[debian] reseaux, intenet domaine [Résolu]

djibril · 17/04/2007, 05h59

Salut,
Je ne sais pas trop par quoi commencer, mais je suis dans la mouise.
Tout à commencer par le fait que je voulais installer apache-ssl sur un serveur du boulot, le seul vu de l'extérieur et j'avais pleins de messages d'erreur.
Malgré des apt-get update, apt-get upgrade etc, rien à faire! Ensuite j'avais des conflits de dépendances, etc, bref le merdier. Je ne sais pas comment mais les packages libc6, kernel je sais plus quoi ont été désinstallés.
Du coup impossible d'installer quoique ce soit; J'ai eu le malheur de rebooter l'ordi et là impossible de refaire marcher le serveur, c'est le panic kernel.
Donc obliger de réinstaller linux

. C'est la catastrophe car sur ce serveur, y avait le serveur mail et le site web du boulot => donc tout est out.
J'essaye maintenant de réinstaller debian dessus mais je me heurte à 30 milliards de problèmes et je n’y arrive pas.
Je tiens à préciser que j’ai déjà installer Debian pour plus d’une 15 de serveurs sans soucis.
Avant de vous expliquer mes soucis, je tiens qd même de vous expliquer le fonctionnement du réseau (pour peu de ce que j’ai compris, car je n’était pas présent à la mise en place de novo du réseau).
Alors il y a un serveur que j’appellerais « secure » sur lequel il y a un firewall. Ce dernier possède 4 eth.

Citation:

Eth0 a l’ip 193.xx.xx.xx => est vu de l’extérieur. Je pense qu’il est fourni par la FAC.
Eth1 192.168.100.254 => relier au mur
Eth2 192.168.101.254 => relier à rien
Eth3 192.168.102.254 => relier au serveur out (dmz2)

Le serveur qui est out avait pour adresse IP 192.168.102.10 en eth0 et possède deux eth, mais eth1 ne possède rien.
Son resolv.conf était le suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
search toto-titi.univ-xxxx.fr
nameserver 129.xx.yyy.zz
nameserver 129.xx.yyy.ww

son fichier interfaces /etc/network/interfaces. Est le suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
# The loopback interface
auto lo
iface lo inet loopback
 
# The first network card - this entry was created during the Debian installation
# (network, broadcast and gateway are optional)
auto eth0
iface eth0 inet static
        address 192.168.102.10
        netmask 255.255.255.0
        #network 193.xx.xx.xx
        broadcast 192.168.102.255
        gateway 192.168.102.254

Sinon tous les autres serveurs de mon réseau ont pour adresse IP 192.168.100.xxx. Parmi eux, un possède un dhcp et DNS et il distribue donc les IP à tout nouveau serveur connecté au switch ou dans un bureau.

Si j’ai bien compris, la connexion internet provient de ce serveur dhcp qui le récupère sur le serveur « secure » qui le récupère à la FAC. D’ailleurs sur ce serveur dhcp, j’ai bien dans le fichier /etc/bind/named.conf une ligne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
    forwarders {
     129.xx.yyy.zz;
     129.xx.yyy.ww;
} ;

Juste que là, je ne raconte pas de conneries ??

Vu qu’il n’y a pas de dhcp et dns sur le serveur « secure », je me suis dit que debian avait dû être installé sur le serveur out de manière manuel (pour la configuration des IP et autres).
Donc je répète, ce serveur est uniquement relié au serveur « secure ».
J’ai donc pris mon CD d’installation de debian sarge 3.1 que j’utilise d’habitude.
1) Apres un boot dessus, il ne trouve pas de dhcp, donc je me suis dit que c’est normal. Je choisi de rentrer mes données réseaux à la main.
Je rentre donc les deux IP nameserver que je dispose 129.xx.yyy.zz et 129.xx.yyy.ww.
Je donne pour domaine toto-titi.univ-xxxx.fr.
Le problème est qu’au niveau des apt-get, il ne trouve pas internet dans impossible de charger les packages sources   et autres.
Et quand j’ouvre un shell, il n’est reconnu par aucune machine du réseau. Si je fais
ping 192.168.102.254, il ne trouve rien pourtant c’est censé être la passerelle. Aidez moi, je suis vraiment largué et suis dans la merde (plus de site web et mails) pour la société.
Du coup je n’arrive pas à installer debian.

