Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
Bonjour, Le Thu, 29 Jan 2009 05:52:54 +0100, Grégory Bulot debian.l...@batman.dyndns.org a écrit : David BERCOT deb...@bercot.org à écrit le Mon, 26 Jan 2009 14:56:51 +0100 je réponds à mon post de réponse non encore arrivé sur la liste : modprobe ipt_LOG Oui mais, justement, je ne peux pas charger de module ;-) Le répertoire /lib/modules/'version noyau' n'existe pas !!! Le noyau est full modules (du moins, ceux considérés comme importants par ceux qui l'ont compilé) et non modifiable (pas de rajout possible). J'ai donc dû abandonner shorewall et utiliser directement iptables (sans règle autour de LOG). David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
David BERCOT deb...@bercot.org à écrit le Mon, 26 Jan 2009 14:56:51 +0100 je réponds à mon post de réponse non encore arrivé sur la liste : modprobe ipt_LOG -- Cordialement Grégory BULOT -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Bonjour, Le Fri, 23 Jan 2009 18:29:51 +0100, Pascal Hambourg pascal.m...@plouf.fr.eu.org a écrit : David BERCOT a écrit : # cat /proc/net/ip_tables_names mangle filter nat # cat /proc/net/ip_tables_matches length ttl tcpmss tos multiport limit state tcp udp icmp # cat /proc/net/ip_tables_targets TCPMSS REJECT DNAT SNAT Bon, y a pas tout, mais le minimum est présent. Il faudrait regarder quelle règle générée par shorewall provoque l'erreur en suivant les instructions de la page que tu cites dans ton premier message. Il manque la cible LOG, ça pourrait venir de là. Voilà ce que ça donne quand je tente de lancer shorewall : # shorewall start Compiling... Initializing... Determining Zones... IPv4 Zones: net Firewall Zone: fw Validating interfaces file... Validating hosts file... Pre-processing Actions... Pre-processing /usr/share/shorewall/action.Drop... Pre-processing /usr/share/shorewall/action.Reject... Validating Policy file... Determining Hosts in Zones... net Zone: venet0:0.0.0.0/0 Deleting user chains... Compiling /etc/shorewall/routestopped ... Creating Interface Chains... Compiling Common Rules Adding Anti-smurf Rules Compiling TCP Flags checking... Compiling Kernel Route Filtering... Compiling Martian Logging... Compiling /etc/shorewall/rules... Compiling Actions... Compiling /usr/share/shorewall/action.Drop for Chain Drop... Compiling /usr/share/shorewall/action.Reject for Chain Reject... Compiling /etc/shorewall/policy... Compiling Traffic Control Rules... Compiling Rule Activation... Compiling IP Forwarding... Shorewall configuration compiled to /var/lib/shorewall/.start Starting Shorewall Initializing... Clearing Traffic Control/QOS Deleting user chains... Enabling Loopback and DNS Lookups iptables: No chain/target/match by that name Terminated On peut tirer quelque chose de ça ? Y a-t-il une log quelque part ? Finalement, je crois que je vais être obligé d'utiliser les règles iptables en direct ;-) En tous cas, merci pour l'aide. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
David BERCOT a écrit : Pascal Hambourg pascal.m...@plouf.fr.eu.org a écrit : Il faudrait regarder quelle règle générée par shorewall provoque l'erreur en suivant les instructions de la page que tu cites dans ton premier message. Il manque la cible LOG, ça pourrait venir de là. Voilà ce que ça donne quand je tente de lancer shorewall : # shorewall start [...] On peut tirer quelque chose de ça ? Y a-t-il une log quelque part ? Non, je suggérais de faire ce qui est décrit là : http://www.shorewall.net/troubleshoot.htm#Start-shell. Soit ajouter l'option -vv pour augmenter la verbosité shorewall -vv [re]start soit si ça ne marche pas ajouter l'option debug et récupérer les messages de debug dans un fichier pour analyse shorewall debug start 2 /chemin/vers/debug_shorewall -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
