Ubuntu reseau

Ubunto -> ubuntu :-)

Peux-tu nous donner les résultats des commandes :

cat /etc/network/interfaces
/sbin/ifconfig
/sbin/route -n
cat /etc/resolv.conf

Et nous dire ce que ce PC est sensé faire (en particulier, doit il faire passerelle pour les autres PC de ton réseau local)

Bonne chance

Salut,

tu as oublié cat /etc/network/interfaces

Je ne pense pas que nameserver 192.168.2.1 c'est l'IP de serveur DNS

Affiche aussi

iptables -v -L -n

Si tu as 2 cartes réseau il faut penser à la chaîne FORWARD de la table Filter

2 carte réseau sur le même pc?! - c'est bien pour un router ;)

Par exemple j'ai un pc sous linux avec 2 cartes réseau et j'utilise ce pc en tant que routeur.

lami20j

Re,

je me suis trompé pour /etc/network/interfaces, tu l'as déjà afficé mais je n'ai pas fait attention.

En revanche je ne sais pas si je saisie bien.

tu dit Mais pourquoi ça fonctionné avec Linux???

Et c'est avec quoi que ça ne fonctionne pas?

lami20j

c'est fait mais il me demande un mot de passe que je n'ai pas pour le root.
Aucune question concernant un mot de passe root m'a été demandé lors de l'installation

Re,

essaie

sudo iptables -v -L -n

lami20j

Re,

enfin tu as réussi. c'est bien.

On va commence avec la mauvaise nouvelle.
Tu n'as pas le firewall configuré. Ce qui veut dire que tout le monde peut entrer chez toi.


Maintenant qu'on est là et vu que tu es débutant (si je me trompe dit le) je pense qu'il faut expliquer un peu en détail ce que tu as es ce que tu veux faire.

Tu as combien des pc? Je te demande ça puisque tu parles d'un réseau interne.

Tu passe sur internet par un routeur, modem,...?

D'ailleurs mamiemando t'as déjà demande Et nous dire ce que ce PC est sensé faire (en particulier, doit il faire passerelle pour les autres PC de ton réseau local)

lami20j

j'admire ta patience, et pas seulement ;)
rooooh :-)

Bon on reprend je vois que vous avez beaucoup discuté :)
Alors en fait niveau pare-feu c'est vrai que c'est mieux si tu en as un mais bon on va déjà essayer de faire marcher le bazar comme ça et on mettra un pare feu apres (shorewall, iptables...).

1) Préliminaires

1)a) Au sujet du root

Et oui c'est une ubuntu donc c'est normal on fait tout avec sudo. Mais un compte root on aura beau dire c'est plus pratique. Pour tout savoir à ce sujet :
http://doc.ubuntu-fr.org/applications/sudo

Par la suite tout ce que je te fais faire est à faire en root...

1)b) Réseaux locaux

Si j'ai bien tout compris tu vas avoir deux réseaux locaux. Je te dit tout de suite qu'il serait beaucoup plus simple que tout tes PC soient directement connectés aux routeurs, d'autant plus que le PC qui fait passerelle devra être allumé pour que les autres aient accès au Net.

Ton réseau devrait au final ressembler à ca :

routeur
192.168.2.1
  |
  |
192.168.2.2 (eth0)
pc
192.168.1.1 (eth1)
  |
  |
LAN 192.168.1.*

Arrête-moi si je me suis trompée... En supposant que ce ne soit pas le cas, et que ce soit bien ce que tu veuilles faire, voici la suite...