2) j’ai voulu essayer autrement en reliant ce serveur au serveur dhcp du réseau également, histoire de pouvoir installer debian.
Au boot du CD d’install, Il m’a bien détecté le dhcp et a obtenu une IP 192.168.100.98.
Mais je n’arrive toujours pas à installer correctement debian. J’ai toujours des messages d’erreurs comme quoi il va enlever base-config, kernel etc
pendant qu'il fait les test d'apt (après avoir choisi http, ftp2.fr.debian.org)
j’obtiens ceci :

Citation:

preconfiguration des paquets ...
(lecture de la base de données ... 10115 fichiers et répertoire déjà installé.)
suppression de base-config
suppression de kernel-image-2.4.27-2-386 ...

your running a kernel (version 2.4.27-2-386) and attempting to remove the same version. this is a potentially disastrous action. Not only will /boot/vmlinuz-2.4.27-2-386 be removed, making it impossible to boot it, (you will have to take action to change your boot loader to boot a new kernel), it will also remove all modules under the directory /lib/modules/2.4.27-2-386. Just having a copy of the kernel image is not enough, you will have to replace the modules too.

I repeat, this is very dangerous.....................;
..............
Remove the running kernel image (not recommended) [No]?

j'ai dit No
et là j'ai pleins de message d'erreur, pas le temps de lire qu'il me met sur la page de sélection des logiciels debian.
j'ai choisi "choix manuel des paquets"
Mais après j'ai une fenêtre "configuration du système de base de debian" où il me dit qu'un problème a été rencontré lors de l'installation des logiciels, etc etc.....
il me dit que certains paquets n'ont pas pu être installé correctement

bref je sais plus quoi faire, je viens de passer la nuit dessus et je désespère.

Malgré ces erreurs j’essaye de continuer.
Une fois sur une console, j’ai installé ssh et j’ai copie le fichier resolv.conf, hosts et le fichier interfaces que j’avais en sauvegarde pour les mettre à la place des nouveaux. Et là rebolote, je n’ai plus accès à internet et ne plus rien installer.

!!

gorgonite · 17/04/2007, 10h23

la gestion des dépendances d'apt... un gros bug de logique à la base

commençons par le réseau :

es-tu sur que le cable réseau fonctionne bien entre ta machine et ton serveur dhcp... parce que ça c'est louche

ensuite, as-tu pensé à indiquer la passerelle (via la commande route) ?

ps: pitié pas 5 problèmes dans le même post... on va tout mélanger

djibril · 17/04/2007, 10h50

Ah lala gorgonite toujours là pour me sauver.
CC'est juste que je suis en panique et que j'ai passé ma nuit au boulot sans trouver la soluce

Citation:

Envoyé par gorgonite

la gestion des dépendances d'apt... un gros bug de logique à la base

Ouais c'est ce que je vois

Citation:

Envoyé par gorgonite

commençons par le réseau :

Ok

Citation:

Envoyé par gorgonite

es-tu sur que le cable réseau fonctionne bien entre ta machine et ton serveur dhcp... parce que ça c'est louche

Déjà, le serveur normalement n'était pas relié au dhcp mais au serveur que j'ai appelé "secure". j'ai même changé de cable pour tester au cas ou, mais ça ne marche qd même pas.

Citation:

Envoyé par gorgonite

ensuite, as-tu pensé à indiquer la passerelle (via la commande route) ?

dans les fichiers de sauvegarde que j'avais, la passerelle etait bien 192.168.102.254.
j'ai même essayé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
route del default gw 192.168.102.254
route add default gw 192.168.102.254
/etc/init.d/network restart

sans succés.
et ce que je trouve bizarre, c'est que ping 192.168.102.254 fonctionne pas

gorgonite · 17/04/2007, 10h58

si tu tapes

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

route

ça devrait te répondre cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
128.178.73.0    *               255.255.255.0   U     0      0        0 eth0
default         c6-ic-dit-1-v73 0.0.0.0         UG    0      0        0 eth0

ou le nom des machines correspondantes

nb: /etc/init.d/network après le route add va tout casser

djibril · 17/04/2007, 11h03

si je tape route sur le serveur j'ai :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
192.168.102.0    *               255.255.255.0   U     0      0        0 eth0
default        192.168.102.254        UG    0      0        0 eth0

et ça rame à mort avant d'afficher la ligne default (environ 15 secondes)

sur le serveur secure, en tapant route, j'ai ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
kernel IP routing table
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
localnet    *               255.255.255.240   U     0      0        0 eth0
192.168.100.0    *               255.255.255.0   U     0      0        0 eth1
192.168.101.0    *               255.255.255.0   U     0      0        0 eth2
192.168.102.0    *               255.255.255.0   U     0      0        0 eth3
default        msg-gw-proteom 0.0.0.0        UG    0      0        0 eth0

