iptables + ICQ
Eric Laeuffer
Apres avoir passé mon desktop en Debian je suis aussi passé à Debian sur
mon firewall. Je suis donc entrain de configurer iptables.
J'ai un probleme avec ICQ, on n'arrive pas de l'exterieur a faire des
demandes de chat. Est ce que quelqu'un sait configurer iptables pour que
ca marche?
Ma config iptables est tres proche de celle presentée dans le tutorial
suivant : http://www.boingworld.com/workshops/linux/iptables-tutorial/
Cette config me parait interessante mais si vous avez des remarques ....
Merci de votre aide.
A+
--
Eric
--
To UNSUBSCRIBE, email to debian-fre...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Guillaume Pierronnet
de chat ICQ avec IPTable. Il existait un module ICQ pour IPChains si je me souviens
bien, mais pour IPTable, j'en ai aucune idée. Si je trouve qqchose je vous tiens au courant
a+
--
_________________________________
( moumar <mou...@netcourrier.com> )
---------------------------------
Bon bah pu de dragon !!
frederic massot
>
> On Wed, Jun 27, 2001 at 11:27:37PM +0200, Eric Laeuffer wrote:
> > Salut,
> >
> Effectivement, maintenant que tu le dis, je m'aperçois que tu ne peux pas faire
> de chat ICQ avec IPTable. Il existait un module ICQ pour IPChains si je me souviens
> bien, mais pour IPTable, j'en ai aucune idée. Si je trouve qqchose je vous tiens au courant
>
Pour plus d'info, vous pouvez aller voir sur :
http://www.samba.org/netfilter
Et sur les archives de la liste de diffusion
http://lists.samba.org/pipermail/netfilter
--
==============================================
| FREDERIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto:fred...@juliana-multimedia.com |
===========================Debian=GNU/Linux===
in...@toutatis.igt.net
>
> > Effectivement, maintenant que tu le dis, je m'aperçois que tu ne peux pas faire
> > de chat ICQ avec IPTable. Il existait un module ICQ pour IPChains si je me souviens
> > bien, mais pour IPTable, j'en ai aucune idée. Si je trouve qqchose je vous tiens au courant
> >
C'est pas sorcier, c'est juste de la redirection de ports... meme chose
pour IRC, FTP, etc :)
C'est que je faisais avec ipmasqadm pour les noyeaux 2.2.x, mais j'ai
jamais tente de le faire sur le 2.4.x (faudrait que je le fasse un jour)
Eric
>
> Pour plus d'info, vous pouvez aller voir sur :
>
> http://www.samba.org/netfilter
>
> Et sur les archives de la liste de diffusion
>
> http://lists.samba.org/pipermail/netfilter
>
--
Fabrice Gautier
On Thu, 28 Jun 2001 14:24:02 -0400 (EDT)
<in...@toutatis.igt.net> wrote:
>
>
> C'est pas sorcier, c'est juste de la redirection de ports... meme chose
> pour IRC, FTP, etc :)
Comment ca "juste de la redirection de ports" ?
Pour ftp en particulier, le forwarding de port marche bien si tu n'as
qu'un server ftp derrière ton firewall, mais quand tu en a plusieurs tu
forwarde quoi et ou?
Et pour ICQ ?
--
Fabrice Gautier <gau...@email.enstfr>
Eric LeBlanc
On 28 Jun 2001, at 23:34, Fabrice Gautier wrote:
>
> On Thu, 28 Jun 2001 14:24:02 -0400 (EDT)
> <in...@toutatis.igt.net> wrote:
> >
> >
> > C'est pas sorcier, c'est juste de la redirection de ports... meme chose
> > pour IRC, FTP, etc :)
>
> Comment ca "juste de la redirection de ports" ?
>
> Pour ftp en particulier, le forwarding de port marche bien si tu n'as
> qu'un server ftp derrière ton firewall, mais quand tu en a plusieurs tu
> forwarde quoi et ou?
