[Dumboton]

Message d'Alastorne : en voulant diviser le sujet pour plus de clarté, j'ai séparé le post initial de Yebmal du reste du topic. Mes excuses. Voici donc ce post greffé au "début" du sujet

Ce message a été initialement lancé depuis le sujet suivant : http://forum.clubnews.fr/viewtopic.php?t=102&start=60

Message initiateur de la discution par Yebmal

[Yebmal]

[quote="Dumboton"]J'ai lu ton message et le forum en question.
Sur ton message j'ai compris que dans l'exemple du ST510 la commande défaisait une règle nat pour le port 5060 établi pour le protocole SIP
De ce que j'ai compris le blocage viendrait du fait que tu as besoin de fixer une règle NAT pour le port 5190.

Merci Dumboton, de toute la peine prise pour comprendre mon post trop confus ; mais voilà, je me suis mal exprimé. Je ne souhaite pour l'instant que la "traduction" de la règle indiquée ci-après écrite pour un ST dans une fenêtre du Terminal :

telnet 10.0.0.138 (+ enter)
Your username (+ enter)
Your password (+ enter)
nat unbind application=SIP port=5060 (+ enter)
config save (+ enter)
system reboot (+ enter)

Il s'agit bien pour moi de traiter le problème posé par SIP et le port 5060. Sous Mac OS, nous disposons d'un Terminal qui nous permet d'entrer ce type de code pour modifier la config du Tecom. C'est dans ce "Terminal" que je compte introduire ta "traduction" pour un Tecom ; en l'occurence la ligne "nat unbind application=SIP port=5060" écrite pour le ST a-t-elle un équivalent pour le Tecom ? Ou bien peut-on traiter ce problème qlqpart dans l'interface du Tecom ? Merci de ton aide.
Bien cordialement
P.S. Désolé, je n'ai parlé du port 5190 que pour ceux qui semblaient s'interroger par ailleurs sur son usage.
_________________
Cordialement, Y.
iMac G5 sous Mac OS X 10.4.2, 2 GHz PowerPC G5, Mémoire installée: 768 Mo, (iSight) — Ethernet intégré et modem AH4021 - v39 — Lg. ligne = 1350 m ; affaibl. = 27.5 db — up = 640 kbps ; down=7808 kbps (Adsl Max 10 M Club-Internet + VoIp)

[Dumboton]

[Yebmal]

Je suis confus. Quelquechose a du m'échapper ; après frappe de la première ligne après le passeport, le terminal me renvoit :" iptables: Bad rule (does a matching rule exist in that chain?)". Qu'est-ce que je dois faire? Merci Dumboton
_________________
Cordialement, Y.
iMac G5 sous Mac OS X 10.4.2, 2 GHz PowerPC G5, Mémoire installée: 768 Mo, (iSight) — Ethernet intégré et modem AH4021 - v39 — Lg. ligne = 1350 m ; affaibl. = 27.5 db — up = 640 kbps ; down=7808 kbps (Adsl Max 10 M Club-Internet + VoIp)

[Dumboton]

Ce qui prouve que le port 5060 n'est pas affecté par une une règle NAT. Pour voir les règles en cours tapes iptables -L
_________________

CI c'était des hommes, un service et de la qualité

[Yebmal]

Alors, voilà l'histoire ! Dis-moi que c'est normal …
Réponse à la sollicitation iptables -L :

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpts:16384:16389
ACCEPT udp -- anywhere anywhere udp dpt:2427
ACCEPT 2 -- anywhere anywhere
ACCEPT 2 -- anywhere anywhere
ACCEPT 2 -- anywhere anywhere
ACCEPT 2 -- anywhere anywhere
ACCEPT 2 -- anywhere anywhere
ACCEPT 2 -- anywhere anywhere
ACCEPT 2 -- anywhere anywhere
ACCEPT 2 -- anywhere anywhere
ACCEPT 2 -- anywhere anywhere
ACCEPT 2 -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 239.255.255.253
ACCEPT tcp -- anywhere monadresse tcp dpt:https
ACCEPT all -- anywhere 224.0.0.0/3
ACCEPT all -- anywhere 224.0.0.0/3
ACCEPT all -- anywhere 224.0.0.0/3
ACCEPT all -- anywhere 224.0.0.0/3
ACCEPT all -- anywhere 224.0.0.0/3
ACCEPT all -- anywhere 224.0.0.0/3
ACCEPT all -- anywhere 224.0.0.0/3
ACCEPT all -- anywhere 224.0.0.0/3
ACCEPT all -- anywhere 224.0.0.0/3
ACCEPT all -- anywhere 224.0.0.0/3

