J'ai installé aMule sur mon Linux. Et j'étais assez étonné, je n'ai trouvé nulle part où était mon ID (low ou high) rien ne l'indiquait à part les flèches jaunes.
Bref, toujours est-il que j'ai eu du mal à trouver comment ouvrir les ports qu'il fallait avec iptables. Chaque fois que je cherchais, je tombais sur une doc qui à l'air bien intéressante http://olivieraj.free.fr/fr/linux/information/firewall(...) . Que j'ai bien l'intention de lire.
Mais elle est bien longue et j'avais besoin d'une solution toute de suite. En cherchant sur le forum de aMule je suis tombé sur ce script.
/sbin/iptables --flush
/sbin/iptables -A INPUT -m state --state INVALID -j DROP
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p UDP --dport 4672 -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -p TCP --dport 4662 -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -j DROP
/sbin/iptables-save
/sbin/service iptables save
/sbin/service iptables restart
Je pense qu'il sera intéressant pour toutes les personnes qui en auront besoin, car ca marche, je suis maintenant en HighID.
Au passage j'espère que ce script ne fait pas de conneries. Je ne suis pas très familier avec iptables.
Journal aMule et lowID
6
mar.
2004
# Re: aMule et lowID
Posté par Maillequeule . Évalué à 3.
cf http://linuxfr.org/~_alex/10158.html(...)
M
[^] # Re: aMule et lowID
Posté par JMVF . Évalué à 2.
[^] # Re: aMule et lowID
Posté par Mathieu Pillard (site web personnel) . Évalué à 3.
[^] # Re: aMule et lowID
Posté par koxinga . Évalué à 1.
[^] # Re: aMule et lowID
Posté par 桃白白 . Évalué à 1.
C't'emmerdant de lire une doc juste pour un point précis. On finis par plus savoir ce qu'on voulait faire.
[^] # Re: aMule et lowID
Posté par golgoth13 . Évalué à 2.
Ben si, le truc c'est de lire la doc avant d'utiliser le soft donc 'de suite', donc t'avais pas envie de lire la doc :p
[^] # Re: aMule et lowID
Posté par Ramso . Évalué à 6.
C'est dangereux les docs, on se méfie jamais assez !
[^] # Re: aMule et lowID
Posté par imr . Évalué à 1.
KIAIIIIIIIII!!!
Merde! mon cla
# Re: aMule et lowID
Posté par gnumdk (site web personnel) . Évalué à 2.
# Mldonkey #
$iptables -A INPUT -i ppp0 -p tcp ! --syn -j ACCEPT
$iptables -A INPUT -i ppp0 -p tcp -m multiport --dports 4662,18491 --syn -j ACCEPT
$iptables -A INPUT -i ppp0 -p udp -m multiport --dports 4666,18491 -j ACCEPT
$iptables -A INPUT -i eth0 -p tcp --dport 4080 -j ACCEPT
J'en profite pour poser une question: y'a t'il aucun danger a accepter toute les connexion n'ayant pas le SYN bit?
[^] # Re: aMule et lowID
Posté par djerem . Évalué à 2.
Je te conseil d'aller voir ici, http://mldonkey.berlios.de/modules.php?name=Wiki&pagename=WhatF(...)
Sinon, pour le SYN bit, je ne sais pas trop. Pour ma part, j'accepte juste les connections déjà établies et 'RELATED'
# On accepte ce qui provient d'une connection déjà établie
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Je dirais, sans trop être certain, que c'est une meilleur politique de sécurité que de n'accepter que les paquets qu'on estime comme valabe plutôt que de supprimer ceux qu'on pense être 'mauvais' (parce qu'on peut oublier de supprimer un certain type de mauvais paquets sans s'en rendre compte, alors que si on oublie d'accepter un certain type de paquets valables, on le verra, puisque le 'service/application' associé ne marchera pas).
Puis sinon j'ai vu qu'il existait un état INVALID pour certain paquets et je me demande si mettre tout les paquets sauf les NEW n'accepterait pas les paquets INVALID...
