Re: [Confirme] iptables

Fri, 06 Jun 2003 14:19:45 -0700

Justement, c'est bien expliqué sur le site (http://christian.caleca.free.fr/netfilter.html) indiqué par Apollonie. En gros faut chercher du côté des cibles LOG et ULOG.
Sinon, même si t'as trouvé le moyen de jouer avec les logs au niveau d'iptables, après il y a intérêt à savoir comment gérer les logs à partir de syslogd (et /etc/syslog.conf) et là c'est un peu coton aussi (pas pour un confirme bien sûr ;-) ).
à+
Rosaire

De Leeuw Guy a écrit : 
P'tite question quand meme :
Comment savoir si le serveur rejette une connection
par exemple j'aimerais logger les tentatives de connections qui
réussisent et celles qui echouent (rejetées par le serveur par exemple).

Guy
.


Le ven 06/06/2003 à 16:34, Olivier Thauvin a écrit :

Le Vendredi 06 Juin 2003 19:58, AMORE Rosaire a écrit :

iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
(comme ça ce n'est pas la peine de gérer les retours de connexion)


Bon, là ça va, sauf que je ne pige pas très bien pourquoi on ne rajoute
pas l'état "NEW".

Je vais t'expliquer vite fais la différence entre NEW, RELATED, et ESTABLSHED:

J'etablie une connection quelle qu'elle soit en tcp:
Avant le connection est NEW ou INVALID, en fait innexistante.

client -> serveur "coucou" passerelle: NEW
serveur -> client "re coucou" passerelle: RELATED
client -> serveur "ok alors on cause!": RELATED passe à ESTABLSHED

(jusque là c'est les flags tcp qui jouent)

client -> serveur "je voudrais te causer d'un truc" passerelle: ESTABLISHED
serveur -> client "dis moi tout mon amour" passerelle: ESTABLISHED
...

client -> serveur "bye" passerelle: ESTABLISHED -> connection innexistante donc NEW, ou INVALID.

Je caricature, mais c'est comme ça que ça marche.
A partir de là souvent on NEW,INVALID ensemble pour jeter les connections non désirées de l'internet. On met RELATED,ESTABLSHED ensemble pour autoriser le retour des connections de l'internet commencé dans l'intranet.

par exemple:
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -i ppp0 -j ACCEPT
iptables -A FORWARD -m state --state NEW,RELATED,ESTABLISHED -o ppp0 -j ACCEPT

la seconde assure la sortie vers le net, la première accepte les retours. 


Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";

Répondre à