Contenu | Rechercher | Menus

Annonce

Ubuntu-fr vend de superbes t-shirts et de belles clés USB 32Go
Rendez-vous sur la boutique En Vente Libre

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 29/12/2005, à 21:32

Isaric

IPTABLES et Freeplayer/VLC

Suite de http://forum.ubuntu-fr.org/viewtopic.ph … 62#p157462

alexmic a écrit :
$sudo iptables -P OUTPUT ACCEPT
$sudo iptables -P FORWARD ACCEPT
$sudo iptables -P INPUT ACCEPT
$vlc &
/*la tu testes sur ton pc si tu recois la tv*/
/*si ça marche tu vas sur le site de test et tu regardes si les ports sont rouges (ce qui DOIT etre le cas*/
$sudo /etc/init.d/ubuntu-firewall.sh reload 
/* tu relances ton firewall et tu vérifies que tout est redevenu vert*/

C'est ce que j'ai fait... et là je reçois la TV avec VLC 8.4a svn de "nerve"
J'ai regardé les ports à https://www.grc.com/x/ne.dll?bh0bkyd2, j'ai sélectionné "All Service Ports"
Tout est vert de 0 à 1055 également !!!

remarque, j'ai noté des trucs
Veuillez vérifier que votre firewall laisse passer les connexions
sortantes UDP port 1234 vers 212.27.38.253 et
connexions entrantes TCP port 8080 à partir de 212.27.38.253

Pour le multiposte :  UDP 1024 -> 65535 pour l'IP source 212.27.38.253

Au lancemant de VLC (Flux vidéo) j'ai :
...
Sending request: SETUP rtsp://212.27.38.253/freeboxtv/201 RTSP/1.0
CSeq: 3
Transport: RTP/AVP;unicast;mode=play;destination=192.168.0.1;
client_port=32782-32783;server_port=32768-32769
...
Mais je ne sais pas trop quoi en faire ?

Je regarde les éléments de
http://www.tvfreeplayer.com/?module=tut … ec_Iptable
sur IPTABLES

Il me faut maintenant l'inclure dans ma configuration d'IPTABLES actuelle ????



Et dans
# sudo gedit /etc/default/custom_firewall_rules ???


Si je mets OPEN_TCP_PORTS="8080", je peux avoir Homeplayer, Est-ce encore sécurisé ?

Dernière modification par Isaric (Le 25/01/2006, à 08:06)


"Être bahá'í signifie simplement aimer la terre toute entière, aimer l'humanité et essayer de la servir, travailler pour la paix universelle et la famille humaine" 'Abdul'l-Bahá
"Vouloir s'ouvrir aux autres n'est pas une preuve de faiblesse, c'est une preuve d'intelligence"  Matthieu Ricard.
ma config

Hors ligne

#2 Le 31/12/2005, à 12:44

arvin

Re : IPTABLES et Freeplayer/VLC

Est ce que tu as posé la question à Robert Pectol?
N.B: Ecris lui en anglais

http://rob.pectol.com/component/option, … Itemid,30/


Mon blog pour Linux: http://jujuseb.com

Hors ligne

#3 Le 07/01/2006, à 19:04

Isaric

Re : IPTABLES et Freeplayer/VLC

Je regarde le post
http://forum.ubuntu-fr.org/viewtopic.php?id=9457
On y précise qu'il faut ouvrir l'adresse ip suivante : 212.27.38.253

Comment faire dans mon cas également pour IPTABLE

arvin a écrit :

Est ce que tu as posé la question à Robert Pectol?
N.B: Ecris lui en anglais

http://rob.pectol.com/component/option, … Itemid,30/

Oui dans un speudo anglais, sans réponse !:(

Dernière modification par Isaric (Le 25/01/2006, à 08:08)


"Être bahá'í signifie simplement aimer la terre toute entière, aimer l'humanité et essayer de la servir, travailler pour la paix universelle et la famille humaine" 'Abdul'l-Bahá
"Vouloir s'ouvrir aux autres n'est pas une preuve de faiblesse, c'est une preuve d'intelligence"  Matthieu Ricard.
ma config

Hors ligne

#4 Le 08/01/2006, à 11:43

Isaric

Re : IPTABLES et Freeplayer/VLC

On me dit : http://www.tvfreeplayer.com/forum/viewtopic.php?t=911

Mathieu a écrit :

Je ne sais pas comment on fait pour ouvrir une plage de ports dans iptable, en tous cas il faut ouvrir sa : UDP 1024 -> 65535 pour l'IP source 212.27.38.253

Sa ces pour le vlc classique.
Le vlc-crazy lui utilise seulement 2 ports pour plus de sécurité.

:wink:

Quelqu'un sait-il faire avec IPTABLE ?
Ma config configuration IPTABLES basée sur http://rob.pectol.com/content/view/14/29/

Que rajouter à IPTABLES pour le multiposte ?

