Re: [Confirme] iptables
Olivier Thauvin a écrit : Le Samedi 07 Juin 2003 10:39, Apollonie Raffalli a écrit : Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant très important ! Le protocol tcp est très strict là dessus. L'état RELATED est certes important mais non nécessaire compte tenu des besoins précis de Rosaire. Autan pour moi, mais tu dis une connerie, les retour ICMP sont RELATED, et sont important, c'est bien d'avoir le retour 'host unreachable' quand même. Certes. Et ces retours, sont RELATED que pour ICMP? Ça signifierait donc qu'avec ICMP, on ne doive gérer que l'état RELATED? R. Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Olivier Thauvin a écrit : Le Dimanche 08 Juin 2003 00:01, AMORE Rosaire a écrit : Touch13 a écrit : .. Mais il me reste des coins d'ombre, sur ce qu'on précise en INPUT/OUTPUT avec -dport et -sport. Par exemple, j'ai les lignes suivantes : iptables -A INPUT -i eth0 --protocol tcp --destination-port 137:139 -j ACCEPT iptables -A OUTPUT -o eth0 --protocol tcp --source-port 137:139 -j ACCEPT - Ca, je pige : ce qui arrive sur mon interface interne (eth0) peut accéder aux services locaux -dport 137:139 en INPUT - idem, à l'inverse en OUTPUT avec comme port source 137:139. Je ne vais pas indiquer ici -dport, puisque j'imagine que le client smb attend une réponse sur un autre port, que je ne peux connaitre, non? C'est bien pour ça qu'on ne le précise pas! Donc j'avions bien pigé (?) J'ai aussi ces lignes : iptables -A INPUT -i ppp0 --protocol tcp --source-port 110 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 110 -j ACCEPT - Là je ne pige plus, et ça marche : j'aime pas. P. ex, en OUTPUT j'accepte ce qui se dirige vers le port 110 (mon serveur pop est pop.free.fr) : ok. Mais la règle INPUT? Pour pop, j'ai pas 110 comme -sport, non? Je devrais avoir un port aléatoire généré pour la réponse! reprenons ce deux règles aux calmes: La première l'entrée de toutes les trames venant d'un serveur pop (port source 110). La seconde autorise la sortie de toutes les trames qui vont vers un serveur pop (port destination 100). Dans un cas tu autorise ce qui _entre_ _depuis_... dans l'autre ce qui _sort_ _vers_... Mais ces règle sont a mon avis inutiles et dangereuse, 1) de toutes façon tu autorise des pacquets autrement, 2) vaux mieux autoriser le retour des connexions en se fiant à l'état des connexions. Sinon je peux t'attaquer en me faisant passer pour un serveur pop, je pars du port 110 vers un port quelconque chez toi, et le firewall accepte le pacquets. Je devrais donc reprendre ma chaîne INPUT comme ceci : iptables -A INPUT -i ppp0 --protocol tcp --destination-port 110 -m state --state ESTABLISHED, RELATED -j ACCEPT l'état RELATED étant ici superflu, isn't it? Quant à ma chaine OUTPUT je peux la laisser en l'état Une confirmation? Ou alors, j'ai raté un bout du film? Merci pour tout éclaircissement Rosaire Touch13 Le Vendredi 6 Juin 2003 19:35, AMORE Rosaire a écrit : Sympa Touch13! Mais je ne sais pas si t'as pigé que j'étais en train d'apprendre? Alors, ton script est bien ficelé apparement, mais pas trop pédagogique-débutant. Du reste, je viens de me rendre compte que j'ai envoyé ma demande d'info chez les confirmes. Je crois que je vais faire un tour chez debutant. Merci quand même!;-) Rosaire Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] compatibilite portable / mdk9.1
Je possede un IGO5561 ( Packard Bell ), cela fait 6 mois que je l'ai environ. Je l'ai toujours fait tourner sous linux. Tout d'abord sur une Mandrake 9.0 ( qui m'a foie n'a pas été un succés probant ), la Red Hat 8.0 qui a refusé de bouter une fois l'installation terminée puis enfin la Mandrake 9.1, et la c'est une merveille ( ou ca s'en approche ). Qu'est ce qui marche bien La carte reseau marche tres bien Le micro integré marche malgré quelques disfonctionnement au debut Le combo lecteur DVD / Graveur marche ( il a fallut créer un lien symbolique pour le dvd mais c'est tout ) La carte graphique marche ( doucement mais marche ) La carte son nickel Qu'est ce qui ne marche pas malheresement ( d'ailleur si vous avez des idées pour le faire marcher ca m'interesse grandement ) Le systeme d'economie d'energie ( apm me repond que je suis en permanance branché ) Le boutons de raccourci ne fonctionne pas ( ce qui n'est pas extremement grave me direz vous ) Le modem V92 et le firewire ne fonctionne pas non plus ( ce qui est un peu plus grave ) Par contre j'ai un autre probleme plus sensible, il a très chaud. Il n'arrete pas de souffler, meme au demarrage, je ne sais pas si c'est de l'usure materielle ou alors un réelle probleme de gestion. Mias je me suvoient qu'il ne le faisait pas sous la MDK 9.0. Voila, pour mes impressions. Au revoir
Re: [Confirme] compatibilite portable / mdk9.1
