/quote]
J’ai grub en bootloader !
Je suis encore avec hotplug.
Voila…
Merci, j’insiste !
ccc29.
bon, le grub en bootloader, c’est nickel, quand tu installeras un paquet/noyau, ça t’ajoutera un choix au boot sans que tu n’aies rien à faire, tu n’auras plus qu’à rebooter.
Pour hotplug, c’est plus ennuyeux, parceque je me demande si les noyaux plus récent ne dépendent pas d’udev, qui remplace hotplug.
Enfin bon, essayes toujours d’installer un noyau 2.6.18, s’il te dit qu’il lui manque udev, tu annules l’install, et on verra si tu ne peux pas recompiler ce noyau dans ta sarge pour qu’il ne dépende que de ce dont tu dispose déjà…
Ok, je suis parti mais t’aurais pas un petit tuto pas à pas qui fonctionne nickel (y’en a tellement sur le net…) ?
Sinon, je ne sais pas trop qu’elle version prendre. Le PC où est installé IPTABLES est un PIII HP… As-tu une idée ?
Merci.
ccc29.
Si tu parle de la recompilation de kernel, voir trucs et astuces (beaucoup de page mais tout lire donne plein d’info 
) sinon un tutos a suivre pas à pas
ashgenesis.debian-fr.net
Merci ash, mais justement, ccc29 veut éviter de recompiler.
Essayons donc le noyau etch courant.
tu télécharges:
noyau
headers
sources
tu n’as besoin que du premier, mais quand on a besoin des deux autres, on ne les trouve jamais, alors stockes les 3 ensembles.
ensuite, tu fais juste un dpkg -i linux-image-2.6.18-3-686_2.6.18-7_i386.deb, un update-grub au cas ou le dpkg -i ne l’aurait pas fait lui même, puis tu rebootes.
Petite question, ta machine a t elle qqchose de particulier, genre raid, memoire de plus d’un Go, etc ?
y a t’il quelquechose dans /usr/src/modules ?
[quote=“mattotop”]Merci ash, mais justement, ccc29 veut éviter de recompiler.
Essayons donc le noyau etch courant.
tu télécharges:
tu n’as besoin que du premier, mais quand on a besoin des deux autres, on ne les trouve jamais, alors stockes les 3 ensembles.
ensuite, tu fais juste un dpkg -i linux-image-2.6.18-3-686_2.6.18-7_i386.deb, un update-grub au cas ou le dpkg -i ne l’aurait pas fait lui même, puis tu rebootes.[/quote]
Bah en fait, j’ai continué mes recherches et j’ai trouvé ça, pptpproxy :
mgix.com/pptpproxy/?download
Qu’est-ce que vous en pensez ?!
Non, rien de tout ça, c’est un PC tout simple…
J’ai le répertoire /usr/src mais il n’y a rien dedans…
Par contre, j’ai un problème qui n’a rien à voir mais qui me bloque souvent quand je veux installer des paquets avec apt-get…
Je pingue bien l’@IP de mon FAI mais il n’y a aucune résolution de noms :
Firwall:/usr/src# ping google.fr
ping: unknown host google.fr
Firwall:/usr/src# ping 194.2.0.20
PING 194.2.0.20 (194.2.0.20) 56(84) bytes of data.
64 bytes from 194.2.0.20: icmp_seq=1 ttl=54 time=244 ms
64 bytes from 194.2.0.20: icmp_seq=2 ttl=54 time=251 ms
64 bytes from 194.2.0.20: icmp_seq=3 ttl=54 time=138 ms
— 194.2.0.20 ping statistics —
3 packets transmitted, 3 received, 0% packet loss, time 2001ms
rtt min/avg/max/mdev = 138.996/211.509/251.177/51.353 ms
Pourtant, j’ai bien l’adresse de mon serveur DNS dans /etc/resolv.conf
search
nameserver 194.2.0.20
nameserver 194.2.0.50
J’ai également une route par défaut vers mon routeur.
Est-ce que vous avez une idée ?!