voilà

djibril · 17/04/2007, 13h44

toujours sur secure, voici le resultat de ifconfig :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
eth0      Link encap:Ethernet  HWaddr **:**:**:**:**:**
          inet addr:193.52.12.33  Bcast:193.**.**.**  Mask:255.255.255.240
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:45983 errors:0 dropped:0 overruns:1 frame:0
          TX packets:33076 errors:0 dropped:0 overruns:0 carrier:30902
          collisions:0 txqueuelen:100
          RX bytes:36891632 (35.1 MiB)  TX bytes:5876514 (5.6 MiB)
          Interrupt:20 Base address:0xec00
 
eth1      Link encap:Ethernet  HWaddr **:**:**:**:**:**
          inet addr:192.168.100.254  Bcast:192.168.100.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:38907 errors:0 dropped:0 overruns:0 frame:0
          TX packets:42411 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:6494728 (6.1 MiB)  TX bytes:36588925 (34.8 MiB)
          Interrupt:23 Base address:0x9000
 
eth2      Link encap:Ethernet  HWaddr **:**:**:**:**:**
          inet addr:192.168.101.254  Bcast:192.168.101.255  Mask:255.255.255.0
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:25 Base address:0xb000
 
eth3      Link encap:Ethernet  HWaddr **:**:**:**:**:**
          inet addr:192.168.102.254  Bcast:192.168.102.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2511 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 b)  TX bytes:105462 (102.9 KiB)
          Interrupt:27 Base address:0xd000
 
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1161 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1161 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:89672 (87.5 KiB)  TX bytes:89672 (87.5 KiB)

Voilà si ça peut aider quelqu'un à m'aider

gorgonite · 17/04/2007, 13h49

et iptables -L sur secure donne quoi ?

djibril · 17/04/2007, 13h54

Citation:

Envoyé par gorgonite

et iptables -L sur secure donne quoi ?

Je ne m'y connais pas du tout en iptables, alors voici ce que ça donne :

Citation:

Chain INPUT (policy DROP)
target prot opt source destination
LOG_DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
WEB-FW all -- anywhere anywhere
LAN-FW all -- anywhere anywhere
DMZ1-FW all -- anywhere anywhere
DMZ2-FW all -- anywhere anywhere
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
LOG_DROP all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
LOG_DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LAN-WEB all -- anywhere anywhere
LAN-DMZ1 all -- anywhere anywhere
LAN-DMZ2 all -- anywhere anywhere
DMZ1-LAN all -- anywhere anywhere
DMZ1-WEB all -- anywhere anywhere
DMZ2-LAN all -- anywhere anywhere
DMZ2-WEB all -- anywhere anywhere
WEB-LAN all -- anywhere anywhere
WEB-DMZ1 all -- anywhere anywhere
WEB-DMZ2 all -- anywhere anywhere
DMZ1-DMZ2 all -- anywhere anywhere
DMZ2-DMZ1 all -- anywhere anywhere
LOG_DROP all -- anywhere anywhere

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
LOG_DROP all -- anywhere anywhere

Chain DMZ1-DMZ2 (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
LOG_DROP all -- anywhere anywhere

Chain DMZ1-FW (1 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:rsync
ACCEPT tcp -- anywhere anywhere tcp spt:www
ACCEPT tcp -- anywhere anywhere tcp spt:9999
LOG_DROP_SMB tcp -- anywhere 192.168.101.255 tcp dpt:netbios-ns
LOG_DROP_SMB tcp -- anywhere 192.168.101.255 tcp dpt:netbios-dgm
LOG_DROP_SMB tcp -- anywhere 192.168.101.255 tcp dpt:netbios-ssn
LOG_DROP_SMB tcp -- anywhere 192.168.101.255 tcp dpt:445
LOG_DROP_SMB udp -- anywhere 192.168.101.255 udp dpt:netbios-ns
LOG_DROP_SMB udp -- anywhere 192.168.101.255 udp dpt:netbios-dgm
LOG_DROP_SMB udp -- anywhere 192.168.101.255 udp dpt:netbios-ssn
LOG_DROP_SMB udp -- anywhere 192.168.101.255 udp dpt:445
LOG_TEST all -- anywhere anywhere