2) Ta configuration /etc/network/interfaces

Manifestement tu n'utilises que lo, eth0 et eth1 donc tu peux commenter toutes autres interfaces qui ne feront que ralentir inutilement le démarrage de ton ubuntu :

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet dhcp

#auto eth2
#iface eth2 inet dhcp

#auto ath0
#iface ath0 inet dhcp

#auto wlan0
#iface wlan0 inet dhcp 

3) eth0 et le réseau 192.168.2.*

Ensuite mes yeux ne m'abusent eth0 récupère une ip sur le réseau 192.168.2.*. Pourquoi pas si un serveur dhcp (ton routeur ?) est présent pour ce réseau. Sinon il y a déjà un problème à ce niveau. Vu tes routes ça à l'air d'être ça puisque tu as une route par défaut (0.0.0.0) qui passe par 192.168.2.1 et que ton routeur (192.168.1.1) fait DNS.

J'imagine donc qu'à ce stade tu parviens à aller sur internet avec ce PC, est ce que tu peux me le confirmer ? Si ce n'est pas le cas, peux tu me donner le résultat des commandes :

ping -c2 192.168.2.1
nslookup www.google.fr
ping -c2 www.google.fr

4) et eth1....

La c'est pas très clair pour moi il faudrait que tu me dises quelle ip tu veux attribuer à eth1 sur ton réseau local. Ce réseau local doit commencer par 192.168 mais le 3e nombre ne doit pas être 2 puisque tu l'utilises déjà. Tu n'as qu'à mettre 1 par exemple. Supposons que l'on mette du coup pour eth1 192.168.1.1. Il faut alors corriger /etc/network/interfaces :

auto eth1
iface eth1 inet static
  address 192.168.1.1
  netmask 255.255.255.0
  network 192.168.1.0
  broadcast 192.168.1.255
  gateway 192.168.1.1

Sauve et quitte. Pour prendre ces modifications en compte :

ifconfig eth1 down
ifconfig eth1 up

A présent fait un :

/sbin/route -n

Théoriquement une route supplémentaire a dû apparaître pour ton réseau local (192.168.1.1). Si c'est bien le cas tu dois désormais pouvoir pinguer les autres PC de ton LAN et qui sont sensés avoir également une ip statique en 192.168.1.*

5) Mise en place d'un pont réseau

Si tu parviens à les pinguer c'est presque dans la poche, il ne reste plus qu'à faire un "pont réseau" entre eth0 et eth1. Et ça, ça se fait avec la commande brctl :
http://www.die.net/doc/linux/man/man8/brctl.8.html

Et pour savoir comment on fait ça il suffit de lire et de s'inspirer de ça :
http://www.fwbuilder.org/archives/cat_bridging_fw.html

Bonne chance

Re,

Pour brctl tu dois avoir le paquet bridge-utils installé

apt-get install bridge-utils

lami20j

Ben ouais t'as la partie réseau 192.168.2.* qui est en place mais ni la partie 192.168.1.* ni le pont entre les deux. Suis simplement ce que j'ai marqué la dernière fois... Au besoin redonne nous les résultats de :

/sbin/ifconfig
/sbin/route -n

Bonne chance

Il faut être en root pour modifier ce fichier. Vu que sous ubuntu tout se fait par sudo le plus simple est de créer un compte root (cf mon premier post pour voir comment faire). Ou sinon tu lances ton éditeur texte via un sudo pour avoir les droits root...

Bonne chance

Ben je peux pas te dire plus que ce qu'il y a sur le lien ! Tu as forcément oublié quelque chose en "root" si j'ose dire ;-)

Coucou,
Voilà je sais faire un ping cette fois. Un grand merci. Tu pourrais encore m'aider pour un parefeu (shorewall, iptables??
Tu es formidable.
UN TOUT GRAND MERCI

Salut,

Ce que tu vois en gras il faut modifier en fonction de ta configuration.
Le nom d'utilisateur, l'interface utiliser pour se connecter sur net, l'IP, tu peux aussi changer le nom de fichier fw_gerard.sh

Il faut ajouter ça dans un fichier /home/gerard/fw_gerard.sh par exemple

#! /bin/sh
#
# Description: configuration de firewall netfilter/iptables
#
# Initialization de la table FILTER
#
iptables -F
iptables -X
iptables -P INPUT   DROP 
iptables -P OUTPUT  DROP
iptables -P FORWARD DROP # les 3 cmd = debranchement des cables