Dernière modification par Isaric (Le 16/01/2006, à 08:56)


"Être bahá'í signifie simplement aimer la terre toute entière, aimer l'humanité et essayer de la servir, travailler pour la paix universelle et la famille humaine" 'Abdul'l-Bahá
"Vouloir s'ouvrir aux autres n'est pas une preuve de faiblesse, c'est une preuve d'intelligence"  Matthieu Ricard.
ma config

Hors ligne

#5 Le 08/01/2006, à 11:50

arvin

Re : IPTABLES et Freeplayer/VLC

Lorsque l'on veut définir, non pas un port mais une plage de ports, les écritures suivantes sont autorisées :

    * --dport 1024:1999 autorisera la plage de ports [1024,1999] en destination (ça marche aussi avec --sport),
    * -- dport 1024: veut dire que tous les ports supérieurs où égaux à 1024 seront acceptés en destination.


Vue sur le site http://christian.caleca.free.fr/netfilter/iptables.htm

Tu devrais créer une règle spécifique dans le custum rules comme je l'ai fais sur http://forum.ubuntu-fr.org/viewtopic.php?pid=150488#p150488 pour une autre raison. Mais si mes souvenir sont bons tu as déjà fais cette manipulation wink

Dernière modification par arvin (Le 08/01/2006, à 11:59)


Mon blog pour Linux: http://jujuseb.com

Hors ligne

#6 Le 10/01/2006, à 14:25

Isaric

Re : IPTABLES et Freeplayer/VLC

Je reçoit la TV sans IPTABLES sur VLC, mais pas avec IPTABLES
Dans : Preferences/Input/Demuxer/RTP: (cocher options avancées).
J'ai 31337
J'ai cette info au lancemant de vlc

 Sending request: SETUP rtsp://212.27.38.253/freeboxtv/201 RTSP/1.0
CSeq: 3
Transport: RTP/AVP;unicast;mode=play;destination=192.168.0.1;
client_port=31336-31337;server_port=32768-32769

Ma config configuration IPTABLES basée sur http://rob.pectol.com/content/view/14/29/

Si je mets OPEN_TCP_PORTS="8080", je peux avoir Homeplayer.
Mais pour UDP il faut mettre ? OPEN_UDP_PORTS="31336 31337" ???

Que faut-il rajouter au fichier règles # sudo gedit /etc/default/custom_firewall_rules ?

iptables -t nat -A PORTFW -s 212.27.38.253 -p udp -j DNAT --to-destination 192.168.0.1
iptables -t filter -A PORTFWACCESS -s 212.27.38.253 -p udp -j ACCEPT

cela ???

iptables -A INPUT -p tcp -s 212.27.38.253  --dport 8080 -j ACCEPT
iptables -A PREROUTING -t nat -p tcp -d $IP_lan-deFREE--dport 8080 -j DNAT --to-destination 192.168.0.1:8080

????

Malgré toutes ces informations et celles de
http://forum.ubuntu-fr.org/viewtopic.php?id=22495
http://forums.fr.ixus.net/viewtopic.php … sc&start=0

Il faut savoir que les port 8080 TCP et 1234 UDP sont utilisés.

Le port 1234 UDP est utilisé pour envoyer le stream vers la freebox. ...
Si vous avez restreint le traffic sortant de votre Green il faut ajouter le port TCP 1234 vers l'adresse 212.27.38.253 pour que cela fonctionne.

Le port 8080 TCP est utilisé pour que la freebox récupère la playlist et envoie les instruction de lecture, pause, etc à VLC. Les transfert se font en utilisant l'adresse IP 212.27.38.253. Il est necessaire d'ouvrir le port 8080 TCP vers l'adresse du poste éxécutant VLC (cf capture d'écran).

Ma config configuration IPTABLES basée sur http://rob.pectol.com/content/view/14/29/
Avec IPTABLES, si je mets OPEN_TCP_PORTS="8080", je peux avoir Homeplayer, mais cela ne me donne pas la TV dans vlc !


Je n'ai pas réussi à rajouter des lignes, les règles à IPTABLES, quelqu'un sait-il faire ?

Dernière modification par Isaric (Le 16/01/2006, à 08:57)


"Être bahá'í signifie simplement aimer la terre toute entière, aimer l'humanité et essayer de la servir, travailler pour la paix universelle et la famille humaine" 'Abdul'l-Bahá
"Vouloir s'ouvrir aux autres n'est pas une preuve de faiblesse, c'est une preuve d'intelligence"  Matthieu Ricard.
ma config

Hors ligne

#7 Le 10/01/2006, à 15:32

arvin

Re : IPTABLES et Freeplayer/VLC

A tu essayé de mettre les lignes ci-dessous dans un fichier texte.