Re-bonjour, Le Mon, 26 Jan 2009 11:10:47 +0100, Pascal Hambourg pascal.m...@plouf.fr.eu.org a écrit : Il faudrait regarder quelle règle générée par shorewall provoque l'erreur en suivant les instructions de la page que tu cites dans ton premier message. Il manque la cible LOG, ça pourrait venir de là. Non, je suggérais de faire ce qui est décrit là : http://www.shorewall.net/troubleshoot.htm#Start-shell. Soit ajouter l'option -vv pour augmenter la verbosité shorewall -vv [re]start Je garde ça de côté, mais, comme j'aurais visiblement des problèmes, j'en profite pour essayer de passer à la configuration pour homme ;-) Après quelques recherches et lectures, je lance la configuration suivante : # Vidage des règles (éventuelles) iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X # Politique générale iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT ACCEPT # Boucle locale iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT # Retour des requêtes lancées depuis l'intérieur iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Règles autorisées iptables -A INPUT -p tcp --dport 80 -j ACCEPT J'espère que les exemples que j'ai trouvés sont bons ;-) Il me reste toutefois un souci. Je souhaite utiliser sslh (merci Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local. Si je fais uniquement : iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT ça ne marche pas !!! J'ai fait le test avec la même ligne que ci-dessus mais pour les 2 ports en local, et là, ça fonctionne. Toutefois, j'imagine qu'il doit y avoir une possibilité pour ne pas ouvrir de l'extérieur les 2 ports qui n'ont besoin d'être accessibles qu'en interne... Mais là, je sèche sur la syntaxe... Auriez-vous une piste ? Merci d'avance (et à Pascal pour sa patience ;-))). David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
David BERCOT a écrit : iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT L'option -s est trop restrictive, les paquets émis sur l'interface de loopback peuvent avoir n'importe quelle adresse source locale. Cela inclut la plage 127.0.0.0/8 et toutes les adresses configurées sur les interfaces de la machine. Il me reste toutefois un souci. Je souhaite utiliser sslh (merci Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local. Si je fais uniquement : iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT ça ne marche pas !!! C'est censé marcher comment au niveau réseau, sslh ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
Le Mon, 26 Jan 2009 14:01:31 +0100, Pascal Hambourg pascal.m...@plouf.fr.eu.org a écrit : David BERCOT a écrit : iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT L'option -s est trop restrictive, les paquets émis sur l'interface de loopback peuvent avoir n'importe quelle adresse source locale. Cela inclut la plage 127.0.0.0/8 et toutes les adresses configurées sur les interfaces de la machine. Mhummm, il me semble que je n'ai que 127.0.0.1 (de visible en tous cas)... Il me reste toutefois un souci. Je souhaite utiliser sslh (merci Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local. Si je fais uniquement : iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT ça ne marche pas !!! C'est censé marcher comment au niveau réseau, sslh ? On arrive sur un port spécifique, et, ensuite, en fonction de ce qui arrive, on est redirigé vers le bon service sur un autre port. Je me demande si je ne pourrais pas faire un mix des règles précédentes, du genre : iptables -t filter -A INPUT -s 127.0.0.1 -p tcp --dport port_local1 -j ACCEPT Mais je ne connais pas assez iptables pour savoir si c'est valable ;-) David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
Le Mon, 26 Jan 2009 14:16:23 +0100, David BERCOT deb...@bercot.org a écrit : Il me reste toutefois un souci. Je souhaite utiliser sslh (merci Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local. Si je fais uniquement : iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT ça ne marche pas !!! C'est censé marcher comment au niveau réseau, sslh ? On arrive sur un port spécifique, et, ensuite, en fonction de ce qui arrive, on est redirigé vers le bon service sur un autre port. Je me demande si je ne pourrais pas faire un mix des règles précédentes, du genre : iptables -t filter -A INPUT -s 127.0.0.1 -p tcp --dport port_local1 -j ACCEPT Je pense avoir trouvé : iptables -t filter -A INPUT -p tcp --source mon_ip -j ACCEPT Je me demande si, pour peaufiner encore, il faudrait que je précise les ports locaux ? David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Le Fri, Jan 23, 2009 at 09:57:53AM +0100, David BERCOT a écrit : Je ne vous cache pas que j'aime bien shorewall car je le trouve très simple à comprendre et à configurer. Toutefois, si c'est absolument nécessaire, je suis OK pour évoluer ;-) Bonjour David, Beaucoup plus simple que shorewall, mais probablement pas aussi flexible, arno-iptables-firewall est un paquet qui a fait mon bonheur. (Et réglé mes problèmes de trou noir MTU aux sujets des quels je me lamentais de temps en temps sur cette liste ; apparament ils étaient causés par mon incompétence vis-à-vis d'un pare-feu ausi complet que Shorewall.) Amicalement, -- Charles -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