Chain DMZ1-LAN (1 references)
target prot opt source destination
LOG_DROP_SMB tcp -- anywhere anywhere tcp dpt:netbios-ns
LOG_DROP_SMB tcp -- anywhere anywhere tcp dpt:netbios-dgm
LOG_DROP_SMB tcp -- anywhere anywhere tcp dpt:netbios-ssn
LOG_DROP_SMB tcp -- anywhere anywhere tcp dpt:445
LOG_DROP_SMB udp -- anywhere anywhere udp dpt:netbios-ns
LOG_DROP_SMB udp -- anywhere anywhere udp dpt:netbios-dgm
LOG_DROP_SMB udp -- anywhere anywhere udp dpt:netbios-ssn
LOG_DROP_SMB udp -- anywhere anywhere udp dpt:445

Chain DMZ1-WEB (1 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:imap2
ACCEPT tcp -- anywhere anywhere tcp dpt:imap3
ACCEPT tcp -- anywhere anywhere tcp dpt:imaps
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:rsync
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:ntp
ACCEPT tcp -- anywhere anywhere tcp dpt:rsync
ACCEPT tcp -- anywhere anywhere tcp spt:9999
ACCEPT tcp -- anywhere anywhere tcp dpt:webcache
ACCEPT tcp -- anywhere anywhere tcp dpt:8149
ACCEPT tcp -- anywhere anywhere tcp dpt:8152
ACCEPT tcp -- anywhere anywhere tcp dpt:8164
ACCEPT tcp -- anywhere anywhere tcp dpt:8170
LOG_DROP all -- anywhere anywhere

Chain DMZ2-DMZ1 (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:auth
LOG_DROP all -- anywhere anywhere

Chain DMZ2-FW (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:auth
LOG_DROP all -- anywhere anywhere

Chain DMZ2-LAN (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data

Chain DMZ2-WEB (1 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:imap2
ACCEPT tcp -- anywhere anywhere tcp dpt:imap3
ACCEPT tcp -- anywhere anywhere tcp dpt:imaps
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:rsync
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:auth
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:ntp
LOG_DROP all -- anywhere anywhere

Chain LAN-DMZ1 (1 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:ldap
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:rsync
ACCEPT tcp -- anywhere anywhere tcp dpt:81
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:mysql
ACCEPT tcp -- anywhere anywhere tcp dpt:9999
ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ns
ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-dgm
ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ssn
ACCEPT tcp -- anywhere anywhere tcp dpt:445
ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns
ACCEPT udp -- anywhere anywhere udp dpt:netbios-dgm
ACCEPT udp -- anywhere anywhere udp dpt:netbios-ssn
ACCEPT udp -- anywhere anywhere udp dpt:445
LOG_DROP all -- anywhere anywhere

Chain LAN-DMZ2 (1 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:rsync
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:imap2
ACCEPT tcp -- anywhere anywhere tcp dpt:imap3
ACCEPT tcp -- anywhere anywhere tcp dpt:imaps
LOG_DROP all -- anywhere anywhere

Chain LAN-FW (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
DROP udp -- anywhere anywhere udp spt:bootpc
ACCEPT icmp -- anywhere anywhere
DROP tcp -- anywhere anywhere tcp dpt:netbios-ns
DROP tcp -- anywhere anywhere tcp dpt:netbios-dgm
DROP tcp -- anywhere anywhere tcp dpt:netbios-ssn
DROP tcp -- anywhere anywhere tcp dpt:445
DROP udp -- anywhere anywhere udp dpt:netbios-ns
DROP udp -- anywhere anywhere udp dpt:netbios-dgm
DROP udp -- anywhere anywhere udp dpt:netbios-ssn
DROP udp -- anywhere anywhere udp dpt:445
LOG_DROP all -- anywhere anywhere

Chain LAN-WEB (1 references)
target prot opt source destination
LOG_DROP_TROJAN tcp -- anywhere anywhere tcp dpt:8888
LOG_DROP_TROJAN tcp -- anywhere anywhere tcp dpt:1863
LOG_DROP_TROJAN udp -- anywhere anywhere udp dpt:4000
LOG_DROP_TROJAN tcp -- anywhere anywhere tcp dpt:5190
LOG_DROP_TROJAN tcp -- anywhere anywhere tcp dpt:7597
LOG_ACCEPT_SMTP tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT all -- anywhere anywhere

Chain LOG_ACCEPT (0 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level debug prefix `[DIVERS ACCEPT] : '
ACCEPT all -- anywhere anywhere

Chain LOG_ACCEPT_SMTP (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere

Chain LOG_DROP (17 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level debug prefix `[DIVERS DROP] : '
DROP all -- anywhere anywhere

Chain LOG_DROP_SMB (24 references)
target prot opt source destination
DROP all -- anywhere anywhere

Chain LOG_DROP_TROJAN (11 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level debug prefix `[TROJAN DROP] : '
DROP all -- anywhere anywhere