Isaric a écrit :
#-------------D E B U T--------------------
#-------------------------------------------
#-------------------------------------------
#
# WAN <-> FREEBOX <-eth0 | PC-ROUTEUR | eth1-> swtich <->
PC-FREEPLAYER
#
#-------------------------------------------

IPTABLES="/sbin/iptables"

#-------------------------------------------
#votre IP Free public sur eth0
#-------------------------------------------

IPFREE="AAA.BBB.CCC.DDD"

#-------------------------------------------
#votre IP Local sur eth1
#-------------------------------------------

IPLOCAL="192.168.0.1"

#-------------------------------------------
#Interface réseau du routeur/FW
#-------------------------------------------

IFFREE="eth0"
IFLOCAL="eth1"

#-------------------------------------------
#adresse IP local du serveur freeplayer
#-------------------------------------------

IPPLAYER="192.168.0.2"

#-------------------------------------------
#On accepte en sortie Lan ---> Freebox sur 1234
#-------------------------------------------

$IPTABLES -A OUTPUT -o eth0 -p tcp --sport 1234 -j ACCEPT

#-------------------------------------------
# Ouverture et redirection sur le Player
#-------------------------------------------

# sur 1 seule ligne ce qui suit
#------------------------------
$IPTABLES -A INPUT -p tcp -s 212.27.38.253  --dport 8080 -j ACCEPT

# sur 1 seule ligne ce qui suit
#------------------------------
$IPTABLES -A PREROUTING -t nat -p tcp -d $IPFREE--dport 8080 -j
DNAT --to-destination $IPPLAYER:8080

#----------------------F I N----------------
# Attention ces lignes sont à rajouter dans un script existant.
# Ces seules lignes ne suffisent pas a protéger votre réseau
#-------------------------------------------

Tu renseignes le chemin de ce fichier ensuite dans le custum rules.


Mon blog pour Linux: http://jujuseb.com

Hors ligne

#8 Le 11/01/2006, à 07:45

Isaric

Re : IPTABLES et Freeplayer/VLC

Oui, mais mon PC n'est pas en routeur !

Dernière modification par Isaric (Le 25/01/2006, à 08:09)


"Être bahá'í signifie simplement aimer la terre toute entière, aimer l'humanité et essayer de la servir, travailler pour la paix universelle et la famille humaine" 'Abdul'l-Bahá
"Vouloir s'ouvrir aux autres n'est pas une preuve de faiblesse, c'est une preuve d'intelligence"  Matthieu Ricard.
ma config

Hors ligne

#9 Le 11/01/2006, à 08:16

Isaric

Re : IPTABLES et Freeplayer/VLC

J'en suis à penser qu'il faut :

Dans sudo gedit /etc/default/ubuntu-firewall-cfg
OPEN_TCP_PORTS="8080"
OPEN_UDP_PORTS="31336 31337"
Dans sudo gedit /etc/default/custom_firewall_rules

# pour Homeplayer ou Jukebox player
iptables -A INPUT -p tcp -s 212.27.38.253  --dport 8080 -j ACCEPT
iptables -A PREROUTING -t nat -p tcp -d 192.168.0.254 --dport 8080 -j DNAT --to-destination 192.168.0.1:8080

Et peut-être un truc de la dedans
# TV avec vlc port d'écoute de VLC 31336-33337
# 1
### iptables -A INPUT -p udp -s 212.27.38.253  --dport 31336 -j ACCEPT
### iptables -A PREROUTING -t nat -p udp -d 192.168.0.254  --dport 31336 -j DNAT --to-destination 192.168.0.1:31336
### iptables -A INPUT -p udp -s 212.27.38.253  --dport 31337 -j ACCEPT
### iptables -A PREROUTING -t nat -p udp -d 192.168.0.254  --dport 31337 -j DNAT --to-destination 192.168.0.1:31337
# 2
#iptables -t nat -A PORTFW -s 212.27.38.253 -p udp -j DNAT --to-destination 192.168.0.1
#iptables -t filter -A PORTFWACCESS -s 212.27.38.253 -p udp -j ACCEPT
# 3
#IPTABLES="/sbin/iptables"

Mais rien ne marche sad

#$IPTABLES -A OUTPUT -o eth0 -p tcp --sport 1234 -j ACCEPT
#$IPTABLES -A INPUT -p tcp -s 212.27.38.253  --dport 8080 -j ACCEPT
#$IPTABLES -A PREROUTING -t nat -p tcp -d "82.XXX.XXX.XXX" (j'ai mis ici mon ip free donné à http://adsl.free.fr/admin/show_ip.html)--dport 8080 -j DNAT --to-destination 192.168.0.1:8080

Dernière modification par Isaric (Le 11/01/2006, à 08:21)