C'est exact. J'ai un Inspiron 8200 et je n'ai aucun souci. Pour la carte graphique, il faut installer les pilors nvidia, pour le modem voir du côté de linmodem pour le faire fonctionner, en installant le package i8kutils, il est possible d'utiliser les boutons supplémentaires pour le son et il est encore possible d'utiliser le trackpoint et le touchpad en même temps qu'une autre souris par une simple petite config d'XFree. Le Dimanche 8 Juin 2003 01:42, Olivier Thauvin a écrit : > Par expérience, les DELL sont globalement bien supporté, les C400, C640 > nottement. Faire gaffe à la carte graphique, et le winmodem, ben t'oublis > qu'il est là. > (nous avons pas de mal de DELL au taf, et je t'écris depuis un dell sous > mdk). > > Pour les autres marques, je ne sais pas. -- Bruno Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] compatibilite portable / mdk9.1
Merci. J'éviterais ce modèle. Je suis déja llé voir sur linux-laptop. La pluspart des articles sont en anglais et j'ai un peu du mal, mais j'y travaille A+ ALD Le sam 07/06/2003 à 18:17, zorkos a écrit : > Salut, > Personnellement je viens de rentrer en possession d'un portable (un > inote 5600DS qui est apparement > base sur le clevo 5600) Intel P4 2,4GHz, 512Mo, ATI 9000 128Mo, avec 2 > disques durs (donc > sans lecteurs de disquettes). > > J'arrive a booter et obtenir l'invite, mais pour l'instant impossible de > charger le kernel de la mdk9.1 !! > Je pense avoir essaye toutes les options possibles et les noyaux fournis > sur les CD d'installation, > mais rien n'y fait... ===> Je n'arrive pas a installer la mdk9.1 > > Par contre la 9.0 a l'air de vouloir aller plus loin dans > l'installation, donc a suivre... > Je vais peut etre etre oblige d'installer la 9.0 sur mon portable ! > > Voila mon experience perso, pas tres concluante d'ailleurs :-( > Et si qq'un pense pouvoir me donner un coup de main je suis preneur ! > Car etre oblige d'installer une vielle version de Mandrake pour avoir linux > sur mon portable ne me donne pas vraiment l'impression d'avance bien > vite dans le progret avec la 9.1. ;-) > > Sinon pour plus de renseignements sur les portables sous linux, > tu peux aller voir le site : http://www.linux-laptop.net > > En esperant que tu es plus de chance que moi avec notre ami le pingouin > capricieux ! > > @+. > > > ald a écrit: > > >Bonjour, > > > >j'envisage d'acheter un portable (DELL, IBM , TOSHIBA, COMPAQ) pour y > >faire tourner mdk9.1 (powerpack). > > > >Je me suis rendu sur le site de mdk pour voir quels modèles étaient > >correctement supportés, mais tous les portables sont indiqués comme > >"connus". Je n'ai donc pas pu me faire une idée (à mon avis, la base de > >donnée n'est pas renseignée). > > > >Merci de me faire part de votre expérience (et suggestions quand aux > >marques que j'ai indiquées, ou à d'autres. > > > > > >A+ > > > > > >ALD > > > > > > > > > > > >Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? > >Rendez-vous sur "http://www.mandrakestore.com"; > > > > > > > > > __ > > Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? > Rendez-vous sur "http://www.mandrakestore.com"; -- ald <[EMAIL PROTECTED]> Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] compatibilite portable / mdk9.1
Le dim 08/06/2003 à 01:42, Olivier Thauvin a écrit : > Le Samedi 07 Juin 2003 15:30, ald a écrit : > > Bonjour, > > > > j'envisage d'acheter un portable (DELL, IBM , TOSHIBA, COMPAQ) pour y > > faire tourner mdk9.1 (powerpack). > > > > Je me suis rendu sur le site de mdk pour voir quels modèles étaient > > correctement supportés, mais tous les portables sont indiqués comme > > "connus". Je n'ai donc pas pu me faire une idée (à mon avis, la base de > > donnée n'est pas renseignée). > > > > Merci de me faire part de votre expérience (et suggestions quand aux > > marques que j'ai indiquées, ou à d'autres. > > > > Par expérience, les DELL sont globalement bien supporté, les C400, C640 > nottement. Faire gaffe à la carte graphique, et le winmodem, ben t'oublis > qu'il est là. > (nous avons pas de mal de DELL au taf, et je t'écris depuis un dell sous mdk). > > Pour les autres marques, je ne sais pas. Merci. Je pensais également à un DELL CPX (occasion). Je m'attendais à ce que le winmodem ne fonctionne pas. A+ ALD -- ald <[EMAIL PROTECTED]> Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Le Samedi 07 Juin 2003 10:39, Apollonie Raffalli a écrit : > > Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le > > thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant > > très important ! Le protocol tcp est très strict là dessus. > > L'état RELATED est certes important mais non nécessaire compte tenu des > besoins précis de Rosaire. Autan pour moi, mais tu dis une connerie, les retour ICMP sont RELATED, et sont important, c'est bien d'avoir le retour 'host unreachable' quand même. -- Linux pour Mac !? Enfin le moyen de transformer une pomme en véritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Le Dimanche 08 Juin 2003 00:01, AMORE