David BERCOT deb...@bercot.org à écrit le Fri, 23 Jan 2009 09:57:53 +0100 Bonjour, Je viens de souscrire récemment à un serveur privé. Cette solution semble très intéressante car on peut avoir totalement la main sur la machine (choix de l'OS, accès SSH, etc...), à un détail près : le noyau ! Ceci pourrait sembler secondaire à première vue, mais apparemment, ce n'est pas le cas. Je m'explique. [...] Après l'avoir paramétré, je le démarre et j'obtiens : iptables: No chain/target/match by that name - peut être un module non chargé ? (ip_conntrack, ip_limit, ) - après j'ai plus bête, j'ai essayé un truc une fois et j'avais ce message car je m'entétais a utiliser 'drop' au lieu de 'DROP' (majuscule miniscule) -- Cordialement Grégory BULOT -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Charles Plessy wrote: Le Fri, Jan 23, 2009 at 09:57:53AM +0100, David BERCOT a écrit : Je ne vous cache pas que j'aime bien shorewall car je le trouve très simple à comprendre et à configurer. Toutefois, si c'est absolument nécessaire, je suis OK pour évoluer ;-) Le lien dit tout à ce sujet. C'est donc le noyau dans lequel il faut cocher lors de la config et ensuite le compiler voir REJECT target support (see kernel.htm http://www.shorewall.net/kernel.htm) Mais si tu n'as pas le choix du noyau est-il possible de le recompiler ? Normalement tu dois avoir un fichier .config qui réside dans le /boot ou dans /usr/src/linux. -- mess-mate May you do Good Magic with Perl. -- Larry Wall's blessing -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Re-bonjour, Le Fri, 23 Jan 2009 10:27:53 +0100, mess-mate mess-m...@orange.fr a écrit : Charles Plessy wrote: Le Fri, Jan 23, 2009 at 09:57:53AM +0100, David BERCOT a écrit : Je ne vous cache pas que j'aime bien shorewall car je le trouve très simple à comprendre et à configurer. Toutefois, si c'est absolument nécessaire, je suis OK pour évoluer ;-) Le lien dit tout à ce sujet. C'est donc le noyau dans lequel il faut cocher lors de la config et ensuite le compiler voir REJECT target support (see kernel.htm http://www.shorewall.net/kernel.htm) Mais si tu n'as pas le choix du noyau est-il possible de le recompiler ? Normalement tu dois avoir un fichier .config qui réside dans le /boot ou dans /usr/src/linux. Justement, le problème est là : je n'ai aucun contrôle sur le noyau !!! Et je n'ai rien, ni dans /boot, ni dans /usr/src/linux !!! Même un lsmod me donne une ligne vide (d'ailleurs, je ne sais pas trop comment ça fonctionne leur système virtualisé et j'aimerais bien quelques infos dessus ;-))). Bizarrement, je peux installer tout comme je le souhaite, mais là... David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Le 23 janvier 2009 11:45, David BERCOT deb...@bercot.org a écrit : Justement, le problème est là : je n'ai aucun contrôle sur le noyau !!! Et je n'ai rien, ni dans /boot, ni dans /usr/src/linux !!! Même un lsmod me donne une ligne vide (d'ailleurs, je ne sais pas trop comment ça fonctionne leur système virtualisé et j'aimerais bien quelques infos dessus ;-))). Bizarrement, je peux installer tout comme je le souhaite, mais là... Bonjour, Ta configuration ressemble fortement à celle d'un Kimsufi. Il faut savoir que les distrib OVH ont toutes les modules intégrés au noyau pour améliorer les performances selon eux. Je pense que tu dois utiliser les RPS OVH non ? Tu dois pouvoir néanmoins recompiler le noyau avec les modules que tu désires, ils fournissent normalement le config et leurs sources quelque part sur leur ftp (ftp://ftp.ovh.net/made-in-ovh/) . En tout cas pour les kim c'est possible, si tu es bien sur un RPS ca doit aussi être faisable. Kévin
Re: Shorewall, iptables et noyau ?
