[Résolu]Problème Erreur Iptables !

Bonjour à tous !
Après avoir posté il y a une semaine pour le VPN Windows et Iptables, j’ai trouvé ma réponse autrement mais là j’ai un souci que je ne comprend pas du tout… J’espère que vous pourrez m’éclairer parce que je commence à ne plus avoir d’idées là !

J’ai un script IPTABLES qui fonctionne très bien et j’ai rajouté qq règles comme celles-ci :

iptables -A FORWARD -i $lan -o $wan -p tcp --dport 1723 -s 51.200.100.101 -d 194.250.185.235 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -p udp --dport 1723 -s 51.200.100.101 -d 194.250.185.235 -j ACCEPT

iptables -A FORWARD -i $lan -o $wan -p tcp --dport 1723 -s 51.200.100.102 -d 194.250.185.235 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -p udp --dport 1723 -s 51.200.100.102 -d 194.250.185.235 -j ACCEPT

et :

iptables -A FORWARD -i $lan -o $wan -p 47 -s 51.200.100.101 -d 194.250.185.235 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -p 47 -s 51.200.100.101 -d 194.250.185.235 -j ACCEPT

iptables -A FORWARD -i $lan -o $wan -p 47 -s 51.200.100.102 -d 194.250.185.235 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -p 47 -s 51.200.100.102 -d 194.250.185.235 -j ACCEPT

et là, c’est la crise !
Voila le message d’erreur :

Firwall:/etc/init.d# sh firewall.sh
Début du script Firewall
Version 2
iptables v1.2.11: Can’t use -P with -A

Try `iptables -h’ or ‘iptables --help’ for more information.
SIOCADDRT: Le fichier existe.
SIOCADDRT: Le fichier existe.
SIOCADDRT: Le fichier existe.
SIOCADDRT: Le fichier existe.
Fin du script

Pourquoi ne peut-on pas utiliser le -P avec le -A (sachant que sur d’autres règles ça marche très bien…)
Et que veux dire : “SIOCADDRT: Le fichier existe.”

Je sais que mon post est très long mais je préfère donner plus d’infos que trop peu…

Merci d’avance à tous, je commence à désespérer !

1/ tu es sûr de la valeur de tes variables $lan et $wan au moment ou il execute ces lignes là ?
2/tu es sûr d’avoir recopié ce que tu as vraiment dans ton script, et de n’avoir pas mis un -P en majuscule dans le script au lieu du -p minuscule ?
3/peut être qu’un match du proto (-m) au lieu du choix du proto (-p) marcherait mieux ?
4/ [HS]j’éspère que le 51.200.100.101 est donné pour l’exemple, parceque cette adresse appartient à la sécurité sociale anglaise, donc si tu utilises cette frange ip, c’est une erreur.

Salut MatOTop !

I] Voila ma déclaration de variables :

lan="tr0"
wan=“eth0”

(ça a toujours marché, le problème ne doit pas venir de là…)

II] Pour l’erreur :

Je viens de reregarder et je n’ai pas de “-P” (majuscules) mais que des “-p” (minuscules).

III] Pour l’option “-m” :

Je viens de lire le “man” iptables sur le “-m” et c’est chaud cacao… En quoi ça consiste exactement ?

IV] @ IP 51.200.0.0 /16 :

J’utilise ces @ IP sur mon réseau local qui sont ensuite natées à travers ce même Firewall. Elles ne sont donc pas publiques (ça ne pose pas problème ?!)

Merci MaTOTop d’avoir repondu aussi vite !
Je continue à faire des tests, dis moi si tu veux voir plus de mon script…
TCHO et encore merci !

Bien vu pour le “-P” (majuscule), j’en avais un qui traînait ! Je viens de m’exploser les yeux pour le trouver, lool !
Voila maintenant mon message quand je lance mon firewall :

Firwall:/etc/init.d# sh firewall.sh
Début du script Firewall
Version 2
SIOCADDRT: Le fichier existe.
SIOCADDRT: Le fichier existe.
SIOCADDRT: Le fichier existe.
SIOCADDRT: Le fichier existe.
Fin du script

Sais-tu à quoi correspond “SIOCADDRT: Le fichier existe.” ?!
Est-ce un message d’erreur ou le script s’est-il bien déroulé ?
Je continue à chercher.
Merci d’avance !
TCHO !

Re !
Je viens de voir que “SIOCADDRT: Le fichier existe.” veut dire que les lignes que j’essaie d’appliquer existent déjà… et c’est normal car dans mon Firewall, j’ajoute aussi des routes qui sont déjà dans la table de routage !
TOUT est LOGIQUE, il faut chercher un peu…
Merci à toi MatOtop ! (C dur de faire un monologue quand même) !
Salut !

C’est normal qu’il te laisse un peut chercher par toi même
c’est comme ca qu’on apprend le mieux.

Salut le petit chat noir !
Oui, j’apprends beaucoup mais sur mes heures perdues ça ne me dérange pas de chercher car j’en ai vraiment le temps alors que quand on est en entreprise, certaines personnes te font bien comprendre que ça urge… (dur,dur !)

