[Confirme] Re: ipchains et port 0
Le Mon, 18 Aug 2003 12:40:49 +0200, Franck RICHARD a écrit: > Es tu sur que tu n'ai pas 2 process qui répondent au port 8080 ? Ben il ne semble pas. > Essaie de couper squid pour voir si tu as une réponse d'apache ? Oui, pareil. Donc on peut en déduire que ce n'est pas squid qui est défaillant ? > Car si les 2 répondent en 8080, un fois squid répond google/tapage est > accessible, une fois apache répond et là tu es coincé... A priori non, squid coupé, testé par nmap et telnet, plus de réponse sur le 8080 > C'est une hypothèse, je sais pas ... C'était bien essayé, mais ce n'est à priori pas squid. Alors, dns ou iptables (shorewall) ? -- Christophe PEREZ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] Re: Re: Re: ipchains et port 0
Le Mon, 18 Aug 2003 12:37:26 +, AMORE Rosaire a écrit: > Ben t'as bien fait d'aller voir sur confirme. Paske c'est pas moi qui > vais te résoudre ça comme ça. Je ne pense pas maîtriser suffisament. :-)) > Par contre, ce que tu racontes me fait penser à trois pistes : > - Taille du cache J'ai toujours eu ce problème, quelque soit la taille du cache. > - Un paramètre de timeout qq part (peux pas te dire où) Ça ressemble à un truc comme ça, mais pourquoi un timeout balancerait sur le 80 de mon apache ? bizarre ! > - Le proxy transparent (voir iptables et ce que tu appelles redirection) > : délicat à gérer d'après ce que j'ai compris. Ben, à priori, j'ai fait comme il est indiqué partout. De plus, j'avais au départ essayé avec une règle iptables, qui fonctionnait, et c'est ensuite que je l'ai transformée en règle shorewall. > Tu peux en savoir plus, je répète à : http://christian.caleca.free.fr/ Faudra que je prenne le temps de le lire oui, celui là, et il y a bien longtemps qu'il est dans mes bookmark, mais malheureusement, il n'est pas en haut de la pile :-)) > Ce que je peux rajouter aussi : quand on en est à régler des config > aussi "haute voltige", c'est bien plus simple de s'attaquer à > l'interface de base (iptables). Parce que là, tout se passe comme si tu > devais apprendre à utiliser une interface (shorewall), qui elle même > attaque une autre interface (iptables) qui attaque elle même le logiciel > de base (netfilter). Faut être sérieux : le problème est en lui même > déjà, complexe. Encore faudrait-il que le pb soit justement sur le firewall, mais ça n'est pas encore prouvé. > Bon courage. Merci. -- Christophe PEREZ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Qui peut m'expliquer les warning (et comment trouver les réponses aux questions du novice...) ?
Guy A.J. Capra a écrit: >> Une solution possible consiste à demander à notre ami google avec par >> exemple "Cannot obtain lock file, aborting" > >Merci, c'est le réflexe que j'avais eu, mais lorsqu'on se forme, il faut dire >que faire le tri des réponses - lorsqu'il y en a - n'est pas vraiment >possible et que j'avais espéré ignorer une méthode simple et efficace de >recherche d'information :-/ Le "file locking" est une méthode couramment utilisée pour assurer qu'un seul programme à la fois pourra utiliser une ressource. C'est aussi utilisé pour empêcher que deux copies du même programme fonctionnent en même temps. Le programme crée le fichier lock en démarrant et le détruit en sortant. Le même programme qui serait lancé une seconde fois, pendant que le 1er tourne, ne pourra pas créer le fichier lock d'où le message que tu as vu. Une autre possibilité serait que le programme tente de créer le fichier lock dans un répertoire qui n'existe pas. Regarde la documentation et le fichier de configuration de ton programme pour découvrir dans quel répertoire sera créé le fichier lock (généralement sous /var/lock/...). En dernier recours, si tu ne peux identifier le répertoire, tu peux utiliser strace pour le découvrir. Gilles Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] Re: Re: ipchains et port 0