Chain LOG_TEST (1 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level debug prefix `[TEST DROP] : '
DROP all -- anywhere anywhere

Chain WEB-DMZ1 (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:rsync
LOG_DROP all -- anywhere anywhere

Chain WEB-DMZ2 (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:rsync
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:imap2
ACCEPT tcp -- anywhere anywhere tcp dpt:imap3
ACCEPT tcp -- anywhere anywhere tcp dpt:imaps
LOG_DROP all -- anywhere anywhere

Chain WEB-FW (1 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:auth
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:rsync
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
LOG_DROP_SMB tcp -- anywhere anywhere tcp dpt:netbios-ns
LOG_DROP_SMB tcp -- anywhere anywhere tcp dpt:netbios-dgm
LOG_DROP_SMB tcp -- anywhere anywhere tcp dpt:netbios-ssn
LOG_DROP_SMB tcp -- anywhere anywhere tcp dpt:445
LOG_DROP_SMB udp -- anywhere anywhere udp dpt:netbios-ns
LOG_DROP_SMB udp -- anywhere anywhere udp dpt:netbios-dgm
LOG_DROP_SMB udp -- anywhere anywhere udp dpt:netbios-ssn
LOG_DROP_SMB udp -- anywhere anywhere udp dpt:445
LOG_DROP_TROJAN tcp -- anywhere anywhere tcp dpt:8888
LOG_DROP_TROJAN tcp -- anywhere anywhere tcp dpt:1214
LOG_DROP_TROJAN tcp -- anywhere anywhere tcp dpt:1863
LOG_DROP_TROJAN udp -- anywhere anywhere udp dpt:4000
LOG_DROP_TROJAN tcp -- anywhere anywhere tcp dpt:5190
LOG_DROP_TROJAN tcp -- anywhere anywhere tcp dpt:7597
LOG_DROP all -- anywhere anywhere

Chain WEB-LAN (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpts:1024:65535 flags:!SYN,RST,ACK/SYN
ACCEPT udp -- anywhere anywhere udp dpts:1024:65535
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG_DROP all -- anywhere anywhere

Et voici les du script qui genere cela :

Citation:

######################################################################
# Variables Globales
#
IPTABLES=/sbin/iptables
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
########################
# INTERFACES
# Interface LOOPBACK
LOOPIF="lo"
# Interface internet
EXTIF="eth0"
# Interface LAN
LANIF="eth1"
# Interface DMZ1
DMZ1IF="eth2"
# Interface DMZ2
DMZ2IF="eth3"

########################
# RESEAUX
# Tout le monde
ANY="0.0.0.0/0"
# Reseaux Internet
INTERNET="193.52.12.33"
INTERNETBROAD="193.52.xx.xxx"
INTERNETGATEWAY="193.52.xx.x/xx"
# Reseaux LAN
LAN="192.168.100.0/24"
LANBROAD="192.168.100.255"
LANGATEWAY="192.168.100.254/24"
# Reseaux DMZ1
DMZ1="192.168.101.0/24"
DMZ1BROAD="192.168.101.255"
DMZ1GATEWAY="192.168.101.254/24"
# Reseaux DMZ2
DMZ2="192.168.102.0/24"
DMZ2BROAD="192.168.102.255"
DMZ2GATEWAY="192.168.102.254/24"
# Broadcast global
BROADCAST="255.255.255.255"

###########################
# MACHINES
# Loopback
LOOPBACK="127.0.0.1"
# Machine www
WWW="192.168.102.10"
# SMTP interne
SMTPINT="192.168.102.10"
# SMTP externe
SMTPEXT="193.52.12.33"

############################
# PORTS
# Ports hauts
HIGHPORTS="1024:65535"

en esperant que ça t'aide, merci!

gorgonite · 17/04/2007, 13h58

trop long... ça donne quoi pour icmp et pour tcp/53 et udp/53 ?

djibril · 17/04/2007, 14h00

Citation:

Envoyé par gorgonite

trop long... ça donne quoi pour icmp et pour tcp/53 et udp/53 ?

c quoi la commande à faire?

gorgonite · 17/04/2007, 14h11

le script que tu as donné est incorrect

il faut qu'il ressemble à cela

http://gorgonite.developpez.com/tuto...isations#LII-6

djibril · 17/04/2007, 14h14

je ne t'ai pas mis tout le script. Il est tres long et fait 531 lignes.
C'est pas moi qui l'ai ecrit car je n'y connais rien.
si tu veux, je te le met en entier, ok??