C'est comme ça que je vois les choses donc je ne suis pas sûr que ça soit juste, donc n'hésitez pas à me corriger si je me trompe.
# Re: aMule et lowID
Posté par _alex . Évalué à 2.
iptables -t nat -A PREROUTING -d 82.67.66.128 -p tcp --dport 1024: -j DNAT --to-destination 192.168.0.253
[^] # Re: aMule et lowID
Posté par pini . Évalué à 1.
[^] # Re: aMule et lowID
Posté par _alex . Évalué à 2.
Cette commande permet d'envoyer tout ce que recoit le routeur sur la machine derière le routeur dont l'ip est . Cela concerne les ports décrit par :
1024: pour tous les ports > 1024
4665:4675 pour les ports entre 4665 et 4675
correspond à l'adresse allouée par le FAI.
Je pense que c'est un peu plus clair comme ca.
Ph Husson est horrifié parce que j'envois tous les ports > 1024 (donc bcp) vers une machine à l'intérieur du LAN.
Lorsqu'on ne connait pas la machine ce n'est vraiement pas ce qu'il faut faire. Si on sait ce qu'il y a d'installer dessus, perso je préfére comme ca si ca peut m'éviter des problèmes de NAT... (la machine qui est en LAN avant été exposé à l'internet sans firewall avant)
[^] # Re: aMule et lowID
Posté par _alex . Évalué à 2.
iptables -t nat -A PREROUTING -d [ipexterieure] -p tcp --dport [plageports] -j DNAT --to-destination [iplan]
Cette commande permet d'envoyer tout ce que recoit le routeur sur la machine derière le routeur dont l'ip est [iplan]. Cela concerne les ports décrit par [plageports] :
1024: pour tous les ports > 1024
4665:4675 pour les ports entre 4665 et 4675
[ipexterieure] correspond à l'adresse allouée par le FAI.
[^] # Re: aMule et lowID
Posté par ianux (site web personnel, Mastodon) . Évalué à 1.
Est-ce indispensable de rajouter un truc comme ceci :
iptables -A FORWARD -p tcp -d [iplan] --dport [plageports] -j ACCEPT
(c'est la règle qui suit la ligne du haut pour chaque port que je redirige)
C'est un script quelconque (trouvé sur freshmeat) qui a créé mes règles iptables...
[^] # Re: aMule et lowID
Posté par Ph Husson (site web personnel) . Évalué à 3.
paske envoyer tout les ports superieurs au port 1024 sur une machine du lan
tres peu pour moi
# Re: aMule et lowID
Posté par Olivier (site web personnel) . Évalué à 1.
je suis l'auteur de la doc en question. C'est vrai qu'elle est longue à lire, mais elle a avant tout été écrite pour les personnes n'ayant pas un niveau de connaissance important dans le domain de la sécurité informatique sous Linux. Elle se veut aussi progréssive dans les difficultées, mais rien ne t'empêche de sauter les 2 premiers chapitres.
Pour ce qui est de ton script, voici quelques commentaires :
- Tu n'initialises pas les cibles par défaut des chaines de la table "FILTER". Donc par défaut, tu laisses tout entrer. C'est une erreur très grave.
- Si ta machine est connectée à un réseau local, la ligne "--state NEW -j DROP" interdira aux autres machines de se connecter à la tienne
- La seul protection que tu utilises est de filtrer les connexion NEW et INVALID. C'est très insuffisant.
Bref, même si effectivement ton firewall laisse passer tes connexions amule, il n'est techniquement pas très sécurisé.
Demain (mardi), va sur le site http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/(...) . Je mettrai en ligne ce soir une nouvelle version de ce script de configuration de Netfilter, qui sera plus efficace que ce que tu proposes. Une des nouvelles fontionnalité est le support de xMule, qui est semblable à aMule.
[^] # Re: aMule et lowID
Posté par 桃白白 . Évalué à 1.
Je ne manquerai pas de regarder demain ton site.
Sinon pour le script que j'ai mis, c'est vrai que j'en avais pas une très grande confiance, c'est pour ca que je l'ai montré à tout le monde, ça me permet d'avoir des avis éclairés.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.