Le Mon, 18 Aug 2003 03:33:01 -0400, NAOAQUALI a écrit: > c'est une synthaxe proched' iptables que l'on retoruve dans le fichier de > conf: franchement si tu vas aussi loin dans la decouverte de ton firewall, tu > peux apprendre iptables :-) Mais je comprends iptables, à peu près, c'est juste que je suis habitué avec shorewall, donc ça va plus vite pour mes modifs :-) > run_iptables -A common -p udp --sport 53 -mstate --state NEW -j DROP > = tout les paquet UDP provenant d'une ip source quelconque et du port 53 et > qui tente d'initialiser une connexion est rejeté C'est à peu près ce que j'avais compris, mais en clair, je veux dire, en réalité, ça peut correspondre à quoi ces requêtes sur le port 53 qui remplissent mes logs de DROP ?? -- Christophe PEREZ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Routeur et firewall
nux a écrit: === Je viens d'acquérir un modem routeur dsl speedstream 5500. Ceci dans le but de partager ma connexion adsl. Actuellement, je ne l'utilise qu'avec un pc. j'aimerais savoir si vous connaissiez un bon firewall (firestarter, shorewall...) qui gère le napt (translation de port) ou un script. Le routeur (passerelle) à l'adresse à l'adresse 192.168.0.3 L'adresse ip de ma carte eth0 192.168.0.1 10 ports sont routés du routeur (adresse publique) vers mon adresse privé 192.168.0.1 Lorsque je tape ifconfig je n'ai plus l'adresse publique du fai ppp0 que j'avais avec mon ancien modem adsl. J'aimerais filtrer mon ip privé et la masquer ainsi que la passerelle. Puis je simplement utiliser mon ancien script en remplacant ppp0 par eth0 et l'adresse dynamique par 192.168.0.1 ? et ajouter quelques lignes pour la gestion de la passerelle. == Désolé de te décevoir. Le routeur permet à chacun de tes ordis d'avoir accès à Internet directement (sans passer par ta machine linux). Il fait du NAT. Si tu veux configurer un firewall, c'est dans le routeur qu'il faut le faire. Consultes le manuel du routeur. Si tu veux utiliser ta machine comme routeur, il faudrait remplacer ton routeur par une passerelle (gateway) et implanter un firewall sur ta machine Linux. Je recommande d'ajouter une 2ième carte réseau à ta machine et de ne brancher que la passerelle sur cette 2ième carte Gilles Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Re: Re: ipchains et port 0
Es tu sur que tu n'ai pas 2 process qui répondent au port 8080 ? Essaie de couper squid pour voir si tu as une réponse d'apache ? Car si les 2 répondent en 8080, un fois squid répond google/tapage est accessible, une fois apache répond et là tu es coincé... C'est une hypothèse, je sais pas ... Le lundi 18 août 2003, à 10:33 AM, Christophe PEREZ a écrit : Le Mon, 18 Aug 2003 06:48:15 +, AMORE Rosaire a écrit: Excuses, je ne voulais pas être cassant, mais honnêtement, je ne connais rien à shorewall. Et je connais un peu iptables. La question sans réponse, c'était quoi? Mais je ne t'ai pas du tout trouvé cassant, c'est donc moi qui ai du l'être, mais je fais trop de choses à la fois :-)) Mon problème, il est que : Sur mon serveur, j'ai shorewall, apache, serveur dns (bind), et proxy squid configuré en proxy transparent. J'ai donc une règle shorewall dans les "rules" : REDIRECTloc 8080tcp www - !192.168.0.100 qui redirige tous les accès des postes du réseau sur le port 80 (http) vers le port 8080 (celui de squid), sauf pour les accès au serveur local (192.168.0.100) Tout fonctionne parfaitement (ou presque). Quand je surfe avec mes différents postes, linux ou windows, configurés normalement (donc sans proxy) tout passe bien par le proxy du serveur, et c'est bien ce que je veux. De même, tous les accès au serveur http local évitent bien de passer par squid, c'est parfait aussi. Sauf que, je ne sais pas trop pourquoi, ni dans quelle condition exacte, si la connexion internet est très chargé (téléchargement par exemple) ou pas établie du tout, et que (donc), un requête http, sur le net, n'est pas rapidement résolue (trop de délai, ou pas de site au bout) la demande est redirigée automatiquement vers mon serveur web ! Si la page demandée existe (la racine en particulier) sur mon site, elle est envoyée, et si elle n'existe pas, j'ai la page d'erreur traditionnelle de mon apache qui est balancée. Je ne sais pas si je suis clair, donc un exemple : Ma connexion internet est chargée, ou pas établie. Dans mon navigateur, je lance : www.google.fr Bien souvent (mais pas toujours non plus), j'ai la page index.html de mon serveur qui s'affiche. Si je lance