Au fait, tu t’y connait en IPTABLES ? J’essaie de faire passer une connexion VPN à travers ce ****** de firewall et ça bloque toujours (erreur 800) !

Voila les clients qui doivent passer :

iptables -A FORWARD -i $lan -o $wan -p tcp --dport 1723 -s 51.200.100.101 -d 194.250.185.235 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -p udp --dport 1723 -s 51.200.100.101 -d 194.250.185.235 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -p gre -s 51.200.100.101 -d 194.250.185.235 -j ACCEPT

iptables -A FORWARD -i $lan -o $wan -p tcp --dport 1723 -s 51.200.100.102 -d 194.250.185.235 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -p udp --dport 1723 -s 51.200.100.102 -d 194.250.185.235 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -p gre -s 51.200.100.102 -d 194.250.185.235 -j ACCEPT

L’entreprise en face m’a bien dit que c’était le port 1723 et que les protocoles sont tcp et pptp (donc gre : 47)

Que faire ?!
TCHO et bon ap’ !
ccc29

quote="ccc29"
J’utilise ces @ IP sur mon réseau local qui sont ensuite natées à travers ce même Firewall. Elles ne sont donc pas publiques (ça ne pose pas problème ?!)
(…)[/quote]Ben si quelqu’un de ton lan veut aller consulter la secu anglaise si…
Sinon, il y a des classes d’adresses privées faites pour ça, et si tu ne veux pas prendre du 192.168 ou du 10, pkoi tu n’adresses pas en 172.16.0-31 ?
il y a de la place dans les franges normalement destinées à un usage privé, sais tu ?
fr.wikipedia.org/wiki/RFC_1918

Oui oui je suis au courant. (Pour infos, je suis en licence professionnelle réseaux mobiles et sécurité et j’ai un DUT Génie télécommunications et réseaux). je sais, ça fait un peu pompeux mais bon…
Je suis arrivé dans l’entreprise cette année et le réseau est en place depuis quelques années… Pourquoi cette classe d’@ a été décidé, je n’en sais rien du tout.

Au fait, est-ce que tu as une idée pour mon VPN ?!
Ce problème ne t’es jamais arrivé ?!

TCHO !

[quote=“ccc29”]Oui oui je suis au courant. (Pour infos, je suis en licence professionnelle réseaux mobiles et sécurité et j’ai un DUT Génie télécommunications et réseaux). je sais, ça fait un peu pompeux mais bon…[/quote]Oui enfin j’ai connu un paquet d’incapables bardés de diplomes qui ne savaient pas ou était le bouton ON/OFF et des incultes omnipotents qui donnaient leurs ordres en direct aux éléctrons, aussi.
Une sous directrice informatique d’un grand groupe audiovisuel que je ne nommerais pas, m’a dit un jour que je la dépannait “c’est quoi la ligne de commande msdos ?”. Maintenant je sais: un DESS d’informatique de l’audiovisuel est un pipo complet, par exemple.[quote=“ccc29”]Je suis arrivé dans l’entreprise cette année et le réseau est en place depuis quelques années… Pourquoi cette classe d’@ a été décidé, je n’en sais rien du tout.[/quote]Alors impose un fonctionnement normal. Montre que tu sais provoquer des gros chantiers inutiles comme n’importe lequel des cadres qui t’entourent.[quote=“ccc29”]Au fait, est-ce que tu as une idée pour mon VPN ?!
Ce problème ne t’es jamais arrivé ?!
TCHO ![/quote]Je ne vois pas de quoi tu parles. Je survoles parfois un peu les fils, c’est ou ?

Merci de m’avoir remis à ma place “d’omnipotent”…

J’essaie de faire passer une connexion VPN (les clients sont dans mon entreprise) à travers mon firewall et ça bloque toujours (erreur 800) !

Voila les clients qui doivent passer :

iptables -A FORWARD -i $lan -o $wan -p tcp --dport 1723 -s 51.200.100.101 -d 194.250.185.235 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -p udp --dport 1723 -s 51.200.100.101 -d 194.250.185.235 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -p gre -s 51.200.100.101 -d 194.250.185.235 -j ACCEPT

iptables -A FORWARD -i $lan -o $wan -p tcp --dport 1723 -s 51.200.100.102 -d 194.250.185.235 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -p udp --dport 1723 -s 51.200.100.102 -d 194.250.185.235 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -p gre -s 51.200.100.102 -d 194.250.185.235 -j ACCEPT

L’entreprise en face m’a bien dit qu’ils utilisent le port 1723 et que les protocoles sont tcp et gre (car ils utilisent le protocole pptp)

Que faire ?!

ccc29

ben déjà, tu leur dit de faire une recherche google avec les mots clés failles pptp (avec un s à failles). Le résultat commence par "Double palme d’or…"
Ensuite, tu regarde du coté openvpn, qui se configure pareil sous linux et comme service nt.
forum.debian-fr.org/viewtopic.php?t=4376

sinon, je n’ai jamais fait de pptp en nat (mon serveur d’accés était en frontal à l’époque), mais tes règles m’ont l’air logiques, à part peut être qu’il manque un -t nat . Il faut vérifier que tu as bien les modules nécessaires au routage de gre (ip_gre ?).
Quel est le problême, donc ?