"Être bahá'í signifie simplement aimer la terre toute entière, aimer l'humanité et essayer de la servir, travailler pour la paix universelle et la famille humaine" 'Abdul'l-Bahá
"Vouloir s'ouvrir aux autres n'est pas une preuve de faiblesse, c'est une preuve d'intelligence"  Matthieu Ricard.
ma config

Hors ligne

#10 Le 11/01/2006, à 10:00

arvin

Re : IPTABLES et Freeplayer/VLC

Peut être que sur le post de Robert Pectol tu auras plus de chance.
http://www.ubuntuforums.org/showthread. … t+iptables


Mon blog pour Linux: http://jujuseb.com

Hors ligne

#11 Le 15/01/2006, à 16:53

Isaric

Re : IPTABLES et Freeplayer/VLC

Si je fais :

isaric@acer:~$ sudo  iptables -A INPUT -p udp -j ACCEPT

J'ai la TV
Ensuite, je fais

isaric@acer:~$ sudo /etc/init.d/ubuntu-firewall.sh reload
Reloading Ubuntu-firewall...
...
isaric@acer:~$

Et je n'ai plus la TV

avec dans iptables_vlc

#!/bin/bash
iptables="/sbin/iptables"
iptables -I INPUT -i eth0 -p udp -s 212.27.54.252 --dport 31336  -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport rtsp -s 192.168.0.254 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport rtsp -d 192.168.0.254  -j ACCEPT
iptables -I OUTPUT -o eth0 -p udp --sport 31337 -d 212.27.54.252  -j ACCEPT

ou

#!/bin/bash
iptables="/sbin/iptables"
iptables -I INPUT -p udp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport rtsp -s 212.27.54.252 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport rtsp -d 212.27.54.252  -j ACCEPT
iptables -I OUTPUT -o eth0 -p udp --sport 31337 -d 212.27.54.252  -j ACCEPT
nurve a écrit :

Que mettre en souce pour le input.
Le prob c'est que si on met la source que nous donne tcpdump ça marche pas
C'est tres étrange ou alors c'est un prob avec iptables ou netfilter sous ubuntu ...

Je suis aussi étonné que tu n'aies pas besoin du port 544 ... c'est le port rtsp.
Mais je me souviens bien ton firewall accepte tout en sortie et surement tout
ce qui a un state ESTABLISHED

Que faire ?

Photos vlc
réseau udp/rtp port 1234 vlc1.png
flux de sortie rtp port 1234 et port audio 1230 vlc2.png
Démultiplexeur RTP/RTSP/SDP (utilisant Live.com udp port béta crazy 31337 vlc3.png

Dernière modification par Isaric (Le 28/01/2006, à 12:01)


"Être bahá'í signifie simplement aimer la terre toute entière, aimer l'humanité et essayer de la servir, travailler pour la paix universelle et la famille humaine" 'Abdul'l-Bahá
"Vouloir s'ouvrir aux autres n'est pas une preuve de faiblesse, c'est une preuve d'intelligence"  Matthieu Ricard.
ma config

Hors ligne

#12 Le 23/01/2006, à 15:25

Isaric

Re : IPTABLES et Freeplayer/VLC

Si je mets dans les RULES... :

iptables -A INPUT -p udp -j ACCEPT

J'ai la TV.

Avec

iptables -A INPUT -p udp --dport 1024:65535 -j ACCEPT

J'ai aussi la TV.

Mais avec

iptables -A INPUT -s 212.27.38.253 -p udp --dport 1024:65535 -j ACCEPT

Je n'ai plus la TV, que faut-il mettre ???

Pour avoir UDP 1024 -> 65535 pour l'IP source 212.27.38.253


olivier  a écrit :

IsaRic a écrit :

>> La ligne
>>
>> iptables -A INPUT -p udp --dport 32768:65535 -j ACCEPT
>> ne marche pas
>> seul
>> iptables -A INPUT -p udp --dport 1024:65535 -j ACCEPT
>> marche


    C'est assez loufoque comme problème. Les fichiers que tu m'as envoyé
dans ton dernier mail, la configuration décrite dans tes précédents
mails, et les RFC d'IP n'indique pas que tu as besoin à un quelconque
momment des ports de 1024 à 32767.


>> qu'entends-tu par
>>
>> tu passes par une connexion "bizarre" sur le port 554


    D'après http://adsl.free.fr/tv/multiposte/ , il faut utiliser l'URL
http://mafreebox.freebox.fr/freeboxtv/playlist.m3u . C'est écrit sur
cette page, ce n'est ni moi qui l'ai inventé, ni ai ait conçu la FreeBox
pour cela.

    Or toi, tu utilises une configuration différente avec

"rtsp://mafreebox.freebox.fr/freeboxtv/201 RTSP/1.0"

    D'où mon mail où je dis que tu utilises une configuration "bizarre",
car non standard avec ce qu'indique Free sur son site.