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

J'ai remplacé mon adresse IP par "monadresse"
Mais qu'est-ce donc que l'adresse 239.255.255.253 ?
2427 est apparemment le port ouvert pour la VoIP (vérifié dans voice)
Mais qu'est-ce donc que l'adresse 224.0.0.0/3 ?

Bref, cette incursion dans mon Tecom me plonge dans un abîme d'incompréhension ; mais l'exotisme est toujours plaisant !
Cordialmt, DL
_________________
Cordialement, Y.
iMac G5 sous Mac OS X 10.4.2, 2 GHz PowerPC G5, Mémoire installée: 768 Mo, (iSight) — Ethernet intégré et modem AH4021 - v39 — Lg. ligne = 1350 m ; affaibl. = 27.5 db — up = 640 kbps ; down=7808 kbps (Adsl Max 10 M Club-Internet + VoIp)

[Dumboton]

J'ai quelque chose de plus complet complexe :
> iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpts:16384:16389
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT 2 -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpts:1863:1864
ACCEPT tcp -- anywhere anywhere tcp dpt:4443
ACCEPT tcp -- anywhere anywhere tcp dpt:5190
ACCEPT tcp -- anywhere anywhere tcp dpt:5566
ACCEPT tcp -- anywhere anywhere tcp dpts:40000:40099
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 239.255.255.250
ACCEPT all -- anywhere 224.0.0.0/3
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere 239.255.255.250

L'IP 239.255.255.250 et 239.255.255.253 sont des adresses utilisées en broadcast pour la découverte de machines ou devices plug and play
224.0.0.0/3 est associé à du multicast

Dans les deux cas il s'agit de ne pas répondre à des requêtes externes globales

ACCEPT 2 -- anywhere anywhere
c'est pour le protocole igmp

Toujours est-il que à part les ports de la VOIP tu n'as rien de spécial lié à reaim (heureux mac) donc tu peux peut-être essayer de mettre des règles NAT pour les ports de ichat tels que déclarés dans le forum

Avec les infos échangées le topic verse plutôt dans l'insécurité
_________________

CI c'était des hommes, un service et de la qualité

[Yebmal]

Ainsi, tu me crois sur la bonne voie ?
Peux-tu maintenant, me donner un exemple de ces fameuses règles nat pour un port 5060, mais dans l'interface, cette fois ; est-ce dans les "virtual servers setup" ? Si oui, quel nom dois-je donner au custom server ?
Cette manip n'a évidemment aucun effet sur la VoIP ... ?
Merci encore
Cordialmt
DL
_________________
Cordialement, Y.
iMac G5 sous Mac OS X 10.4.2, 2 GHz PowerPC G5, Mémoire installée: 768 Mo, (iSight) — Ethernet intégré et modem AH4021 - v39 — Lg. ligne = 1350 m ; affaibl. = 27.5 db — up = 640 kbps ; down=7808 kbps (Adsl Max 10 M Club-Internet + VoIp)

[Yebmal]

Je te suis particulièrement reconnaissant des risques que tu prends pour ta sécurité Mais j'imagine que les mauvaises gens ne s'aventurent pas dans ce type d'échanges. Cependant, si tu préfères poursuivre en messages privés, dis-le moi ; c'est dommage pour les autres, mais je m'en voudrais de te faire courir des risques inutiles.
_________________
Cordialement, Y.
iMac G5 sous Mac OS X 10.4.2, 2 GHz PowerPC G5, Mémoire installée: 768 Mo, (iSight) — Ethernet intégré et modem AH4021 - v39 — Lg. ligne = 1350 m ; affaibl. = 27.5 db — up = 640 kbps ; down=7808 kbps (Adsl Max 10 M Club-Internet + VoIp)