Rosaire a écrit : > Touch13 a écrit : > > D'ou les lignes de commentaires ;-) > > Il n'avait semblé que grace à elles on pouvait s'en sortir. Je le > > saurais pour > > > la prochaine fois. Ceci dit, dis moi celles qui te semble obscures et > > je te > > > donnerais plus d'explication. > > T'en fait pas. En fait ce qui m'a troublé un peu au départ, c'est ton > utilisation des variables. Après l'avoir relu au calme, ça a été mieux. > Alors, j'en suis où? Et bien ça marche : > - J'arrive à faire un ssh sur ma passerelle, depuis le lan comme de > l'extérieur. > - De ma passerelle et de mon lan, je surf, je peux envoyer et récupérer > mon courrier, et ma résolution de noms fonctionne bien > - de mon lan, j'accède à mon serveur samba (situé sur la passerelle). > > Mais il me reste des coins d'ombre, sur ce qu'on précise en INPUT/OUTPUT > avec -dport et -sport. Par exemple, j'ai les lignes suivantes : > iptables -A INPUT -i eth0 --protocol tcp --destination-port 137:139 -j > ACCEPT > iptables -A OUTPUT -o eth0 --protocol tcp --source-port 137:139 -j ACCEPT > - Ca, je pige : ce qui arrive sur mon interface interne (eth0) peut > accéder aux services locaux -dport 137:139 en INPUT > - idem, à l'inverse en OUTPUT avec comme port source 137:139. Je ne vais > pas indiquer ici -dport, puisque j'imagine que le client smb attend une > réponse sur un autre port, que je ne peux connaitre, non? C'est bien pour ça qu'on ne le précise pas! > > J'ai aussi ces lignes : > iptables -A INPUT -i ppp0 --protocol tcp --source-port 110 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 110 -j ACCEPT > - Là je ne pige plus, et ça marche : j'aime pas. P. ex, en OUTPUT > j'accepte ce qui se dirige vers le port 110 (mon serveur pop est > pop.free.fr) : ok. Mais la règle INPUT? Pour pop, j'ai pas 110 comme > -sport, non? Je devrais avoir un port aléatoire généré pour la réponse! reprenons ce deux règles aux calmes: La première l'entrée de toutes les trames venant d'un serveur pop (port source 110). La seconde autorise la sortie de toutes les trames qui vont vers un serveur pop (port destination 100). Dans un cas tu autorise ce qui _entre_ _depuis_... dans l'autre ce qui _sort_ _vers_... Mais ces règle sont a mon avis inutiles et dangereuse, 1) de toutes façon tu autorise des pacquets autrement, 2) vaux mieux autoriser le retour des connexions en se fiant à l'état des connexions. Sinon je peux t'attaquer en me faisant passer pour un serveur pop, je pars du port 110 vers un port quelconque chez toi, et le firewall accepte le pacquets. > > Ou alors, j'ai raté un bout du film? > > Merci pour tout éclaircissement > Rosaire > > > Touch13 > > > > Le Vendredi 6 Juin 2003 19:35, AMORE Rosaire a écrit : > >>Sympa Touch13! > >>Mais je ne sais pas si t'as pigé que j'étais en train d'apprendre? > >>Alors, ton script est bien ficelé apparement, mais pas trop > >>pédagogique-débutant. Du reste, je viens de me rendre compte que j'ai > >>envoyé ma demande d'info chez les confirmes. Je crois que je vais faire > >>un tour chez debutant. > >>Merci quand même!;-) > >>Rosaire -- Linux pour Mac !? Enfin le moyen de transformer une pomme en véritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] img
Le Samedi 07 Juin 2003 13:44, rebouillat a écrit : > En fait je cherche le moyen de décompresser ou compresser les fichiers .img > (fichiers images) > > Merci > > JP* > Ca dépends du format, si c'est ce que je crois, c'est pas compressé, c'est l'image tel quel de la disquette ou du disque. Donc pour voir le contenu, faut utiliser mount -o loop. Si tu tiens à les compresser, y'a gzip/gunzip -- Linux pour Mac !? Enfin le moyen de transformer une pomme en véritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] compatibilite portable / mdk9.1
Le Samedi 07 Juin 2003 15:30, ald a écrit : > Bonjour, > > j'envisage d'acheter un portable (DELL, IBM , TOSHIBA, COMPAQ) pour y > faire tourner mdk9.1 (powerpack). > > Je me suis rendu sur le site de mdk pour voir quels modèles étaient > correctement supportés, mais tous les portables sont indiqués comme > "connus". Je n'ai donc pas pu me faire une idée (à mon avis, la base de > donnée n'est pas renseignée). > > Merci de me faire part de votre expérience (et suggestions quand aux > marques que j'ai indiquées, ou à d'autres. > Par expérience, les DELL sont globalement bien supporté, les C400, C640 nottement. Faire gaffe à la carte graphique, et le winmodem, ben t'oublis qu'il est là. (nous avons pas de mal de DELL au taf, et je t'écris depuis un dell sous mdk). Pour les autres marques, je ne sais pas. -- Linux pour Mac !? Enfin le moyen de transformer une pomme en véritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Touch13 a écrit : > D'ou les lignes de commentaires ;-) > Il n'avait semblé que grace à elles on pouvait s'en sortir. Je le saurais pour > la prochaine fois. Ceci dit, dis moi celles qui te