    Il est possible que cela marche, mais en tout cas, je ne sais pas où tu
as trouvé ces informations là.

je lance VLC (configuration de smeg) par la commande :
vlc http://mafreebox.freebox.fr/freeboxtv/playlist.m3u

"rtsp://mafreebox.freebox.fr/freeboxtv/201 RTSP/1.0"
C'est la chaîne France 2

Dernière modification par Isaric (Le 24/01/2006, à 09:01)


"Être bahá'í signifie simplement aimer la terre toute entière, aimer l'humanité et essayer de la servir, travailler pour la paix universelle et la famille humaine" 'Abdul'l-Bahá
"Vouloir s'ouvrir aux autres n'est pas une preuve de faiblesse, c'est une preuve d'intelligence"  Matthieu Ricard.
ma config

Hors ligne

#13 Le 26/01/2006, à 18:24

Isaric

Re : IPTABLES et Freeplayer/VLC

Enfin ouf, j'ai identifié les deux ports  pour voir la TV :

#
iptables -A INPUT -p udp --dport 31336 -j ACCEPT
#
iptables -A INPUT -p udp --dport 15947 -j ACCEPT

Pourtant dans : Preferences/Input/Demuxer/RTP: (cocher options avancées).
J'ai 31337



Cela marche aussi

# pour VLC
# pour VLC
# 
iptables -A INPUT -p udp --sport 15947 --dport 15947 -s 192.168.0.1 -d 228.67.43.91 -j ACCEPT
#
iptables -A INPUT -p udp --sport 32782 --dport 31336 -s 192.168.0.254 -d 192.168.0.1 -j ACCEPT

Comment cela s'explique ?

Dernière modification par Isaric (Le 27/01/2006, à 08:59)


"Être bahá'í signifie simplement aimer la terre toute entière, aimer l'humanité et essayer de la servir, travailler pour la paix universelle et la famille humaine" 'Abdul'l-Bahá
"Vouloir s'ouvrir aux autres n'est pas une preuve de faiblesse, c'est une preuve d'intelligence"  Matthieu Ricard.
ma config

Hors ligne

#14 Le 26/01/2006, à 20:02

velasquez

Re : IPTABLES et Freeplayer/VLC

bon je crois que j'ai trouvé, un post de cette page m'a mis sur la piste:

il faut autoriser le port 544 en TCP (c'est RTSP) dans iptables depuis la freebox (212.27.38.253) vers le FW.
Et hop! on peut alors remettre SHOREWALL/IPTABLES actif,secure , plus de pb.

héhé

Hors ligne

#15 Le 26/01/2006, à 20:26

velasquez

Re : IPTABLES et Freeplayer/VLC

fausse alerte! l'histoire du port 544 ne marche pas ...:(:(:(

je ne comprends pas ce qui fait que pour etablir la connexion, la regle INPUT NET--> FW doit être ACCEPT
je ne vois pas les paquets qui se servent de cette caractéristique a la connexion.

hmm

Hors ligne

#16 Le 27/01/2006, à 08:36

Isaric

Re : IPTABLES et Freeplayer/VLC

olivier a écrit :

L'analyse de tes logs explique pourquoi les options "-s 212.27.38.253"
empêchent vlc-crazy de récupérer la vidéo :
...
Jan 26 09:40:27 localhost kernel: [4302110.430000] atkbd.c: Use 'setkeycodes e02a <keycode>' to make it known.

Jan 26 09:42:28 localhost kernel: [4302231.350000] IN=eth0 OUT= MAC= SRC=192.168.0.1 DST=228.67.43.91 LEN=39 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=UDP SPT=15947 DPT=15947 LEN=19

Jan 26 09:42:33 localhost kernel: [4302236.350000] IN=eth0 OUT= MAC= SRC=192.168.0.1 DST=228.67.43.91 LEN=39 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=UDP SPT=15947 DPT=15947 LEN=19

Jan 26 09:42:38 localhost kernel: [4302241.405000] IN=eth0 OUT= MAC=00:0d:87:bf:88:f7:00:07:cb:17:14:58:08:00 SRC=192.168.0.254 DST=192.168.0.1 LEN=1356 TOS=0x00 PREC=0xE0 TTL=57 ID=14558 DF PROTO=UDP SPT=32826 DPT=31336 LEN=1336
...

On voit ici très nettement que les paquets ne viennent pas de "mafreebox.freebox.fr" ("212.27.38.253"), mais bien de "192.168.0.1".
Chose que je ne m'explique pas du tout, car cette adresse est en fait celle de ton propre PC. C'est très très étonnant. L'équipement qui t'envoie de la vidéo (la FreeBox normalement) se fait en fait passer toi... Je pense qu'il s'agit là d'un mode de fonctionnement de "vlc-crazy", que je trouve assez... surprenant.
...
Ici, c'est bien le port 15947 qui est la destination, comme tu en as
déjà parlé. Sais-tu d'où sort ce numéro de port ? Où est il configuré ?