# Initialization de la table NAT
#
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING    ACCEPT
iptables -t nat -P POSTROUTING   ACCEPT
iptables -t nat -P OUTPUT        ACCEPT
#
# Initialisation de la table MANGLE
#
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING    ACCEPT
iptables -t mangle -P INPUT         ACCEPT
iptables -t mangle -P OUTPUT        ACCEPT
iptables -t mangle -P FORWARD       ACCEPT
iptables -t mangle -P POSTROUTING   ACCEPT

# interface lo
iptables -A INPUT -i lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT
iptables -A OUTPUT -o lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT

#                            table FILTER

iptables -A INPUT -i eth0 -d xxx.xxx.xxx.xxx -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT

Une fois le fichier créer voilà les manipulations à suivre en tant que root

chmod -v 0755 /home/gerard/fw_gerard.sh
echo "/home/gerard/fw_gerard.sh" >> /etc/init.d/rc.local
chmod -v 0744 /etc/init.d/rc.local
update-rc.d rc.local start 99 2 3 4 5 .
/etc/init.d/rc.local

Au prochain rédemarrage tu n'auras rien à taper, le firewall sera configurer.

lami20j

P.S c'est un firewall minimal dans le sens que tu peux aller où tu veux et personne ne peut entrer chez toi.

Après il faut adapter la configuration en fonction de tes besoins (serveurs ftp, web, ssh,....)
Si tu n'est qu'un utilisateur qui va surfer sur net sans avoir besoin de serveurs alors ce firewall est suffisant.

Il y a pour linux des frontends pour administrer le firewall

regarde ici
linux installation d un firewall
securite mandriva parametrage shorewall

lami20j

P.S. Les choses peuvent se compliquer dans ton cas, si tu veux utiliser ton pc en tant que routeur vu que tu as 2 carte réseau

Il faut configurer pour ça le forwarding, la chaîne FORWARD de la table Filter et la table NAT

encore une chose STP puis je vais te laisser car je veux surtout pas t'ennuyer. Tu m'as dejà tres bien aidé. les 'XX' sont l'adresse IP de ETH1(reseau interne ou l'adresse reseau ou une autre adresse?
2) comment voir si mon firewall fonctionne? A parement il fonctionne car je ne sais plus faire de ping de UBUNTIO vers mon portable.
3) connas tu un bon antivirus pour UBUNTO?
Encore un grand merci

encore une petite chose. mon portable ne parvient pas à ce connecter sur le net via ubuntu et pourta,t j'ai rajoué ' echo 1 > /proc/sys/net/ipv4/ip_forward

Salut,

je veux surtout pas t'ennuyer
Ca c'est faux ;)

comment voir si mon firewall fonctionne?

la commande iptables -v -L -n t'affiche ce que ton firewall filtre

mon portable ne parvient pas à ce connecter sur le net via ubuntu et pourta,t j'ai rajoué ' echo 1 > /proc/sys/net/ipv4/ip_forward

comme je t'ai dit dans mes messages précedentes si tu veux te connecter sur net via un pc (ton cas ubuntu) alors Il faut configurer pour ça le forwarding, la chaîne FORWARD de la table Filter et la table NAT

lami20j

Voilà mon cas.

		  web
 	 	   |

      		freebox

		   |

      	routeur Netgear:10.0.0.254

	 	   |

      		debian
     (passerelle défaut: 10.0.0.254)
	  DNS1:212.27.32.xxx
	  DNS2:212.27.32.yyy

     |                           |

eth0:10.0.0.2/24 (wan)  eth1:192.168.1.1/24 (LAN)

                                |

			      WinXP

				|

			   Lan:192.168.1.2 
		  (passerelle défaut: 10.0.0.254)
			DNS1:212.27.32.xxx
			DNS2:212.27.32.yyy