semble obscures et je te > donnerais plus d'explication. T'en fait pas. En fait ce qui m'a troublé un peu au départ, c'est ton utilisation des variables. Après l'avoir relu au calme, ça a été mieux. Alors, j'en suis où? Et bien ça marche : - J'arrive à faire un ssh sur ma passerelle, depuis le lan comme de l'extérieur. - De ma passerelle et de mon lan, je surf, je peux envoyer et récupérer mon courrier, et ma résolution de noms fonctionne bien - de mon lan, j'accède à mon serveur samba (situé sur la passerelle). Mais il me reste des coins d'ombre, sur ce qu'on précise en INPUT/OUTPUT avec -dport et -sport. Par exemple, j'ai les lignes suivantes : iptables -A INPUT -i eth0 --protocol tcp --destination-port 137:139 -j ACCEPT iptables -A OUTPUT -o eth0 --protocol tcp --source-port 137:139 -j ACCEPT - Ca, je pige : ce qui arrive sur mon interface interne (eth0) peut accéder aux services locaux -dport 137:139 en INPUT - idem, à l'inverse en OUTPUT avec comme port source 137:139. Je ne vais pas indiquer ici -dport, puisque j'imagine que le client smb attend une réponse sur un autre port, que je ne peux connaitre, non? J'ai aussi ces lignes : iptables -A INPUT -i ppp0 --protocol tcp --source-port 110 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 110 -j ACCEPT - Là je ne pige plus, et ça marche : j'aime pas. P. ex, en OUTPUT j'accepte ce qui se dirige vers le port 110 (mon serveur pop est pop.free.fr) : ok. Mais la règle INPUT? Pour pop, j'ai pas 110 comme -sport, non? Je devrais avoir un port aléatoire généré pour la réponse! Ou alors, j'ai raté un bout du film? Merci pour tout éclaircissement Rosaire Touch13 Le Vendredi 6 Juin 2003 19:35, AMORE Rosaire a écrit : Sympa Touch13! Mais je ne sais pas si t'as pigé que j'étais en train d'apprendre? Alors, ton script est bien ficelé apparement, mais pas trop pédagogique-débutant. Du reste, je viens de me rendre compte que j'ai envoyé ma demande d'info chez les confirmes. Je crois que je vais faire un tour chez debutant. Merci quand même!;-) Rosaire Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Le Samedi 7 Juin 2003 20:12, AMORE Rosaire a écrit : > Pas évident à comprendre pour un novice en iptables, mais on va s'y coller. > Une remarque : pourriez vous avoir l'obligeance de traduire "policy" par > "politique" (ou "stratégie")? Je crois que ce serait plus ad hoc, non? > Rosaire Certes, stratégie me semble correct. Je ne pensais pas avoir traduit le terme "policy", c'est mon clavier qui s'est trompé en tapant "police" ;-) CC Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] compatibilite portable / mdk9.1
Je me suis rendu sur le site de mdk pour voir quels modèles étaient correctement supportés, mais tous les portables sont indiqués comme "connus". Je n'ai donc pas pu me faire une idée (à mon avis, la base de donnée n'est pas renseignée). Merci de me faire part de votre expérience (et suggestions quand aux marques que j'ai indiquées, ou à d'autres. A+ ALD personelement je posséde un compaq et je n'arrive toujours pas à faire fonctionner l'ACPI dessus (aprés application de multiple patchs ,recompilation de noyau et autres manips..).Pour info,l'ACPI permet la gestion général de l'énergie sur ton portable comme par exemple le controle du ventilateur,de la temperature,gestion de la batterie..etc.En fin de compte si ton portable ne support peut exploiter l'ACPI sous linux sa duré de vie est considérablement réduit(cetains composants interne et batterie). Alex
Re: [Confirme] compatibilite portable / mdk9.1
Salut, Personnellement je viens de rentrer en possession d'un portable (un inote 5600DS qui est apparement base sur le clevo 5600) Intel P4 2,4GHz, 512Mo, ATI 9000 128Mo, avec 2 disques durs (donc sans lecteurs de disquettes). J'arrive a booter et obtenir l'invite, mais pour l'instant impossible de charger le kernel de la mdk9.1 !! Je pense avoir essaye toutes les options possibles et les noyaux fournis sur les CD d'installation, mais rien n'y fait... ===> Je n'arrive pas a installer la mdk9.1 Par contre la 9.0 a l'air de vouloir aller plus loin dans l'installation, donc a suivre... Je vais peut etre etre oblige d'installer la 9.0 sur mon portable ! Voila mon experience perso, pas tres concluante d'ailleurs :-( Et si qq'un pense pouvoir me donner un coup de main je suis preneur ! Car etre oblige d'installer une vielle version de Mandrake pour avoir linux sur mon portable ne me donne pas vraiment l'impression d'avance bien vite dans le progret avec la 9.1. ;-) Sinon pour plus de renseignements sur les portables sous linux, tu peux aller voir le site : http://www.linux-laptop.net En esperant que tu es plus de chance que moi avec notre ami le pingouin capricieux ! @+. ald a écrit: Bonjour, j'envisage d'acheter un portable (DELL, IBM , TOSHIBA, COMPAQ) pour y faire tourner mdk9.1 (powerpack). Je me suis rendu sur le site de mdk pour voir quels modèles étaient