Non

olivier a écrit :

2nd chose très étrange. Là encore, je m'attendais à ce que ce soit "mafreebox.freebox.fr" ("212.27.38.253") qui t'envoie ces paquets. Or ces paquets sont envoyés par "192.168.0.254" qui est en fait l'adresse "officiel" de ta Freebox dans ton réseau. Hummm, c'est vraiment bizarre... Le fait que tu utilises le protocole "RTP" est peut-être la cause de ces bizarreries...

Est-tu sûr d'avoir "31337" dans ton "Préférences/Input/Demuxer/RTP" de
vlc-crazy ?

oui, certain --> UDP Port (beta - crazy) ... 31337

Dernière modification par Isaric (Le 30/01/2006, à 15:21)


"Être bahá'í signifie simplement aimer la terre toute entière, aimer l'humanité et essayer de la servir, travailler pour la paix universelle et la famille humaine" 'Abdul'l-Bahá
"Vouloir s'ouvrir aux autres n'est pas une preuve de faiblesse, c'est une preuve d'intelligence"  Matthieu Ricard.
ma config

Hors ligne

#17 Le 28/01/2006, à 14:58

Isaric

Re : IPTABLES et Freeplayer/VLC

La règle d'IPTABLES pour me permettre de recevoir multiposteTV est pour VLC
iptables -A INPUT -p udp --sport 15947 --dport 15947 -s 192.168.0.1 - 228.67.43.91 -j ACCEPT
iptables -A INPUT -p udp --sport 32750:32950 --dport 31336 -s 192.168.0.254 -d 192.168.0.1 -j ACCEPT

Comment ce fait-il que ce soit tout sauf :
"mafreebox.freebox.fr" ("212.27.38.253") qui m'envoie ces paquets.

Est-ce le protocole "RTP" qui en est la cause ?

Dernière modification par Isaric (Le 15/02/2006, à 18:00)


"Être bahá'í signifie simplement aimer la terre toute entière, aimer l'humanité et essayer de la servir, travailler pour la paix universelle et la famille humaine" 'Abdul'l-Bahá
"Vouloir s'ouvrir aux autres n'est pas une preuve de faiblesse, c'est une preuve d'intelligence"  Matthieu Ricard.
ma config

Hors ligne

#18 Le 02/02/2006, à 18:30

Creposukre

Re : IPTABLES et Freeplayer/VLC

Salut je crois avoir trouvé, après des dizaines de tentatives infructueuses j'ai réussi grâce à firestarter
dans politique du trafic entrant j'ai autorisé les port 31336 et 15947 en provenance de la freebox et le multiposte marche du tonnerre (enfin, normalement).
Pour le freeplayer, j'ai pas encore testé par contre.

En espérant vous avoir aidé ...

#19 Le 03/02/2006, à 07:44

Isaric

Re : IPTABLES et Freeplayer/VLC

Ben c'est déjà ce qu'il y a d'écrit d'une façon différente dans les règles IPTABLES :

--dport 15947
--dport 31336

Si tu ouvres les ports seulement, il me semble que ce n'est pas une protection ! mais là je ne suis pas un expert ...


"Être bahá'í signifie simplement aimer la terre toute entière, aimer l'humanité et essayer de la servir, travailler pour la paix universelle et la famille humaine" 'Abdul'l-Bahá
"Vouloir s'ouvrir aux autres n'est pas une preuve de faiblesse, c'est une preuve d'intelligence"  Matthieu Ricard.
ma config

Hors ligne

#20 Le 15/02/2006, à 17:58

Isaric

Re : IPTABLES et Freeplayer/VLC

Isaric a écrit :

La règle d'IPTABLES pour me permettre de recevoir multiposteTV est pour VLC
iptables -A INPUT -p udp --sport 15947 --dport 15947 -s 192.168.0.1 - 228.67.43.91 -j ACCEPT
iptables -A INPUT -p udp --sport 32750:32950 --dport 31336 -s 192.168.0.254 -d 192.168.0.1 -j ACCEPT

Comment ce fait-il que ce soit tout sauf :
"mafreebox.freebox.fr" ("212.27.38.253") qui m'envoie ces paquets.

Est-ce le protocole "RTP" qui en est la cause ?