djibril · 17/04/2007, 14h27

iptables -p tcp --dport 53
iptables -p udp --dport 53

marche pas, c'est du chinois pour moi tout ça.

gorgonite · 17/04/2007, 14h31

je te demande les lignes qui commencent par cela dans le script

djibril · 17/04/2007, 14h36

Citation:

Envoyé par gorgonite

je te demande les lignes qui commencent par cela dans le script

ah ok?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
HIGHPORTS="1024:65535"
$IPTABLES -A DMZ1-WEB -p tcp --dport 53 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p udp --dport 53 -j ACCEPT
$IPTABLES -A DMZ2-WEB -p tcp --dport 53 -j ACCEPT
$IPTABLES -A DMZ2-WEB -p udp --dport 53 -j ACCEPT

gorgonite · 17/04/2007, 14h39

et que valent DMZ*-WEB ?

djibril · 17/04/2007, 14h43

Citation:

Envoyé par gorgonite

et que valent DMZ*-WEB ?

bonne question, je sais pas trop. Tiens si ça peut t'aider :
cat firewall-start | grep WEB

Citation:

$IPTABLES -N LAN-WEB
$IPTABLES -N WEB-LAN
$IPTABLES -N WEB-DMZ1
$IPTABLES -N WEB-DMZ2
$IPTABLES -N WEB-FW
$IPTABLES -N DMZ1-WEB
$IPTABLES -N DMZ2-WEB
$IPTABLES -A INPUT -i $EXTIF -j WEB-FW
$IPTABLES -A FORWARD -i $LANIF -o $EXTIF -j LAN-WEB
$IPTABLES -A FORWARD -i $DMZ1IF -o $EXTIF -j DMZ1-WEB
$IPTABLES -A FORWARD -i $DMZ2IF -o $EXTIF -j DMZ2-WEB
$IPTABLES -A FORWARD -i $EXTIF -o $LANIF -j WEB-LAN
$IPTABLES -A FORWARD -i $EXTIF -o $DMZ1IF -j WEB-DMZ1
$IPTABLES -A FORWARD -i $EXTIF -o $DMZ2IF -j WEB-DMZ2
# LAN VERS WEB #
echo " - Mise en place des regles entre LAN et WEB"
$IPTABLES -A LAN-WEB -p tcp --dport 8888 -j LOG_DROP_TROJAN
#$IPTABLES -A LAN-WEB -p tcp --dport 1214 -j LOG_DROP_TROJAN
#$IPTABLES -A LAN-WEB -p tcp -s 192.168.100.25 --dport 1863 -j ACCEPT
$IPTABLES -A LAN-WEB -p tcp --dport 1863 -j LOG_DROP_TROJAN
$IPTABLES -A LAN-WEB -p udp --dport 4000 -j LOG_DROP_TROJAN
$IPTABLES -A LAN-WEB -p tcp --dport 5190 -j LOG_DROP_TROJAN
$IPTABLES -A LAN-WEB -p tcp --dport 7597 -j LOG_DROP_TROJAN
$IPTABLES -A LAN-WEB -p tcp --dport 25 -j LOG_ACCEPT_SMTP
$IPTABLES -A LAN-WEB -j ACCEPT
# WEB VERS LAN #
echo " - Mise en place des regles entre WEB et LAN"
$IPTABLES -A WEB-LAN -p tcp ! --syn --dport $HIGHPORTS -j ACCEPT
$IPTABLES -A WEB-LAN -p udp --dport $HIGHPORTS -j ACCEPT
$IPTABLES -A WEB-LAN -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A WEB-LAN -j LOG_DROP
# WEB VERS FW #
echo " - Mise en place des regles entre WEB et FW"
$IPTABLES -A WEB-FW -p icmp -j ACCEPT
$IPTABLES -A WEB-FW -p tcp --dport 25 -j ACCEPT
$IPTABLES -A WEB-FW -p tcp --dport 113 -j ACCEPT
$IPTABLES -A WEB-FW -p tcp --dport 80 -j ACCEPT
$IPTABLES -A WEB-FW -p tcp --dport 873 -j ACCEPT
$IPTABLES -A WEB-FW -p tcp --dport 25 -j ACCEPT
$IPTABLES -A WEB-FW -p tcp --dport 22 -j ACCEPT
$IPTABLES -A WEB-FW -p tcp --dport 137 -j LOG_DROP_SMB
$IPTABLES -A WEB-FW -p tcp --dport 138 -j LOG_DROP_SMB
$IPTABLES -A WEB-FW -p tcp --dport 139 -j LOG_DROP_SMB
$IPTABLES -A WEB-FW -p tcp --dport 445 -j LOG_DROP_SMB
$IPTABLES -A WEB-FW -p udp --dport 137 -j LOG_DROP_SMB
$IPTABLES -A WEB-FW -p udp --dport 138 -j LOG_DROP_SMB
$IPTABLES -A WEB-FW -p udp --dport 139 -j LOG_DROP_SMB
$IPTABLES -A WEB-FW -p udp --dport 445 -j LOG_DROP_SMB
$IPTABLES -A WEB-FW -p tcp --dport 8888 -j LOG_DROP_TROJAN
$IPTABLES -A WEB-FW -p tcp --dport 1214 -j LOG_DROP_TROJAN
$IPTABLES -A WEB-FW -p tcp --dport 1863 -j LOG_DROP_TROJAN
$IPTABLES -A WEB-FW -p udp --dport 4000 -j LOG_DROP_TROJAN
$IPTABLES -A WEB-FW -p tcp --dport 5190 -j LOG_DROP_TROJAN