correctement supportés, mais tous les portables sont indiqués comme "connus". Je n'ai donc pas pu me faire une idée (à mon avis, la base de donnée n'est pas renseignée). Merci de me faire part de votre expérience (et suggestions quand aux marques que j'ai indiquées, ou à d'autres. A+ ALD Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com"; Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Pas évident à comprendre pour un novice en iptables, mais on va s'y coller. Une remarque : pourriez vous avoir l'obligeance de traduire "policy" par "politique" (ou "stratégie")? Je crois que ce serait plus ad hoc, non? Rosaire cc a écrit : Le Samedi 7 Juin 2003 10:39, Apollonie Raffalli a écrit : Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant très important ! Le protocol tcp est très strict là dessus. L'état RELATED est certes important mais non nécessaire compte tenu des besoins précis de Rosaire. La gestion de cet état est nécessaire si l'on doit utiliser certains protocoles comme le FTP qui nécessite une double connexion. Maintenant, c'est vrai que si l'on rajoute RELATED après ESTABLISHED ce n'est pas faux et cela permettra de gérer tous les protocoles ; c'est d'ailleurs ce que j'ai dans mon propre script puisque j'ai un serveur FTP. Et pour l'établissement de la connection je met trois lignes, c'est parce que ça tiens en trois paquets ! Je maintiens mes dires : l'état RELATED n'a rien à voir avec l'établissement d'une connexion. Sans esprit de polémique, je propose donc une nouvelle "règle" des trois lignes : client -> serveur "coucou" passerelle: NEW serveur -> client "re coucou" passerelle: ESTABLISHED et non RELATED client -> serveur "ok alors on cause!": ESTABLISHED tu as raison. l'état RELATED concerne des connexions *relatives* à des connexions déjà établies, en général les transferts FTP en mode actif. Au niveau de la connexion elle-même, on n'a que deux états : NEW (on crée une nouvelle connexion) et ESTABLISHED (la connexion est établie). Cela dit, pour protéger notre réseau interne et notre passerelle des seules tentatives d'accès de l'extérieur tout en servant de passerelle pour notre réseau interne, il faut et il suffit d'interdire toute connexion établie de l'extérieur (state NEW -j DROP sur l'interface externe). Mais pour que cela fonctionne, il faut mettre une police par défaut à ACCEPT, sinon il fudrait autoriser un à un tous les services réseau, par protocole. Cette règle devant bien entendu s'appliquer aux paquets entrant et passant par la passerelle. Ce qui donne ce script que j'utilise et qui me donne statisfaction (testé avec de multiples outils avec succès) #!/bin/bash # firewall + nat - CC 01-2003 #définition variable pour l'interface externe (vers internet) # mettre ici sa propre interface EXTIF=ppp0 #vidage et remise à zéro chaines iptables -F iptables -X iptables -Z #définitions policies par défaut (accept ou drop) iptables -P INPUT ACCEPT #on pourrait mettre DROP ici iptables -P FORWARD ACCEPT #et ici # mais il faudrait alors autoriser explicitement tout ce qui peut # entrer et passer iptables -P OUTPUT ACCEPT #création de chaine utilisateur log et drop (logue et drope les # paquets refusés) iptables -N LD iptables -F LD iptables -A LD -j LOG --log-level warning --log-prefix "bloqué : " iptables -A LD -j DROP #création de chaine utilisateur log et drop toute connexion nouvelle #provenant de l'interface vers internet #accepte les connexions établies ou relatives à une connexion établie iptables -N FILTRE1 iptables -F FILTRE1 iptables -A FILTRE1 -i $EXTIF -m state --state NEW -j LD #bloque aussi smb (devrait déjà être arrêté par la règle précédente #mais illustre le moyen de bloquer des services particuliers iptables -A FILTRE1 -i $EXTIF -p tcp --dport 137:139 -j LD iptables -A FILTRE1 -i $EXTIF -p udp --dport 137:139 -j LD iptables -A FILTRE1 -i $EXTIF -p tcp --dport 445 -j LD iptables -A FILTRE1 -i $EXTIF -p udp --dport 445 -j LD #autorise les paquets des connexions établies ou relatives à une connexion #établie (comme FTP) iptables -A FILTRE1 -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT #rajouter ici les connexions entrantes autorisées (ssh...) #définition des actions (pour ce qui rentre et ce qui traverse) iptables -t filter -A INPUT -j FILTRE1 iptables -t filter -A FORWARD -j FILTRE1 echo "filtrage activé" #masquerading iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward echo "masquerading activé" Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Le Samedi 7 Juin 2003 10:39, Apollonie Raffalli a écrit : > > Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le > > thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant > > très important ! Le protocol tcp est très strict là dessus. > > L'état RELATED est certes important mais non nécessaire compte tenu des > besoins précis de Rosaire. > > La gestion de cet état est nécessaire si l'on