Que veux tu dire? Avoir plusieurs serveurs FTP derrière un NAT? Tu
parlerais pas du load balancing par hasard?
>
> Et pour ICQ ?
Section ICQ (Pour 2.2.x, je sais, mais ca s'applique aussi pour les
2.4.x)
Eric
Eric LeBlanc
E-Mail:in...@igt.net
ICQ 50571872
----
"Well, let's just say, 'if your VCR is still blinking 12:00, you don't
want Linux'".
--- Bruce Perens, Debian's Fearless Leader
------------
Fabrice Gautier
On Thu, 28 Jun 2001 20:11:10 -0400
"Eric LeBlanc" <in...@igt.net> wrote:
>
> On 28 Jun 2001, at 23:34, Fabrice Gautier wrote:
>
> >
> > On Thu, 28 Jun 2001 14:24:02 -0400 (EDT)
> > <in...@toutatis.igt.net> wrote:
> > >
> > >
> > > C'est pas sorcier, c'est juste de la redirection de ports... meme chose
> > > pour IRC, FTP, etc :)
> >
> > Comment ca "juste de la redirection de ports" ?
> >
> > Pour ftp en particulier, le forwarding de port marche bien si tu n'as
> > qu'un server ftp derrière ton firewall, mais quand tu en a plusieurs tu
> > forwarde quoi et ou?
>
> Que veux tu dire? Avoir plusieurs serveurs FTP derrière un NAT? Tu
> parlerais pas du load balancing par hasard?
Non je parle du plusieurs serveurs différents. Comme pour ICQ tu peut
avoir plusieurs personnes avec des ICQ différents derrière le NAT je
voyais pas comment le port forwarding - tel que je l'entend* - était
capable de résoudre les problèmes de ICQ....
Et puis je pourrais parler aussi de client ftp en mode actif. La encore
le port forwarding simple ne sert pas à grand chose.
> >
> > Et pour ICQ ?
>
> http://ipmasq.cjb.net/
>
> Section ICQ (Pour 2.2.x, je sais, mais ca s'applique aussi pour les
> 2.4.x)
Je crois pas. Pas avec ip_table en tous cas. Il s'agit pas de faire du
simple port-forwarding mais bien d'un module complet (ferait-il
seulement du port forwarding ? J'en doute, si oui de quel ports vers
quels ports?)
* Ce que j'entend par port forwarding: Tout ce qui arrive sur le port
lambda du firewall est relayé sur le port gamma d'un serveur derrière
le firewall.
--
Fabrice Gautier <gau...@email.enstfr>
Benoit Friry
> > > > C'est pas sorcier, c'est juste de la redirection de ports... meme chose
> > > > pour IRC, FTP, etc :)
> > >
> > > Comment ca "juste de la redirection de ports" ?
> > >
> > > Pour ftp en particulier, le forwarding de port marche bien si tu n'as
> > > qu'un server ftp derrière ton firewall, mais quand tu en a plusieurs tu
> > > forwarde quoi et ou?
> >
> > Que veux tu dire? Avoir plusieurs serveurs FTP derrière un NAT? Tu
> > parlerais pas du load balancing par hasard?
>
> Non je parle du plusieurs serveurs différents. Comme pour ICQ tu peut
> avoir plusieurs personnes avec des ICQ différents derrière le NAT je
> voyais pas comment le port forwarding - tel que je l'entend* - était
> capable de résoudre les problèmes de ICQ....
Je suis pas sûr que ça puisse aider à résoudre le problème, mais licq
propose dans ses options de régler les plages de ports pour les
connexions directes.
-> *Peut-être* y aurait-il moyen d'attribuer une plage pour chaque
utilisateur ?
> Je crois pas. Pas avec ip_table en tous cas. Il s'agit pas de faire du
> simple port-forwarding mais bien d'un module complet (ferait-il
> seulement du port forwarding ? J'en doute, si oui de quel ports vers
> quels ports?)