Après 2 loupés d'enregistrements avec Fricorder, je m'aperçois qu'il faut maintenant encore changer les règles IPTABLES pour FreeBoxTV multiposte :

# 
iptables -A INPUT -s 212.27.38.253 -d 192.168.0.1 -p udp --sport 32750:32950 --dport 31336 -m state --state ! INVALID -j ACCEPT
# 
iptables -A INPUT -s 192.168.0.1 -d 228.67.43.91 -p udp --sport 15947 --dport 15947 -m state --state ! INVALID -j ACCEPT

Est-ce une mise à jour du serveur Free ?
Je crois que cela ressemble maintenant un peu plus à ce qu'on peut voir sur d'autres posts, ouf !

ma config :
HTMLiptables.html

Dernière modification par Isaric (Le 15/02/2006, à 18:00)


"Être bahá'í signifie simplement aimer la terre toute entière, aimer l'humanité et essayer de la servir, travailler pour la paix universelle et la famille humaine" 'Abdul'l-Bahá
"Vouloir s'ouvrir aux autres n'est pas une preuve de faiblesse, c'est une preuve d'intelligence"  Matthieu Ricard.
ma config

Hors ligne

#21 Le 20/02/2006, à 22:09

halucard22

Re : IPTABLES et Freeplayer/VLC

Bon voici mon script iptables pour freeplayer, multiposte.
Je precise aussi que j'ai mis ma freebox v4 en routeur.

#! /bin/sh

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP

iptables -N LOG_ACCEPT
iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : '
iptables -A LOG_ACCEPT -j ACCEPT

# Autoriser ttes les connexions sortant du PC vers le Net
#ptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
#ptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -m owner --uid-owner 1000 -j ACCEPT
iptables -A OUTPUT -o eth0 -m owner --uid-owner 1001 -j ACCEPT
iptables -A OUTPUT -o eth0 -m owner --uid-owner 1002 -j ACCEPT
iptables -A OUTPUT -o eth0 -m owner --uid-owner 1003 -j ACCEPT
iptables -A OUTPUT -o eth0 -m owner --uid-owner 1004 -j ACCEPT

####
## Pouvoir sortir du PC vers le Net
####
#DNS
iptables -A INPUT  -i eth0 --protocol udp --source-port 53      -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT  -i eth0 --protocol tcp --source-port 53      -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT

#HTTP
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED     -p tcp --sport 80 -j ACCEPT

#HTTPS
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 443 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED     -p tcp --sport 443 -j ACCEPT

#FTP
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 21 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED     -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p udp --dport 21 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED     -p udp --sport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 20 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED     -p tcp --sport 20 -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p udp --dport 20 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED     -p udp --sport 20 -j ACCEPT

#POP
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 110 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED     -p tcp --sport 110 -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p udp --dport 110 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED     -p udp --sport 110 -j ACCEPT

#SMTP
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 25 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED     -p tcp --sport 25 -j ACCEPT

#NNTP
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 119 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED     -p tcp --sport 119 -j ACCEPT

#NTP
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 123 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED        -p tcp --sport 123 -j ACCEPT

#RSYNC
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 873 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED     -p tcp --sport 873 -j ACCEPT

#JABBER
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 5222 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED     -p tcp --sport 5222 -j ACCEPT

#MSN
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED     -p tcp --sport 1863 -j ACCEPT

#Yahoo
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 5050 -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 5001 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED     -p tcp --sport 5050 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED     -p tcp --sport 5001 -j ACCEPT

#RTSP
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport rtsp -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED     -p tcp --sport rtsp -j ACCEPT

#aMule
#Razorback
iptables -A OUTPUT -o eth0 -p tcp --dport 5661 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --sport 5661 -m state --state ESTABLISHED     -j ACCEPT
#DonkeyServer 1
iptables -A OUTPUT -s 62.241.53.2 -o eth0 -p tcp --dport 4242 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -d 62.241.53.2 -i eth0 -p tcp --sport 4242 -m state --state ESTABLISHED     -j ACCEPT
#DonkeyServer 2
iptables -A OUTPUT -s 62.241.53.16 -o eth0 -p tcp --dport 4242 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -d 62.241.53.16 -i eth0 -p tcp --sport 4242 -m state --state ESTABLISHED     -j ACCEPT
#DonkeyServer 3
iptables -A OUTPUT -s 62.241.53.17 -o eth0 -p tcp --dport 4242 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -d 62.241.53.17 -i eth0 -p tcp --sport 4242 -m state --state ESTABLISHED     -j ACCEPT
#DonkeyServer 5
iptables -A OUTPUT -s 62.241.53.4 -o eth0 -p tcp --dport 4242 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -d 62.241.53.4 -i eth0 -p tcp --sport 4242 -m state --state ESTABLISHED     -j ACCEPT
#DonkeyServer 6
iptables -A OUTPUT -s 62.241.53.15 -o eth0 -p tcp --dport 4242 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -d 62.241.53.15 -i eth0 -p tcp --sport 4242 -m state --state ESTABLISHED     -j ACCEPT
#ByteDevils
iptables -A OUTPUT -o eth0 -p tcp --dport 5306 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --sport 5306 -m state --state ESTABLISHED     -j ACCEPT