$IPTABLES -A WEB-FW -p tcp --dport 7597 -j LOG_DROP_TROJAN
$IPTABLES -A WEB-FW -j LOG_DROP
# WEB VERS DMZ1 #
echo " - Mise en place des regles entre WEB et DMZ1"
$IPTABLES -A WEB-DMZ1 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A WEB-DMZ1 -p tcp --dport 873 -j ACCEPT
$IPTABLES -A WEB-DMZ1 -j LOG_DROP
# WEB VERS DMZ2 #
echo " - Mise en place des regles entre WEB et DMZ2"
$IPTABLES -A WEB-DMZ2 -p tcp --dport 25 -j ACCEPT
$IPTABLES -A WEB-DMZ2 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A WEB-DMZ2 -p tcp --dport 873 -j ACCEPT
$IPTABLES -A WEB-DMZ2 -p tcp --dport 110 -j ACCEPT
$IPTABLES -A WEB-DMZ2 -p tcp --dport 143 -j ACCEPT
$IPTABLES -A WEB-DMZ2 -p tcp --dport 220 -j ACCEPT
$IPTABLES -A WEB-DMZ2 -p tcp --dport 993 -j ACCEPT
#$IPTABLES -A WEB-DMZ2 -p tcp -s $PARIS --dport 110 -j ACCEPT
$IPTABLES -A WEB-DMZ2 -j LOG_DROP
# DMZ1-WEB #
echo " - Mise en place des regles entre DMZ1 et WEB"
$IPTABLES -A DMZ1-WEB -p icmp -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 25 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 20 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 21 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 22 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 110 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 143 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 220 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 993 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 80 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 873 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 443 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 53 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p udp --dport 53 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p udp --dport 123 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 873 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --sport 9999 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 8080 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 8149 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 8152 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 8164 -j ACCEPT
$IPTABLES -A DMZ1-WEB -p tcp --dport 8170 -j ACCEPT
$IPTABLES -A DMZ1-WEB -j LOG_DROP
# DMZ2-WEB #
echo " - Mise en place des regles entre DMZ2 et WEB"
$IPTABLES -A DMZ2-WEB -p icmp -j ACCEPT
$IPTABLES -A DMZ2-WEB -p tcp --dport 21 -j ACCEPT
$IPTABLES -A DMZ2-WEB -p tcp --dport 25 -j ACCEPT
$IPTABLES -A DMZ2-WEB -p tcp --dport 110 -j ACCEPT
$IPTABLES -A DMZ2-WEB -p tcp --dport 143 -j ACCEPT
$IPTABLES -A DMZ2-WEB -p tcp --dport 220 -j ACCEPT
$IPTABLES -A DMZ2-WEB -p tcp --dport 993 -j ACCEPT
$IPTABLES -A DMZ2-WEB -p tcp --dport 80 -j ACCEPT
$IPTABLES -A DMZ2-WEB -p tcp --dport 873 -j ACCEPT
$IPTABLES -A DMZ2-WEB -p tcp --dport 53 -j ACCEPT
$IPTABLES -A DMZ2-WEB -p tcp --dport 113 -j ACCEPT
$IPTABLES -A DMZ2-WEB -p udp --dport 53 -j ACCEPT
$IPTABLES -A DMZ2-WEB -p udp --dport 123 -j ACCEPT
$IPTABLES -A DMZ2-WEB -j LOG_DROP

gorgonite · 17/04/2007, 14h45

trop long... j'ai la flemme de chercher en tout cas, ça a l'air de passer (ACCEPT)

donc je ne vois pas pourquoi le DNS foire

djibril · 17/04/2007, 14h49

Bon bah c la mouise alors. Je ne comprends pas non plus. En tout cas merci de t'etre penché sur mes soucis.
je sais plus quoi faire!!!

djibril · 19/04/2007, 07h00

bon problème résolu, c'était ma carte réseau qui avait rendu l'âme.
J'ai eu toujours quelques petis soucis, mais bon le plus dure est passé.