doit utiliser certains > protocoles comme le FTP qui nécessite une double connexion. > > Maintenant, c'est vrai que si l'on rajoute RELATED après ESTABLISHED ce > n'est pas faux et cela permettra de gérer tous les protocoles ; c'est > d'ailleurs ce que j'ai dans mon propre script puisque j'ai un serveur FTP. > > Et pour > > > l'établissement de la connection je met trois lignes, c'est parce que ça > > tiens en trois paquets ! > > Je maintiens mes dires : l'état RELATED n'a rien à voir avec > l'établissement d'une connexion. > > Sans esprit de polémique, je propose donc une nouvelle "règle" des trois > lignes : > client -> serveur "coucou" passerelle: NEW > serveur -> client "re coucou" passerelle: ESTABLISHED et non RELATED > client -> serveur "ok alors on cause!": ESTABLISHED tu as raison. l'état RELATED concerne des connexions *relatives* à des connexions déjà établies, en général les transferts FTP en mode actif. Au niveau de la connexion elle-même, on n'a que deux états : NEW (on crée une nouvelle connexion) et ESTABLISHED (la connexion est établie). Cela dit, pour protéger notre réseau interne et notre passerelle des seules tentatives d'accès de l'extérieur tout en servant de passerelle pour notre réseau interne, il faut et il suffit d'interdire toute connexion établie de l'extérieur (state NEW -j DROP sur l'interface externe). Mais pour que cela fonctionne, il faut mettre une police par défaut à ACCEPT, sinon il fudrait autoriser un à un tous les services réseau, par protocole. Cette règle devant bien entendu s'appliquer aux paquets entrant et passant par la passerelle. Ce qui donne ce script que j'utilise et qui me donne statisfaction (testé avec de multiples outils avec succès) #!/bin/bash # firewall + nat - CC 01-2003 #définition variable pour l'interface externe (vers internet) # mettre ici sa propre interface EXTIF=ppp0 #vidage et remise à zéro chaines iptables -F iptables -X iptables -Z #définitions policies par défaut (accept ou drop) iptables -P INPUT ACCEPT #on pourrait mettre DROP ici iptables -P FORWARD ACCEPT #et ici # mais il faudrait alors autoriser explicitement tout ce qui peut # entrer et passer iptables -P OUTPUT ACCEPT #création de chaine utilisateur log et drop (logue et drope les # paquets refusés) iptables -N LD iptables -F LD iptables -A LD -j LOG --log-level warning --log-prefix "bloqué : " iptables -A LD -j DROP #création de chaine utilisateur log et drop toute connexion nouvelle #provenant de l'interface vers internet #accepte les connexions établies ou relatives à une connexion établie iptables -N FILTRE1 iptables -F FILTRE1 iptables -A FILTRE1 -i $EXTIF -m state --state NEW -j LD #bloque aussi smb (devrait déjà être arrêté par la règle précédente #mais illustre le moyen de bloquer des services particuliers iptables -A FILTRE1 -i $EXTIF -p tcp --dport 137:139 -j LD iptables -A FILTRE1 -i $EXTIF -p udp --dport 137:139 -j LD iptables -A FILTRE1 -i $EXTIF -p tcp --dport 445 -j LD iptables -A FILTRE1 -i $EXTIF -p udp --dport 445 -j LD #autorise les paquets des connexions établies ou relatives à une connexion #établie (comme FTP) iptables -A FILTRE1 -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT #rajouter ici les connexions entrantes autorisées (ssh...) #définition des actions (pour ce qui rentre et ce qui traverse) iptables -t filter -A INPUT -j FILTRE1 iptables -t filter -A FORWARD -j FILTRE1 echo "filtrage activé" #masquerading iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward echo "masquerading activé" Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
D'ou les lignes de commentaires ;-) Il n'avait semblé que grace à elles on pouvait s'en sortir. Je le saurais pour la prochaine fois. Ceci dit, dis moi celles qui te semble obscures et je te donnerais plus d'explication. Touch13 Le Vendredi 6 Juin 2003 19:35, AMORE Rosaire a écrit : > Sympa Touch13! > Mais je ne sais pas si t'as pigé que j'étais en train d'apprendre? > Alors, ton script est bien ficelé apparement, mais pas trop > pédagogique-débutant. Du reste, je viens de me rendre compte que j'ai > envoyé ma demande d'info chez les confirmes. Je crois que je vais faire > un tour chez debutant. > Merci quand même!;-) > Rosaire > > Touch13 a écrit : > > Le Vendredi 6 Juin 2003 16:44, AMORE Rosaire a écrit : > >>Salut > >>J'ai le réseau suivant : > >>une passerelle que je voudrais utiliser comme firewall avec un lan juste > >>derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0. > >>Je voudrais tout DROPper sauf : > >>- accès à Internet depuis ma passerelle ou mon lan > >>- accès depuis n'importe où par ssh. > >>J'ai construit les règles suivantes en m'inspirant du iptables-Howto et > >>du tutorial de lea. > >>Ca marche depuis ma passerelle mais rien depuis mon lan (bien configuré, > >>car, sans les règles iptables, j'arrive bien sur internet). > >>= > >>iptables -F INPUT > >>iptables -F OUTPUT > >>iptables -F FORWARD > >>iptables -nL# verif > >>iptables -P INPUT ACCEPT > >>iptables -P OUTPUT ACCEPT > >>iptables -P FORWARD ACCEPT > >>iptables -nL > >>iptables -P INPUT DROP > >>iptables -P OUTPUT DROP > >>iptables -P FORWARD DROP > >>iptables -nL > >>iptables -A INPUT -i lo -j ACCEPT > >>iptables -A OUTPUT -o lo -j ACCEPT > >>iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT > >>iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT > >>iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT > >>iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT > >>iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state > >>--state ESTABLISHED -j ACCEPT > >>iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state > >>--state NEW,ESTABLISHED -j ACCEPT > >>iptables -nL > >>#iptables -A INPUT --protocol tcp --source-port 22 -m state --state > >>NEW,ESTABLISHED -j ACCEPT > >>iptables -A INPUT --protocol tcp --source-port 22 -j ACCEPT > >>iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE > >>= > >>Une idée? > >>Rosaire > > > > Les règles INPUT et OUTPUT ne gèrent que les paquets entrants et sortants > > de la machine concernée. Pour traiter les paquets en transit par le > > 'firewall' la règle concernée est 'FORWARD'. > > Cependant pour que cela fonctionne il activer le routage. > > > > Voici un exemple de qui fonctionne en production: > > > > # Path to IPTABLES executable > > IPTABLES=/usr/sbin/iptables > > > > # Définition des interfaces > > I_Ext=ppp0 > > I_Int=eth1 > > > > # Définition des réseaux > > Res_Int=192.168.0.0/24 > > Res_Ext=0.0.0.0/24 > > > > # Adresses IP des serveurs > > IP_Routeur=192.168.0.254 > > IP_Frw_Int=192.168.0.254 > > IP_Frw_Ext=`ifconfig $I_Ext | grep inet | cut -d : -f2 | cut -d ' ' -f1` > > > > # Définition des ports > > Port_Dns=53 > > Port_Pop3=110 > > Port_Smtp=25 > > Port_Http=80 > > Port_Ssh=22 > > > > > > # Configuration du noyau > > > > echo > > echo " -" > > echo " -- Application des règles du firewall" > > echo " -" > > > > # --- Ignorer les messages ICMP buggés (RFC 1122) > > # --- > > if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ]; then > > echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses > > echo " - 1 - Ignorer les messages ICMP buggés [OK]" > > else > > echo " - 1 - Ignorer les messages ICMP buggés > > [FAILED]" fi > > > > # --- Activation de la redirection des paquets. > > # - > > if [ -e /proc/sys/net/ipv4/ip_forward ]; then > > echo "1" > /proc/sys/net/ipv4/ip_forward > > echo " - 2 - Activation de l'IP Forwarding [OK]" > > else > > echo " - 2 - Activation de l'IP Forwarding > > [FAILED]" fi > > > > # --- Ne pas accepter les redirections ICMP. > > # -- > > # Désactivation sur toutes les insterfaces. > > # if [ -e /proc/sys/net/ipv4/conf/all/accept_redirects ]; then > > # echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects > > # fi > > # Désactivation seulement sur l'interface externe. > > if [ -e /proc/sys/net/ipv4/conf/$I_Ext/accept_redirects ]; then > > echo "0" > /proc/sys/net/ipv4/conf/$I_Ext/accept_redirects > > echo " - 3 - Désactivation des redirections ICMP [OK]" > > else > > ec
[Confirme] compatibilite portable / mdk9.1
Bonjour, j'envisage d'acheter un portable (DELL, IBM , TOSHIBA, COMPAQ) pour y faire tourner mdk9.1 (powerpack). Je me suis rendu sur le site de mdk pour voir quels modèles étaient correctement supportés, mais tous les portables sont indiqués comme "connus". Je n'ai donc pas pu me faire une idée (à mon avis, la base de donnée n'est pas renseignée). Merci de me faire part de votre expérience (et suggestions quand aux marques que j'ai indiquées, ou à d'autres. A+ ALD -- ald <[EMAIL PROTECTED]> Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] img
En fait je cherche le moyen de décompresser ou compresser les fichiers .img (fichiers images) Merci JP* - Original Message - From: Olivier Thauvin <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Saturday, June 07, 2003 3:29 AM Subject: Re: [Confirme] img > Le Vendredi 06 Juin 2003 22:51, rebouillat a écrit : > > Salut à tous, > > > > Je cherche en vain d'ouvrir des fichiers dont l'extention est .img > > Qui peut m'aider ? > > > > Merci > > > > JP * > > en général c'est des fichiers images de diskette, essaye: > mount -o loop monfichier.img /mnt/disk > > umout quand tu as fini. > > -- > Linux pour Mac !? Enfin le moyen de transformer > une pomme en véritable ordinateur. - JL. > Olivier Thauvin - http://nanardon.homelinux.org/ > > > > Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? > Rendez-vous sur "http://www.mandrakestore.com"; > Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