www.google.fr/ma/page/en/particulier.html, j'ai une erreur de _mon_ apache qui dit que la page "/ma/page/en/particulier.html n'existe pas. Tout ceci se vérifie exactement de la même manière dans les logs, de squid et de apache. Et je ne parviens pas à savoir si c'est un pb de dns (on me dit que non) de squid (mais je ne vois pas où), de iptables à cause de la fameuse redirection (mais alors c'est un bug car elle n'est pas censée faire ça). J'ai déjà essayé des multitudes de choses dans tous les sens, sans jamais parvenir à résoudre ce problème. Alors s'il y a ici des gens qui se sentent le courage, je suis ok pour faire tous les tests qu'ils me suggéreront :-) Merci d'avance. -- Christophe PEREZ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com"; Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Re: Re: ipchains et port 0
Christophe PEREZ a écrit : Le Mon, 18 Aug 2003 06:48:15 +, AMORE Rosaire a écrit: .../... Mon problème, il est que : Sur mon serveur, j'ai shorewall, apache, serveur dns (bind), et proxy squid configuré en proxy transparent. J'ai donc une règle shorewall dans les "rules" : REDIRECTloc 8080tcp www - !192.168.0.100 qui redirige tous les accès des postes du réseau sur le port 80 (http) vers le port 8080 (celui de squid), sauf pour les accès au serveur local (192.168.0.100) Tout fonctionne parfaitement (ou presque). Quand je surfe avec mes différents postes, linux ou windows, configurés normalement (donc sans proxy) tout passe bien par le proxy du serveur, et c'est bien ce que je veux. De même, tous les accès au serveur http local évitent bien de passer par squid, c'est parfait aussi. Sauf que, je ne sais pas trop pourquoi, ni dans quelle condition exacte, si la connexion internet est très chargé (téléchargement par exemple) ou pas établie du tout, et que (donc), un requête http, sur le net, n'est pas rapidement résolue (trop de délai, ou pas de site au bout) la demande est redirigée automatiquement vers mon serveur web ! Si la page demandée existe (la racine en particulier) sur mon site, elle est envoyée, et si elle n'existe pas, j'ai la page d'erreur traditionnelle de mon apache qui est balancée. Je ne sais pas si je suis clair, donc un exemple : Ma connexion internet est chargée, ou pas établie. Dans mon navigateur, je lance : www.google.fr Bien souvent (mais pas toujours non plus), j'ai la page index.html de mon serveur qui s'affiche. Si je lance www.google.fr/ma/page/en/particulier.html, j'ai une erreur de _mon_ apache qui dit que la page "/ma/page/en/particulier.html n'existe pas. Tout ceci se vérifie exactement de la même manière dans les logs, de squid et de apache. Et je ne parviens pas à savoir si c'est un pb de dns (on me dit que non) de squid (mais je ne vois pas où), de iptables à cause de la fameuse redirection (mais alors c'est un bug car elle n'est pas censée faire ça). J'ai déjà essayé des multitudes de choses dans tous les sens, sans jamais parvenir à résoudre ce problème. Ben t'as bien fait d'aller voir sur confirme. Paske c'est pas moi qui vais te résoudre ça comme ça. Je ne pense pas maîtriser suffisament. Par contre, ce que tu racontes me fait penser à trois pistes : - Taille du cache - Un paramètre de timeout qq part (peux pas te dire où) - Le proxy transparent (voir iptables et ce que tu appelles redirection) : délicat à gérer d'après ce que j'ai compris. Tu peux en savoir plus, je répète à : http://christian.caleca.free.fr/ Ce que je peux rajouter aussi : quand on en est à régler des config aussi "haute voltige", c'est bien plus simple de s'attaquer à l'interface de base (iptables). Parce que là, tout se passe comme si tu devais apprendre à utiliser une interface (shorewall), qui elle même attaque une autre interface (iptables) qui attaque elle même le logiciel de base (netfilter). Faut être sérieux : le problème est en lui même déjà, complexe. Pas la peine d'en rajouter : ce que tu fais. Bon courage. Alors s'il y a ici des gens qui se sentent le courage, je suis ok pour faire tous les tests qu'ils me suggéreront :-) Merci d'avance. Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Qui peut m'expliquer les warning (et comment trouver les réponses aux questions du novice...) ?