Il me semble me souvenir que quand iptable a remplacé ipchains, seuls le
masquerading de http et de ftp avaient été réimplémentés, alors que pour
le 2.2 il y avait les modules pour irc, vdo, icu... J'avais lu que pas
grand monde n'était intéressé par recoder le module pour irc, vu que le
protocole était très merdique...
ben
--
> Je cherche une methode pour verifier si le port 515 est a l'ecoute.
> Cette requete est a envoyer d'une station Solaris vers un serveur NT.
use Net::TCP; $object = new Net::TCP "playstation", 515;
$ok = $object->connect; -- SB in Guide du linuxien pervers
Eric Laeuffer
Pour ceux que ca interesse voila une solution:
Elle consiste à faire du port forwarding vers la machine cliente. Le
forwarding est limité à un nombre restreint de ports ce qui permet de
definir plusieurs plages pour plusieurs machines clientes. Apres il
suffit de configurer les clients icq pour specifier les ports à scanner
(GnomeICU, licq le permettent)
La config iptables est la suivante (trouvée dans les archives de la ml
iptables):
--- EXAMPLE ---
# accept INPUT/OUTPUT taffic to 2000:2020 (my forwarded ports)
iptables -A INPUT -p tcp --sport 1024:65535 --dport 2000:2020 -j ACCEPT
iptables -A OUTPUT -p tcp ! --syn --sport 2000:2020 \
--dport 1024:65535 -j ACCEPT
# accept FORWARD traffic
iptables -A FORWARD -p tcp -s INTERNAL_IP --sport 2000:2020 --dport \
1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -d INTERNAL_IP --dport 2000:2020 --sport \
1024:65535 -j ACCEPT
# DNAT traffic
iptables -t nat -A PREROUTING -p tcp -i INCOMMING_INTERFACE \
--dport 2000:2020 -j DNAT --to INTERNAL_IP
--- END EXAMPLE ---
Voila c'est tout.
A+
in...@toutatis.igt.net
On Fri, 29 Jun 2001, Benoit Friry wrote:
> > Non je parle du plusieurs serveurs différents. Comme pour ICQ tu peut
> > avoir plusieurs personnes avec des ICQ différents derrière le NAT je
> > voyais pas comment le port forwarding - tel que je l'entend* - était
> > capable de résoudre les problèmes de ICQ....
>
> Je suis pas sûr que ça puisse aider à résoudre le problème, mais licq
> propose dans ses options de régler les plages de ports pour les
> connexions directes.
> -> *Peut-être* y aurait-il moyen d'attribuer une plage pour chaque
> utilisateur ?
C'est exact, ICQ de mirabilis a cet option, ainsi que les ICQ de linux
sans doute... Au pire, suffit de changer dans le code source, et de
recompiler.
>
> > Je crois pas. Pas avec ip_table en tous cas. Il s'agit pas de faire du
> > simple port-forwarding mais bien d'un module complet (ferait-il
> > seulement du port forwarding ? J'en doute, si oui de quel ports vers
> > quels ports?)
>
> Il me semble me souvenir que quand iptable a remplacé ipchains, seuls le
> masquerading de http et de ftp avaient été réimplémentés, alors que pour
> le 2.2 il y avait les modules pour irc, vdo, icu... J'avais lu que pas
> grand monde n'était intéressé par recoder le module pour irc, vu que le
> protocole était très merdique...
>
> ben
>
>
Meme a ca, le FTP etait deja limite, je pouvais pas faire des FTP sur des
ports en dehors de 21 sur des sites, a partir de ma machine derriere le
NAT. Et, le module FTP est limite par le nombre de ports (je crois 6)...
je vais pas unloader/loader le ftp pour chaque range de ports differents?
:)
D'ou l'interet du port forwarding, qui est plus flexible et pratique.
Le module IRC etait effectivement TRES merdique...
De toute facon, j'ai entendu une personne qui avait reussi a ajouter une
regle d'ipchains qui permet le forwarding d'un range de ports (1024:20000)
sur toutes les machines du reseau. Je vais verifier de ce bord.
Eric