Olivier Thauvin a écrit : Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit : .. Re Re Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le thread que quelqu'un avait oublié d'autoriser l'etat RELATED, 1/ Où ça? 2/ Malgré le document (le site) recommandé par Apollonie, je dois reconnaître que cette notion de RELATED est encore un peu floue. Et ton explication (dont au sujet de laquelle je reconnais avoir eu tort de la traiter de "croquignolesque" ;-) ) est pas très claire non plus. Suis p'tet con, mais je n'ai pas bien compris la symbolique que tu as employé. Une simple légende aurait suffit. Il s'agit de cette partie là (mes commentaires commencent par **: --- J'etablie une connection quelle qu'elle soit en tcp: Avant le connection est NEW ou INVALID, en fait innexistante. ** ok client -> serveur "coucou" passerelle: NEW serveur -> client "re coucou" passerelle: RELATED client -> serveur "ok alors on cause!": RELATED passe à ESTABLSHED (jusque là c'est les flags tcp qui jouent) client -> serveur "je voudrais te causer d'un truc" passerelle: ESTABLISHED serveur -> client "dis moi tout mon amour" passerelle: ESTABLISHED ** ouai, ben, c'est tout ça qui est pas très clair :-( ... client -> serveur "bye" passerelle: ESTABLISHED -> connection innexistante donc NEW, ou INVALID. --- Merci Rosaire pourtant très important ! Le protocol tcp est très strict là dessus. Et pour l'établissement de la connection je met trois lignes, c'est parce que ça tiens en trois paquets ! Ah oui un détail supplémentaire: ipfilter ne se fit pas aux drapeaux des paquets pour déterminé l'état d'une connexion, mais bien a ce qu'il a vu passer ! Ce qui permet de poser des filtre pour vérifier la cohérence des trames, par exemple que une trame qui prétend faire partie d'une connexion en cours correspond bien à une connection que le noyau a déjà vue passer. Mais bon, ça fais toujours du bien de savoir commet ça se passe ! :) Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables ++
Le Samedi 7 Juin 2003 09:40, AMORE Rosaire a écrit : > Olivier Thauvin a écrit : > > Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit : > >>Apollonie Raffalli a écrit : > > [ ... ] > > Quelques compléments d'information, please? > Voilà, ça concerne ce genre de lignes, que j'ai dans ma liste de règles : > -- > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT > -- > > Bon, d'après ce que je sais (et encore, pas sûr) DNS utilise les deux > protocoles udp ET tcp. Comme NFS crois-je. Mais j'ai placé, lors de mes > tatonnements successifs des lignes comme : > -- > iptables -A INPUT -i ppp0 --protocol tcp --source-port 25 -j ACCEPT > iptables -A INPUT -i ppp0 --protocol udp --source-port 25 -j ACCEPT > -- > > Pourquoi ai-je fait ça? J'ai simplement lu le /etc/services qui présente > deux entrées pour le port 25 (une en udp, l'autre en tcp). Or je crois > savoir (?) que SMTP lui, n'utilise pas udp. Ce qui transforme ma > deuxième ligne en "inutile". Exact. Dans tes besoins, seul le protocole DNS (port 53) a besoin de UDP. Tu peux supprimer toutes les lignes inutiles. > > Et évidement, j'en ai d'autres (22, 110, ...) résultantes de mes > tatonnements. Ma question : > Y a-t-il UN endroit où on peut savoir quoi faire, quoi gérer avec > iptables, pour un service donné sans redondances inutiles (et hors > tatonnement biensûr)? Toujours sur le site de Christian Caleca : http://christian.caleca.free.fr/ ; tous les protocoles sont très bien expliqués. Sinon en dehors des howto et de LEA, je ne connais pas d'autres sites vraiment intéressant pour iptables. Peut-être avec notre ami google :-) Mais du moment que ça marche et que tu es bien protégé, tu as le temps par la suite d'optimiser ton script... -- Cordialement, Apollonie Raffalli [EMAIL PROTECTED] Lycée Laetitia Bonaparte Ajaccio http://btsig-llb.homelinux.com Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] iptables
> Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le > thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant très > important ! Le protocol tcp est très strict là dessus. L'état RELATED est certes important mais non nécessaire compte tenu des besoins précis de Rosaire. La gestion de cet état est nécessaire si l'on doit utiliser certains protocoles comme le FTP qui nécessite une double connexion. Maintenant, c'est vrai que si l'on rajoute RELATED après ESTABLISHED ce n'est pas faux et cela permettra de gérer tous les protocoles ; c'est d'ailleurs ce que j'ai dans mon propre script puisque j'ai un serveur FTP. Et pour > l'établissement de la connection je met trois lignes, c'est parce que ça > tiens en trois paquets ! Je maintiens mes dires : l'état RELATED n'a rien à voir avec l'établissement d'une connexion. Sans esprit de polémique, je propose donc une nouvelle "règle" des trois lignes : client -> serveur "coucou" passerelle: NEW serveur -> client "re coucou" passerelle: ESTABLISHED et non RELATED client -> serveur "ok alors on cause!": ESTABLISHED -- Cordialement, Apollonie Raffalli [EMAIL PROTECTED] Lycée Laetitia Bonaparte Ajaccio http://btsig-llb.homelinux.com Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