Salut !

Il manque un -t nat ?! Je ne vois pas bien ou est-ce qu’il manque ça ?

Pour connaitre les modules, c’est bien “lsmod” ? Effectivement, ip_gre n’est pas présent ! Un apt-get install ip_gre me sauve ? En tous cas, quand je fais cette commande, il ne trouve aucun paquet ip_gre… Ca doit être autre chose.
Je manque franchement de pratique en Linux mais je cherche…

Je continue cette journée à mes recherches incessantes et assez usantes !
Je compte sur vous ! Sans vous, je suis perdu, lool !

A+

[quote=“ccc29”]Salut ![/quote]Yo![quote=“ccc29”]Il manque un -t nat ?! Je ne vois pas bien ou est-ce qu’il manque ça ?[/quote]Sur toutes les lignes.[quote=“ccc29”]Pour connaitre les modules, c’est bien “dmesg” ? Je manque franchement de pratique en Linux mais je cherche…[/quote]Une partie des messages de chargement des modules passe par dmesg, mais pas tout.
Pour avoir tous les messages, fais un ‘tail -qf /var/log/syslog’ (syslog chope tout les logs) ou lancer une xconsole, et au moment du chargement des modules, tu devrais voir passer les messages interressants.[quote=“ccc29”]Je continue cette journée à mes recherches incessantes et assez usantes !
Je compte sur vous ! Sans vous, je suis perdu, lool !
A+[/quote]C’est bien: tu dis à ta boite de filer une sub à la communauté pour continuer à t’aider ?

Tu es sur que c’est indispensable ?

[quote=“mattotop”]Une partie des messages de chargement des modules passe par dmesg, mais pas tout.
Pour avoir tous les messages, fais un ‘tail -qf /var/log/syslog’ (syslog chope tout les logs) ou lancer une xconsole, et au moment du chargement des modules, tu devrais voir passer les messages interressants.[/quote]

Voila ce que ça me donne : (je vois pas grand chose…)

Firwall:~# tail -qf /var/log/syslog
Nov 17 08:17:01 localhost /USR/SBIN/CRON[4075]: (root) CMD ( run-parts --report /etc/cron.hourly)
Nov 17 08:32:19 localhost – MARK –
Nov 17 08:52:19 localhost – MARK –
Nov 17 09:12:19 localhost – MARK –
Nov 17 09:17:01 localhost /USR/SBIN/CRON[4079]: (root) CMD ( run-parts --report /etc/cron.hourly)
Nov 17 09:32:19 localhost – MARK –
Nov 17 09:52:19 localhost – MARK –
Nov 17 10:12:19 localhost – MARK –
Nov 17 10:17:01 localhost /USR/SBIN/CRON[4083]: (root) CMD ( run-parts --report /etc/cron.hourly)
Nov 17 10:32:19 localhost – MARK –

tail /var/log/messages c’est pire…

Je vais en parler ! je pense que ça peut se faire…

J’ai fait un “lsmod” et effectivement, ip_gre n’est pas présent ! Un apt-get install ip_gre me sauve ? En tous cas, quand je fais cette commande, il ne trouve aucun paquet ip_gre…

Ca doit être une autre commande pour installer les modules… je cherche !

C’est pas insmod ip_gre par hasard ?? Ca marche pas non plus…

si c’est un module, mais comme je disais, je ne suis plus sûr du nom.
Je vais faire un find chez moi pour te dire quels modules.
Pour le -t nat tu as raison, c’est idiot, je ne sais pas pourquoi je voulais te les faire mettre en nat: c’est d’autant plus idiot qu’il n’y a pas de chaine FORWARD en nat…

c’est modprobe ip_gre

Oui, le modprobe ip_gre fonctionne et voici le début de mon lsmod maintenant :

Firwall:/etc/init.d# lsmod
Module Size Used by
ip_gre 12192 0
ipv6 229892 10
ipt_MASQUERADE 3968 1
ipt_state 2304 3
iptable_nat 22828 2 ipt_MASQUERADE
ip_conntrack 32908 3 ipt_MASQUERADE,ipt_state,iptable_nat
iptable_filter 3072 1
ip_tables 16896 4 ipt_MASQUERADE,ipt_state,iptable_nat,iptable_filter

Merci, ca a bien fonctionné.

Je reteste pour voir si mon VPN fonctionne…

Le VPN ne fonctionne toujours pas !
C’est hallucinant…
J’ai l’impression que rien ne peut le faire marcher…
Erreur 800 pourtant je laisse passer le tcp sur le port 1723 et le protocole GRE ! A L’aide !
Je continue mes recherches en espérant voir cette connection VPN fonctionner un jour.
+