Tu as essayé d’ajouter, temporairement, des règles de LOG ... pour voir où ça coince ?
Fait : [331513.009852] PREROUTING port 110IN=eth0 OUT= MAC=00:08:54:09:a3:b0:00:11:09:90:f1:4d:08:00 SRC=192.168.0.2 DST=212.27.48.3 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=38409 DF PROTO=TCP SPT=3447 DPT=110 WINDOW=16384 RES=0x00 SYN URGP=0
Il répète ça deux fois (trois tentatives de connexion sans doute) dans /dev/log. SRC=le micro XP, DEST=DNS free, eth0=carte réseau local de la passerelle linux, MAC=adresse physique de ma eth0 sur la passerelle linux, après pour le reste à toi de voir.
Ah oui, ça s'arrête là. Il n'y a rien après.
La règle ... est-elle vraiment la première ?
Même mise en première place des règles NAT ça ne change rien.
Voici la partie NAT de iptables (le reste est inchangé) : # DEBUT des règles pour le partage de connexion (i.e. le NAT)
# mise en place de l'interception des courriels par p3scan pour analyse
# par ClamAV et Spamassassin.
# Prise en compte des messages destinés au port POP3 (ie 110) et redirection
# vers p3scan sur le port 8110
#
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 110 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "PREROUTING port 110"
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 110 --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 8110
iptables -t nat -A OUTPUT -p tcp --dport pop3 -m owner --uid-owner 1004 -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport pop3 -j REDIRECT --to 8110
# Activation du pontage NAT entre les cartes réseau.
echo 1 >/proc/sys/net/ipv4/ip_forward
# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT".
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résumé,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
# suivante.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth1 --clamp-mss-to-pmtu
# FIN des règles pour le partage de connexion (i.e. le NAT)
Rien de nouveau dans mes recherches. J'avais aussi envisagé une histoire d'ordre des règles mais ça doit être plus subtil que ça. Je continue mes fouilles sur un super cours/tuto iptables qui me fasse tout comprendre.
A + si tu n'en n'as pas marre ;)
Michel
PS : je vais loguer mes règles de NAT pour avoir la meilleure traçabilité possible.
Oui mais rien que du classique :
- remise des tables à zéro
- règles par défaut
- règles sur les INPUT
- règles de NAT
Elles sont en tête de mon post initial. Il y a une règle par défaut pour les sorties : iptables -P OUTPUT ACCEPT
A +
Michel
OUPS !
Je viens de m'en rendre compte tout seul lol
Malheureusement, la bonne commande me renvoie : "Impossible d'ouvrir une connexion à l'hôte sur le port 110 : Echec lors de la connexion"
Ma bourde permet donc de savoir qu'il y a quelque chose qui coince avec cette règle car si je la commente tout se passe nickel... sauf le scan !
A suivre
Merci de ton aide
Michel
Ben non Sylvain ça fonctionne pas !
Scan impect sur le "serveur" mais la règle PREROUTING bloque les connexions à pop.free.fr : "Impossible d'ouvrir une connexion à l'hôte sur le port 23 : Echec lors de la connexion" me bégaye Microsoft Telnet.
D'abord c'est quoi ce port 23 ?
Est-ce que le problème ne viendrait pas, encore une fois lol, du côté windaube ?
La, j'avoue pédaler un peu dans la semoule...
Bonjour Sylvain,
j'ai bien les deux règles OUTPUT pour le "serveur" issues de la doc p3scan (comme le suggérait Symoon).
C'est la première fois que j'entends parler directement de PREROUTING comme solution mais effectivement ça paraît toutà fait logique.
Je tente ma chance.
Encore deux trois coups comme ça et je vais finir par comprendre comment fonctionnent les iptables lol.
A +
Michel
il n'est pas nécessaire d'aller chercher les mails sur le poste sous linux : c'est ce qui me semble, on ne fait que passer sur le poste linux pour le NAT et le masquerade sans mettre en oeuvre quoi que ce soit d'autre. Question subsidiaire : quel est le serveur de mail sur le poste XP et peut-il (doit-il) interagir avec p3scan ?
Pour les iptables, effectivement j'aurais intuitivement plutôt pensé à la chaîne INPUT mais comme je suis loin de dominer la chose j'ai fait comme dans le tuto que j'ai suivi.
Je me replonge donc dans la /us/share/doc/p3scan et éventuellement je tenterai une règle avec INPUT.
Pourrais-tu me dire comment avoir un log de ma connexion sous XP car le telnet est peu bavard à l'écran ?
Bonjour et merci de ta réponse.
Pourrais-tu préciser ce que tu veux dire par : 1°) mettre ton ubuntu en passerelle ou serveur email.
Le poste linux est la passerelle pour l'accès au net.
Pour le serveur de mail, Thunderbird d'un poste XP s'adresse à qui comme serveur de mail (ouais ça fait ignorance crasse mais je bidouille tout seul dans mon petit coin lol) ?
[^] # Re: en ayant lu
Posté par michel44 . En réponse au message p3scan : ce qu'il fait ou ne fait pas. Évalué à 1.
Ah oui, suis-je bête :o) meuh non.
Tu as essayé d’ajouter, temporairement, des règles de LOG ... pour voir où ça coince ?