Salut, David BERCOT a écrit : Je viens de souscrire récemment à un serveur privé. Cette solution semble très intéressante car on peut avoir totalement la main sur la machine (choix de l'OS, accès SSH, etc...), à un détail près : le noyau ! Pourquoi ? C'est une forme de virtualisation avec un même noyau commun à toutes les instances ? Puis j'installe mon firewall : shorewall. Et là, ça se complique. Après l'avoir paramétré, je le démarre et j'obtiens : iptables: No chain/target/match by that name Si je regarde la documentation de Shorewall, il semble que cela vienne du noyau (configuration particulière) : Qu'affiche uname -a ? Que contient /proc/config.gz s'il existe ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Le Fri, 23 Jan 2009 11:55:55 +0100, Kevin Hinault hina...@gmail.com a écrit : Le 23 janvier 2009 11:45, David BERCOT deb...@bercot.org a écrit : Justement, le problème est là : je n'ai aucun contrôle sur le noyau !!! Et je n'ai rien, ni dans /boot, ni dans /usr/src/linux !!! Même un lsmod me donne une ligne vide (d'ailleurs, je ne sais pas trop comment ça fonctionne leur système virtualisé et j'aimerais bien quelques infos dessus ;-))). Bizarrement, je peux installer tout comme je le souhaite, mais là... Bonjour, Ta configuration ressemble fortement à celle d'un Kimsufi. Il faut savoir que les distrib OVH ont toutes les modules intégrés au noyau pour améliorer les performances selon eux. Je pense que tu dois utiliser les RPS OVH non ? Eh non, raté ;-) Ca faisait partie des prétendants, mais finalement, je suis resté chez 1and1 ! Tu dois pouvoir néanmoins recompiler le noyau avec les modules que tu désires, ils fournissent normalement le config et leurs sources quelque part sur leur ftp (ftp://ftp.ovh.net/made-in-ovh/) . En tout cas pour les kim c'est possible, si tu es bien sur un RPS ca doit aussi être faisable. Mhum, chez 1and1, apparemment, le noyau n'est pas modifiable (ni remplaçable ni recompilable)... Si jamais vous avez une expérience différente chez eux (noyau recompilable) ou alors si vous avez un autre firewall qui puisse fonctionner sur cette config, je suis preneur. Pour le firewall, mes besoins sont limités : je veux tout bloquer sauf 3 ports en entrée ! Merci d'avance. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Le Fri, 23 Jan 2009 12:14:08 +0100, Pascal Hambourg pascal.m...@plouf.fr.eu.org a écrit : Salut, David BERCOT a écrit : Je viens de souscrire récemment à un serveur privé. Cette solution semble très intéressante car on peut avoir totalement la main sur la machine (choix de l'OS, accès SSH, etc...), à un détail près : le noyau ! Pourquoi ? C'est une forme de virtualisation avec un même noyau commun à toutes les instances ? En effet, c'est de la virtualisation. Puis j'installe mon firewall : shorewall. Et là, ça se complique. Après l'avoir paramétré, je le démarre et j'obtiens : iptables: No chain/target/match by that name Si je regarde la documentation de Shorewall, il semble que cela vienne du noyau (configuration particulière) : Qu'affiche uname -a ? Que contient /proc/config.gz s'il existe ? Pour uname -a, j'ai : Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon Nov 17 18:41:14 MSK 2008 i686 GNU/Linux Et sinon, /proc/config.gz n'existe pas ! Ca a l'air fermé, hein ? David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Le Fri, Jan 23, 2009 at 04:57:21PM +0100, David BERCOT ecrivait : Pour uname -a, j'ai : Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon Nov 17 18:41:14 MSK 2008 i686 GNU/Linux La version Linux ressemble à une version OpenVZ. Regardes cette page surtout le dernier paragraphe : http://wiki.openvz.org/Setting_up_an_iptables_firewall#Setting_up_a_firewall_that_allows_per-container_configuration 1and1 a oublié les modules qui vont bien au niveau de l'hote pour pouvoir avoir une conf fw au niveau des containers. David. -- Chronique, Articles, Projets libre - http://www.cure.nom.fr/ Association FINIX : Finistere *nix- http://www.Finix.EU.Org/ Le temps n'est pas important, seule la vie est importante L5E signature.asc Description: Digital signature
Re: Shorewall, iptables et noyau ?
Le 23 janvier 2009 16:54, David BERCOT deb...@bercot.org a écrit : Si jamais vous avez une expérience différente chez eux (noyau recompilable) ou alors si vous avez un autre firewall qui puisse fonctionner sur cette config, je suis preneur. Non pas mieux, désolé. Pour le firewall, mes besoins sont limités : je veux tout bloquer sauf 3 ports en entrée ! Si ce n'est que ça ce n'est pas forcément la peine de mettre en place l'artillerie lourde. Les règles iptables sont largement faisable à la main sauf utiliser de conntrack particulier et liés au noyau. Quels sont les trois protocoles ? SSH (j'imagine), et ? Kévin
Re: Shorewall, iptables et noyau ?