Merci encore pour tout !
ccc29.
quote="ccc29"
Bah en fait, j’ai continué mes recherches et j’ai trouvé ça, pptpproxy :
mgix.com/pptpproxy/?download
Qu’est-ce que vous en pensez ?![/quote]Ou se trouve la liste des bugs/failles réfèrencées ? Quel processus de validation et de patchage fournit l’équipe du logiciel
=>c’est ce à quoi ça me fait penser…
[quote=“ccc29”][quote=“mattotop”]Petite question, ta machine a t elle qqchose de particulier, genre raid, memoire de plus d’un Go, etc ?[/quote]Non, rien de tout ça, c’est un PC tout simple…[quote=“mattotop”]y a t’il quelquechose dans /usr/src/modules ?[/quote]J’ai le répertoire /usr/src mais il n’y a rien dedans…[/quote]Parfait. Une bête install de noyau a vraiment toutes les chances de marcher direct alors.[quote=“ccc29”]Par contre, j’ai un problème qui n’a rien à voir mais qui me bloque souvent quand je veux installer des paquets avec apt-get…
Je pingue bien l’@IP de mon FAI mais il n’y a aucune résolution de noms :
Firwall:/usr/src# ping google.fr
ping: unknown host google.fr
Firwall:/usr/src# ping 194.2.0.20
PING 194.2.0.20 (194.2.0.20) 56(84) bytes of data.
64 bytes from 194.2.0.20: icmp_seq=1 ttl=54 time=244 ms
64 bytes from 194.2.0.20: icmp_seq=2 ttl=54 time=251 ms
64 bytes from 194.2.0.20: icmp_seq=3 ttl=54 time=138 ms
— 194.2.0.20 ping statistics —
3 packets transmitted, 3 received, 0% packet loss, time 2001ms
rtt min/avg/max/mdev = 138.996/211.509/251.177/51.353 ms
Pourtant, j’ai bien l’adresse de mon serveur DNS dans /etc/resolv.conf
search
nameserver 194.2.0.20
nameserver 194.2.0.50
J’ai également une route par défaut vers mon routeur.
Est-ce que vous avez une idée ?!
Merci encore pour tout !
ccc29.[/quote]que donne un nslookup ?
Tu laisse bien sortir les requètes dns et rentrer les réponses, sur le parefeu ou tu bosses ? (en plus de les laisser traverser quand ce sont des demandes des clients) ?
Enfin bon, c’est difficile de diagnostiquer. Tu as essayé de prendre d’autres dns que ceux d’oleane ?
[quote=“mattotop”]Ou se trouve la liste des bugs/failles réfèrencées ? Quel processus de validation et de patchage fournit l’équipe du logiciel
=>c’est ce à quoi ça me fait penser…[/quote]
Je n’ai pas regardé mais apparemment, c’est une solution souvent envisagée pour le nat du pptp et du gre…
Bah je pensais le faire comme ceci : apt-get upgrade pour mettre à jour… Mais ça marche pas à cause de ma résolution DNS.
Il faut le faire d’une autre façon ?!
Pas grand chose, quels arguments tu veux que je mette ?!
Oui, voila les règles pour le DNS, du FW :
iptables -A OUTPUT -o $wan -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i $wan -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -o $wan -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i $wan -p tcp --sport 53 -j ACCEPT
Non, mais je pingue le dns d’oléane mais pas google.fr !!! Le problème vient forcément de chez moi…
Merci.
ccc29.
[quote=“mattotop”]Ou se trouve la liste des bugs/failles réfèrencées ? Quel processus de validation et de patchage fournit l’équipe du logiciel
=>c’est ce à quoi ça me fait penser…[/quote]
Non, rien de tout ça mais c’est une solution qui est apparement souvent retenue pour mon problème…
Moi, je pensais faire un apt-get upgrade pour mettre à jour mais comme ma résolution de noms ne marche pas, je ne vois pas trop comment faire…
Faut que je fasse comme tu me l’as dit plus haut avec dpkg et compagnie ?!
Rien du tout… Il faut mettre des arguments précis ?!