Fait :
[331513.009852] PREROUTING port 110IN=eth0 OUT= MAC=00:08:54:09:a3:b0:00:11:09:90:f1:4d:08:00 SRC=192.168.0.2 DST=212.27.48.3 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=38409 DF PROTO=TCP SPT=3447 DPT=110 WINDOW=16384 RES=0x00 SYN URGP=0
Il répète ça deux fois (trois tentatives de connexion sans doute) dans /dev/log. SRC=le micro XP, DEST=DNS free, eth0=carte réseau local de la passerelle linux, MAC=adresse physique de ma eth0 sur la passerelle linux, après pour le reste à toi de voir.
Ah oui, ça s'arrête là. Il n'y a rien après.
La règle ... est-elle vraiment la première ?
Même mise en première place des règles NAT ça ne change rien.
Voici la partie NAT de iptables (le reste est inchangé) :
# DEBUT des règles pour le partage de connexion (i.e. le NAT)
# mise en place de l'interception des courriels par p3scan pour analyse
# par ClamAV et Spamassassin.
# Prise en compte des messages destinés au port POP3 (ie 110) et redirection
# vers p3scan sur le port 8110
#
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 110 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "PREROUTING port 110"
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 110 --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 8110
iptables -t nat -A OUTPUT -p tcp --dport pop3 -m owner --uid-owner 1004 -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport pop3 -j REDIRECT --to 8110
# Activation du pontage NAT entre les cartes réseau.
echo 1 >/proc/sys/net/ipv4/ip_forward
# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT".
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résumé,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
# suivante.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth1 --clamp-mss-to-pmtu
# FIN des règles pour le partage de connexion (i.e. le NAT)
Rien de nouveau dans mes recherches. J'avais aussi envisagé une histoire d'ordre des règles mais ça doit être plus subtil que ça. Je continue mes fouilles sur un super cours/tuto iptables qui me fasse tout comprendre.
A + si tu n'en n'as pas marre ;)
Michel
PS : je vais loguer mes règles de NAT pour avoir la meilleure traçabilité possible.
[^] # Re: en ayant lu
Posté par michel44 . En réponse au message p3scan : ce qu'il fait ou ne fait pas. Évalué à 1.
- remise des tables à zéro
- règles par défaut
- règles sur les INPUT
- règles de NAT
Elles sont en tête de mon post initial. Il y a une règle par défaut pour les sorties : iptables -P OUTPUT ACCEPT
A +
Michel
[^] # Re: en ayant lu
Posté par michel44 . En réponse au message p3scan : ce qu'il fait ou ne fait pas. Évalué à 1.
Je viens de m'en rendre compte tout seul lol
Malheureusement, la bonne commande me renvoie : "Impossible d'ouvrir une connexion à l'hôte sur le port 110 : Echec lors de la connexion"
Ma bourde permet donc de savoir qu'il y a quelque chose qui coince avec cette règle car si je la commente tout se passe nickel... sauf le scan !
A suivre
Merci de ton aide
Michel
[^] # Re: en ayant lu
Posté par michel44 . En réponse au message p3scan : ce qu'il fait ou ne fait pas. Évalué à 1.
Scan impect sur le "serveur" mais la règle PREROUTING bloque les connexions à pop.free.fr : "Impossible d'ouvrir une connexion à l'hôte sur le port 23 : Echec lors de la connexion" me bégaye Microsoft Telnet.
D'abord c'est quoi ce port 23 ?
Est-ce que le problème ne viendrait pas, encore une fois lol, du côté windaube ?
La, j'avoue pédaler un peu dans la semoule...
A suivre, je continue mes fouilles
Michel
[^] # Re: en ayant lu
Posté par michel44 . En réponse au message p3scan : ce qu'il fait ou ne fait pas. Évalué à 1.
j'ai bien les deux règles OUTPUT pour le "serveur" issues de la doc p3scan (comme le suggérait Symoon).
C'est la première fois que j'entends parler directement de PREROUTING comme solution mais effectivement ça paraît toutà fait logique.
Je tente ma chance.
Encore deux trois coups comme ça et je vais finir par comprendre comment fonctionnent les iptables lol.
A +
Michel
[^] # Re: en ayant lu
Posté par michel44 . En réponse au message p3scan : ce qu'il fait ou ne fait pas. Évalué à 1.
il n'est pas nécessaire d'aller chercher les mails sur le poste sous linux : c'est ce qui me semble, on ne fait que passer sur le poste linux pour le NAT et le masquerade sans mettre en oeuvre quoi que ce soit d'autre. Question subsidiaire : quel est le serveur de mail sur le poste XP et peut-il (doit-il) interagir avec p3scan ?
Pour les iptables, effectivement j'aurais intuitivement plutôt pensé à la chaîne INPUT mais comme je suis loin de dominer la chose j'ai fait comme dans le tuto que j'ai suivi.
Je me replonge donc dans la /us/share/doc/p3scan et éventuellement je tenterai une règle avec INPUT.
Pourrais-tu me dire comment avoir un log de ma connexion sous XP car le telnet est peu bavard à l'écran ?
D'avance merci
A +
Michel
[^] # Re: sans avoir tout lu...
Posté par michel44 . En réponse au message p3scan : ce qu'il fait ou ne fait pas. Évalué à 1.
Pourrais-tu préciser ce que tu veux dire par :
1°) mettre ton ubuntu en passerelle ou serveur email.
Le poste linux est la passerelle pour l'accès au net.
Pour le serveur de mail, Thunderbird d'un poste XP s'adresse à qui comme serveur de mail (ouais ça fait ignorance crasse mais je bidouille tout seul dans mon petit coin lol) ?
D'avance merci
A +
Michel