17/04/2007, 10h23	#2
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	la gestion des dépendances d'apt... un gros bug de logique à la base commençons par le réseau : es-tu sur que le cable réseau fonctionne bien entre ta machine et ton serveur dhcp... parce que ça c'est louche ensuite, as-tu pensé à indiquer la passerelle (via la commande route) ? ps: pitié pas 5 problèmes dans le même post... on va tout mélanger __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

17/04/2007, 13h49	#7
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	et iptables -L sur secure donne quoi ? __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

17/04/2007, 13h58	#9
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	trop long... ça donne quoi pour icmp et pour tcp/53 et udp/53 ? __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

17/04/2007, 14h11	#11
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	le script que tu as donné est incorrect il faut qu'il ressemble à cela http://gorgonite.developpez.com/tuto...isations#LII-6 __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

17/04/2007, 14h14	#12
djibril Responsable Perl et Outils Inscription : avril 2004 Messages : 9 375 Détails du profil Informations personnelles : Sexe : Âge : 32 Localisation : France Informations forums : Inscription : avril 2004 Messages : 9 375 Points : 13 744 Points : 13 744	je ne t'ai pas mis tout le script. Il est tres long et fait 531 lignes. C'est pas moi qui l'ai ecrit car je n'y connais rien. si tu veux, je te le met en entier, ok?? __________________ Pensez toujours aux cours, FAQ Perl et la fonction recherchez!!!!!!!! Lisez les règles du forum Perl. Aucun problème par MP, merci de poster vos questions dans les sous forums dédiés et rendez vos codes sources lisibles
	00

17/04/2007, 14h27	#13
djibril Responsable Perl et Outils Inscription : avril 2004 Messages : 9 375 Détails du profil Informations personnelles : Sexe : Âge : 32 Localisation : France Informations forums : Inscription : avril 2004 Messages : 9 375 Points : 13 744 Points : 13 744	iptables -p tcp --dport 53 iptables -p udp --dport 53 marche pas, c'est du chinois pour moi tout ça. __________________ Pensez toujours aux cours, FAQ Perl et la fonction recherchez!!!!!!!! Lisez les règles du forum Perl. Aucun problème par MP, merci de poster vos questions dans les sous forums dédiés et rendez vos codes sources lisibles
	00

17/04/2007, 14h31	#14
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	je te demande les lignes qui commencent par cela dans le script __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

17/04/2007, 14h39	#16
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	et que valent DMZ*-WEB ? __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

17/04/2007, 14h45	#18
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	trop long... j'ai la flemme de chercher en tout cas, ça a l'air de passer (ACCEPT) donc je ne vois pas pourquoi le DNS foire __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

17/04/2007, 14h49	#19
djibril Responsable Perl et Outils Inscription : avril 2004 Messages : 9 375 Détails du profil Informations personnelles : Sexe : Âge : 32 Localisation : France Informations forums : Inscription : avril 2004 Messages : 9 375 Points : 13 744 Points : 13 744	Bon bah c la mouise alors. Je ne comprends pas non plus. En tout cas merci de t'etre penché sur mes soucis. je sais plus quoi faire!!! __________________ Pensez toujours aux cours, FAQ Perl et la fonction recherchez!!!!!!!! Lisez les règles du forum Perl. Aucun problème par MP, merci de poster vos questions dans les sous forums dédiés et rendez vos codes sources lisibles
	00

19/04/2007, 07h00	#20
djibril Responsable Perl et Outils Inscription : avril 2004 Messages : 9 375 Détails du profil Informations personnelles : Sexe : Âge : 32 Localisation : France Informations forums : Inscription : avril 2004 Messages : 9 375 Points : 13 744 Points : 13 744	bon problème résolu, c'était ma carte réseau qui avait rendu l'âme. J'ai eu toujours quelques petis soucis, mais bon le plus dure est passé. __________________ Pensez toujours aux cours, FAQ Perl et la fonction recherchez!!!!!!!! Lisez les règles du forum Perl. Aucun problème par MP, merci de poster vos questions dans les sous forums dédiés et rendez vos codes sources lisibles
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email