Et voilà mon firewall (donc win va sur net via debian) - à adapter dans ton cas

#! /bin/sh
#
# Description: configuration de firewall netfilter/iptables
#
# Initialization de la table FILTER
#
iptables -F
iptables -X
iptables -P INPUT   DROP 
iptables -P OUTPUT  DROP
iptables -P FORWARD DROP # les 3 cmd presque la debranchement des cables

# Initialization de la table NAT
#
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING    ACCEPT
iptables -t nat -P POSTROUTING   ACCEPT
iptables -t nat -P OUTPUT        ACCEPT
#
# Initialisation de la table MANGLE
#
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING    ACCEPT
iptables -t mangle -P INPUT         ACCEPT
iptables -t mangle -P OUTPUT        ACCEPT
iptables -t mangle -P FORWARD       ACCEPT
iptables -t mangle -P POSTROUTING   ACCEPT

# interface lo
iptables -A INPUT -i lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT
iptables -A OUTPUT -o lo -s '0.0.0.0/0' -d '0.0.0.0/0' -j ACCEPT

#                            table FILTER

# chaine INPUT
iptables -A INPUT -i eth0 -d 10.0.0.2 -m state --state ESTABLISHED,RELATED -j ACCEPT



# chaine FORWARD
iptables -A FORWARD -i eth0 -o eth1 -s 0.0.0.0/0 -d 192.168.1.2 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -s 192.168.1.2 -d 10.0.0.0/0 -m state --state ! INVALID -j ACCEPT


# chaine OUTPUT
iptables -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT
iptables -A OUTPUT -o eth1 -m state --state ! INVALID -j ACCEPT

#                        table NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.2 -j SNAT --to-source 10.0.0.2

Pour ne pas être obligé de récrire ça
echo 1 > /proc/sys/net/ipv4/ip_forward tu as 2 posibilités :

- écrire cette ligne dans /etc/init.d/rc.local
- ajouter dans le fichier /etc/sysctl.conf la ligne

net.ipv4.ip_forward=1

lami20j

Re,

essaie de respecter les étapes que je t'ai écrit dans ubuntu reseau#30

aussi de compredre la structure de ma config.

ensuite tu n'as qu'à adapter.

Bien sûr je ne t'ai pas donné la configuration complète de mon netfilter mais t'as le minimum pour pouvoir te connecter et être protegé (c'est une configuration minimale pour un client net)

lami20j

Salut,
C'est vrai que je t'avais dis que je ne t'ennuirais plus, mais j'ai oublié une question à te poser tout à l'heure (sourire....). Mon firewall ne se lance pas au démarrage, c'est ça le probleme. SNIFFFF

ls -l /etc/init.d/rc.local
-rwxr-xr-x 1 root root 546 2006-08-13 18:32 /etc/init.d/rc.local

find /etc/rc* -name '*rc.local'

/etc/rc2.d/S99rc.local
/etc/rc3.d/S99rc.local
/etc/rc4.d/S99rc.local
/etc/rc5.d/S99rc.local
/etc/rc.local


cat /etc/init.d/rc.local

#! /bin/sh

PATH=/sbin:/bin:/usr/sbin:/usr/bin
[ -f /etc/default/rcS ] && . /etc/default/rcS
. /lib/lsb/init-functions

do_start() {
if [ -x /etc/rc.local ]; then
log_begin_msg "Running local boot scripts (/etc/rc.local)"
/etc/rc.local
log_end_msg $?
fi
}

case "$1" in
start)
do_start
;;
restart|reload|force-reload)
echo "Error: argument '$1' not supported" >&2
exit 3
;;
stop)
;;
*)
echo "Usage: $0 start|stop" >&2
exit 3
;;
esac
/etc/init.d/firewall_sh

Re,

affiche aussi

find / -name 'firewall_sh'

lami20j