[jxh]

[Dumboton]

Si la résultat de iptables -L est inchangé
il te faut ouvrir les ports
5060, 5190, 5220, 5222, 5297, 5298, 5353, 5678, 16384-16403

All iChat AV traffic is UDP except for ports 5190 and 5298, which need to be open for both TCP and UDP; and 5220, 5222, and 16384-16403, which need to be open for TCP only.
source : http://docs.info.apple.com/article.html?artnum=93208

A priori aucune interaction avec la VOIP

Il te faut aussi ouvrir les ports sur le firewall du mac :
To chat with the Mac OS X Firewall active, follow these steps to add the necessary ports:

1. From the Apple menu, choose System Preferences.
2. From the View, choose Sharing.
3. Click the Firewall tab.
4. Click New.
5. From the Port Name pop-up menu, choose Other.
6. In the Port Number, Range or Series field, type in:

5060, 5190, 5297, 5298, 5678

7. In the Description field type in: iChat AV
8. Click OK.

Pour les déclarer tu vas dans advanced setup /NAT/Virtuals servers et tu fais comme sur l'image (vérifies si cela correspond au texte, je ne suis pas infaillible) et tu mets l'adresse ip privée du mac à la place de 192.168.1.x


ce n'est pas ma sécurité particulière qui est en cause mais celle de tous les tecoms qui ont les ports cités ouverts.

_________________

CI c'était des hommes, un service et de la qualité

[Yebmal]

Voilà, c'est fait… Cette fois, avec tout ce que Dumboton a pu me donner, je crois que j'ai de quoi réfléchir, apprendre et travailler sur le monde étrange et impitoyable des réseaux pendant des mois. Si vous avez des infos à me demander pour la suite, n'hésitez pas. De toutes façons, je vous tiendrai au courant des progrès que j'ai pu faire et des liaisons A/V que j'aurais pu établir avec iChat et ma si belle machine. C'est quand même une grande aventure que l'Internet et ses réseaux quand on ne s'y sent pas trop seul. Si en outre Club-Internet nous donne ce qu'il promet, on va s'éclater quand on aura des bandes passantes mieux équilibrées. Et bien sûr, merci des tas de fois à Dumboton et Alastorne dont les conseils avisés m'ont stimulé et encouragé. À bientôt, je pense. Yebmal
_________________
Cordialement, Y.
iMac G5 sous Mac OS X 10.4.2, 2 GHz PowerPC G5, Mémoire installée: 768 Mo, (iSight) — Ethernet intégré et modem AH4021 - v39 — Lg. ligne = 1350 m ; affaibl. = 27.5 db — up = 640 kbps ; down=7808 kbps (Adsl Max 10 M Club-Internet + VoIp)

[Dumboton]

Espérons que tu auras ta connection. Je suis cependant intrigué par la différence de résultat de la commande iptables -L entre mon modem et le tien. Est-ce spécifique aux macs ? A première vue ta config n'est pas encombrée par ce boulet de reaim, mais inversement tu n'as rien concernant le log. Pour ce dernier point c'est peut-être parce que j'ai activé le firewall.
Est-ce qu'un autre propriétaire de mac pourrai donner son résultat, soit ici, soit par mail ?
Merci d'avance.
_________________

CI c'était des hommes, un service et de la qualité

[Alastorne]

Pas d'iSight à domicile...

Et vu le prix de la bête, je ne suis pas prêt d'en avoir une à moins que son utilité de se fasse vraiment sentir.

Je savais que tu pourrais donner à Yebmal des conseils bien plus poussés que je ne peux le faire, j'espère qu'il finira par trouver le "hic".
_________________
SFR ADSL+Mobile : Anciennement sur CI 3 - Mac OS X Leopard

[Dumboton]

quand tu fais un iptables -L sous terminal
As-tu quelque chose sur le port 5190 et ses acolytes de reaim comme moi ou rien comme Yebmal ?
_________________

CI c'était des hommes, un service et de la qualité