Voila mes IPTABLES en ce qui concerne le DNS (Du FW) :
#Autoriser dns du Firewall vers l’extérieur
iptables -A OUTPUT -o $wan -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i $wan -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -o $wan -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i $wan -p tcp --sport 53 -j ACCEPT
Mais je pingue bien les DNS d’oléane, je ne vois pas pourquoi ça ne marcherait pas…
Merci !
ccc29.
Pour infos, j’ai téléchargé les sources et lancé la commande dpkg qui va bien et ça me donne ça :
Firwall:/usr/local# dpkg -i linux-image-2.6.18-3-686_2.6.18-7_i386.deb
tar: Read 1894 bytes from -
tar: Fin prématurée (EOF) rencontrée dans l’archive.
tar: Fin prématurée (EOF) rencontrée dans l’archive.
tar: Erreur non récupérable: fin de l’exécution immédiate
dpkg-deb: le sous-processus tar a retourné une erreur de sortie d’état 2
dpkg : erreur de traitement de linux-image-2.6.18-3-686_2.6.18-7_i386.deb (–install) :
le sous-processus dpkg-deb --control a retourné une erreur de sortie d’état 2
Des erreurs ont été rencontrées pendant l’exécution :
linux-image-2.6.18-3-686_2.6.18-7_i386.deb
Voila, ça marche pas… Quelle m**** !
Bon bonne soirée !
Retour des hostilitées demain !
++.
ccc29.
[quote=“ccc29”][quote=“mattotop”]Ou se trouve la liste des bugs/failles réfèrencées ? Quel processus de validation et de patchage fournit l’équipe du logiciel
=>c’est ce à quoi ça me fait penser…[/quote]
Non, rien de tout ça mais c’est une solution qui est apparement souvent retenue pour mon problème… [/quote]OK. Tu juges. Je ne connais pas.[quote=“ccc29”][quote=“mattotop”]Parfait. Une bête install de noyau a vraiment toutes les chances de marcher direct alors.[/quote]Moi, je pensais faire un apt-get upgrade pour mettre à jour mais comme ma résolution de noms ne marche pas, je ne vois pas trop comment faire…
Faut que je fasse comme tu me l’as dit plus haut avec dpkg et compagnie ?![/quote]Tu peux, mais ça n’empêche pas de solutionner tes pb de resolvers.[quote=“ccc29”][quote=“mattotop”]que donne un nslookup ?[/quote]Rien du tout… Il faut mettre des arguments précis ?![/quote]Ben oui, ça te fait entrer dans un shell. comme ftp. (man nslookup)[quote=“ccc29”]
[quote=“mattotop”]Tu laisse bien sortir les requètes dns et rentrer les réponses, sur le parefeu ou tu bosses ? (en plus de les laisser traverser quand ce sont des demandes des clients) ?[/quote]Voila mes IPTABLES en ce qui concerne le DNS (Du FW) :
#Autoriser dns du Firewall vers l’extérieur
iptables -A OUTPUT -o $wan -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i $wan -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -o $wan -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i $wan -p tcp --sport 53 -j ACCEPT
[/quote]Ben voilà. Encore un qui met une policy drop sur l’output…
Mais tu peux m’expliquer qui tu bloques à part toi ?
Quand au firewall stateful pour ce qui revient dans une transaction, ça te dit quelquechose ? connais tu le match -m state --state ESTABLISHED,RELATED ?
Enfin bon, je crois que ce n’est pas là le problême. Ca ne serait pas de l’udp, tout bêtement le dns ?
[quote=“ccc29”][quote=“mattotop”]Enfin bon, c’est difficile de diagnostiquer. Tu as essayé de prendre d’autres dns que ceux d’oleane ?[/quote]Mais je pingue bien les DNS d’oléane, je ne vois pas pourquoi ça ne marcherait pas…
Merci !
ccc29.[/quote]Parcequ’on ne sait jamais ce que font les cons. Les cons, ça ose tout. C’est même à ça qu’on reconnait…
Qu’ils soient chez FT ou dans une filiale (désolé pour ceux qui se reconnaitraient, ils n’ont qu’a dire à leurs collègues de faire preuve d’un minimum de competences).
Enfin c’est pas le pb je pense pour une fois.