David BERCOT a écrit : En effet, c'est de la virtualisation. J'avais bien compris (VPS), mais peux-tu savoir quel type de virtualisation ça utilise ? Pour uname -a, j'ai : Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon Nov 17 18:41:14 MSK 2008 i686 GNU/Linux Purée que c'est vieux ! Presqu'autant que le noyau inclus dans sarge, l'ancienne Debian stable, sachant que l'actuelle stable est en fin de vie... Et sinon, /proc/config.gz n'existe pas ! Ca a l'air fermé, hein ? On va essayer autrement. /proc est monté, au moins ? Si oui, qu'affiche cat /proc/net/ip_tables_names cat /proc/net/ip_tables_matches cat /proc/net/ip_tables_targets -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Le Fri, 23 Jan 2009 17:33:44 +0100, Pascal Hambourg pascal.m...@plouf.fr.eu.org a écrit : David BERCOT a écrit : En effet, c'est de la virtualisation. J'avais bien compris (VPS), mais peux-tu savoir quel type de virtualisation ça utilise ? Comme l'a cité une autre personne de la liste : OpenVZ. Pour uname -a, j'ai : Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon Nov 17 18:41:14 MSK 2008 i686 GNU/Linux Purée que c'est vieux ! Presqu'autant que le noyau inclus dans sarge, l'ancienne Debian stable, sachant que l'actuelle stable est en fin de vie... Logiquement, j'ai signé pour un Debian 4.0 ;-) Et sinon, /proc/config.gz n'existe pas ! Ca a l'air fermé, hein ? On va essayer autrement. /proc est monté, au moins ? Si oui, qu'affiche cat /proc/net/ip_tables_names cat /proc/net/ip_tables_matches cat /proc/net/ip_tables_targets Voici les résultats : # cat /proc/net/ip_tables_names mangle filter nat # cat /proc/net/ip_tables_matches length ttl tcpmss tos multiport limit state tcp udp icmp # cat /proc/net/ip_tables_targets TCPMSS REJECT DNAT SNAT Merci. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Le Fri, 23 Jan 2009 17:18:10 +0100, David Cure david.cure.anti-s...@linux.eu.org a écrit : Le Fri, Jan 23, 2009 at 04:57:21PM +0100, David BERCOT ecrivait : Pour uname -a, j'ai : Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon Nov 17 18:41:14 MSK 2008 i686 GNU/Linux La version Linux ressemble à une version OpenVZ. Regardes cette page surtout le dernier paragraphe : http://wiki.openvz.org/Setting_up_an_iptables_firewall#Setting_up_a_firewall_that_allows_per-container_configuration 1and1 a oublié les modules qui vont bien au niveau de l'hote pour pouvoir avoir une conf fw au niveau des containers. Le noyau fourni est un noyau full modules (si j'ai bien compris), ce qui signifie, non pas un noyau avec tous les modules (la preuve ;-))), mais un noyau sur lequel on ne peut pas charger de module complémentaire. Hum, pas cool... Merci pour le lien (je l'envoie chez 1and1, au cas où). David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Le Fri, 23 Jan 2009 17:32:10 +0100, Kevin Hinault hina...@gmail.com a écrit : Le 23 janvier 2009 16:54, David BERCOT deb...@bercot.org a écrit : Si jamais vous avez une expérience différente chez eux (noyau recompilable) ou alors si vous avez un autre firewall qui puisse fonctionner sur cette config, je suis preneur. Non pas mieux, désolé. Pour le firewall, mes besoins sont limités : je veux tout bloquer sauf 3 ports en entrée ! Si ce n'est que ça ce n'est pas forcément la peine de mettre en place l'artillerie lourde. Les règles iptables sont largement faisable à la main sauf utiliser de conntrack particulier et liés au noyau. Justement, shorewall me semblait la bonne solution : pas usine à gaz et facilement configurable. Je précise que je n'ai jamais utilisé directement iptables (ceci explique cela ;-))) Quels sont les trois protocoles ? SSH (j'imagine), et ? Hum, allez, on va dire 4 (sans rentrer dans les détails ;-))), en mettant SMTP, HTTP et HTTPS. Je vais faire quelques recherches sur les firewall, si jamais 1and1 ne me propose pas de solution pour shorewall, et si je ne trouve rien, je m'orienterai vers iptables... Merci. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
David BERCOT a écrit : # cat /proc/net/ip_tables_names mangle filter nat # cat /proc/net/ip_tables_matches length ttl tcpmss tos multiport limit state tcp udp icmp # cat /proc/net/ip_tables_targets TCPMSS REJECT DNAT SNAT Bon, y a pas tout, mais le minimum est présent. Il faudrait regarder quelle règle générée par shorewall provoque l'erreur en suivant les instructions de la page que tu cites dans ton premier message. Il manque la cible LOG, ça pourrait venir de là. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org