#Bittorrent
iptables -A OUTPUT -o eth0 -p tcp --dport 6969 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --sport 6969 -m state --state ESTABLISHED     -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 7000 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --sport 7000 -m state --state ESTABLISHED     -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 7001 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --sport 7001 -m state --state ESTABLISHED     -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 3389 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --sport 3389 -m state --state ESTABLISHED     -j ACCEPT

#Limewire
iptables -A OUTPUT -o eth0 -p tcp --dport 6346 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --sport 6346 -m state --state ESTABLISHED     -j ACCEPT

##########

####
## Pouvoir entrer dans le PC depuis le net
####
#Acces SSH depuis le Net
#iptables -A INPUT -p tcp --dport 2209 -i eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -p tcp --sport 2209 -o eth0 -m state --state ESTABLISHED -j ACCEPT

#Acces HTTP depuis le Net
iptables -A INPUT  -p tcp --dport http -i eth0 -m state --state NEW,ESTABLISHED -j LOG_ACCEPT
iptables -A OUTPUT -p tcp --sport http -o eth0 -m state --state ESTABLISHED     -j LOG_ACCEPT
#iptables -A INPUT -p tcp --dport https -i eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -p tcp --sport https -o eth0 -m state --state ESTABLISHED -j ACCEPT


#Bittorrent
iptables -A INPUT  -p tcp --dport 5881 -i eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 5881 -o eth0 -m state --state ESTABLISHED     -j ACCEPT

#aMule
iptables -A INPUT  -p tcp --dport 5501 -i eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 5501 -o eth0 -m state --state ESTABLISHED     -j ACCEPT

#Limewire
iptables -A INPUT  -p tcp --dport 6346 -i eth0 -m state --state NEW,ESTABLISHED  -j ACCEPT
iptables -A OUTPUT -p tcp --sport 6346 -o eth0 -m state --state ESTABLISHED      -j ACCEPT


#Freeplayer/Freebox
iptables -A OUTPUT -o eth0 -p udp --sport 1234 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p udp --dport 1234 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 8080 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --dport 8080 -m state --state NEW,ESTABLISHED -j ACCEPT

#Multiposte
iptables -A INPUT -i eth0 -p udp -s 212.27.38.253 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 212.27.38.253 --sport 1024:65535 -j ACCEPT

##########

## LOG DES REJETS
iptables -A FORWARD -j LOG_DROP
iptables -A INPUT   -j LOG_DROP
iptables -A OUTPUT  -j LOG_DROP

Bon, s'il y a une critique sur mon script qu'on me le dise, j'ai pas envie d'avoir de surprise ...

halucard

#22 Le 17/06/2006, à 16:18

Sax

Re : IPTABLES et Freeplayer/VLC

hello!

Pour faire fonctionner mon freeplayer, j'ai rajouté ces lignes dans le fichier rules de shorewall:

sudo gedit /etc/shorewall/rules
#freeplayer
ACCEPT        net         $FW        tcp        8080
ACCEPT        $FW        net         tcp        8080
ACCEPT        net         $FW        udp        1234
ACCEPT        $FW        net         udp        1234

ça fonctionne mais je voudrai avoir votre avis là dessus.

Je voudrai remplacer "net" par une zone plus spécifique, genre net mais venant de l'ip de ma freebox, savez vous comment je peux faire?

Merci

petite précision : mes autres fichiers de config de shorewall (interfaces, zones, policy et rules) sont identiques à ceux du tuto  http://forum.ubuntu-fr.org/viewtopic.php?id=43496

Hors ligne

#23 Le 10/11/2006, à 21:35

dsissoko

Re : IPTABLES et Freeplayer/VLC

Merci pour cette configuration: elle fonctionne sur mon pc aussi.
Pour répondre à ta question, je propose une simple amélioration qui permet de spécifier les IP autorisées:

ACCEPT  net:192.168.0.254     $FW       tcp     8080
ACCEPT  $FW     net:192.168.0.254       tcp     8080
ACCEPT  net:212.27.38.253     $FW       udp     1234
ACCEPT  $FW     net:212.27.38.253       udp     1234

Voilà, merci encore

#24 Le 15/08/2019, à 14:03

luigifab

Re : IPTABLES et Freeplayer/VLC

Je partage ma config tout en déterrant ce topic :

iptables -A INPUT -m state ! --state INVALID -j ACCEPT
iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT
iptables -A OUTPUT -p tcp -s 212.27.38.253 -j ACCEPT
iptables -A INPUT -p tcp -s 212.27.38.253 -j ACCEPT

Hors ligne