Le Vendredi 15 Août 2003 22:17, christophe Josselin (christophe Josselin <[EMAIL PROTECTED]>) a écrit : > Le Vendredi 15 Août 2003 16:40, Guy Capra, Alomphega a écrit : > .../... > > Une solution possible consiste à demander à notre ami google avec par > exemple "Cannot obtain lock file, aborting" Merci, c'est le réflexe que j'avais eu, mais lorsqu'on se forme, il faut dire que faire le tri des réponses - lorsqu'il y en a - n'est pas vraiment possible et que j'avais espéré ignorer une méthode simple et efficace de recherche d'information :-/ nb: pour cet exemple, par exemple, aucune réponse... :-0 Bon, je retourne à mes chers livres ;-) -- Guy A.J. Capra __ Alomphega.com, StarOffice-fr.com, OpenOffice-fr.org, OpenMeans.org Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] Re: Re: ipchains et port 0
Le Mon, 18 Aug 2003 06:48:15 +, AMORE Rosaire a écrit: > Excuses, je ne voulais pas être cassant, mais honnêtement, je ne connais > rien à shorewall. Et je connais un peu iptables. > La question sans réponse, c'était quoi? Mais je ne t'ai pas du tout trouvé cassant, c'est donc moi qui ai du l'être, mais je fais trop de choses à la fois :-)) Mon problème, il est que : Sur mon serveur, j'ai shorewall, apache, serveur dns (bind), et proxy squid configuré en proxy transparent. J'ai donc une règle shorewall dans les "rules" : REDIRECTloc 8080tcp www - !192.168.0.100 qui redirige tous les accès des postes du réseau sur le port 80 (http) vers le port 8080 (celui de squid), sauf pour les accès au serveur local (192.168.0.100) Tout fonctionne parfaitement (ou presque). Quand je surfe avec mes différents postes, linux ou windows, configurés normalement (donc sans proxy) tout passe bien par le proxy du serveur, et c'est bien ce que je veux. De même, tous les accès au serveur http local évitent bien de passer par squid, c'est parfait aussi. Sauf que, je ne sais pas trop pourquoi, ni dans quelle condition exacte, si la connexion internet est très chargé (téléchargement par exemple) ou pas établie du tout, et que (donc), un requête http, sur le net, n'est pas rapidement résolue (trop de délai, ou pas de site au bout) la demande est redirigée automatiquement vers mon serveur web ! Si la page demandée existe (la racine en particulier) sur mon site, elle est envoyée, et si elle n'existe pas, j'ai la page d'erreur traditionnelle de mon apache qui est balancée. Je ne sais pas si je suis clair, donc un exemple : Ma connexion internet est chargée, ou pas établie. Dans mon navigateur, je lance : www.google.fr Bien souvent (mais pas toujours non plus), j'ai la page index.html de mon serveur qui s'affiche. Si je lance www.google.fr/ma/page/en/particulier.html, j'ai une erreur de _mon_ apache qui dit que la page "/ma/page/en/particulier.html n'existe pas. Tout ceci se vérifie exactement de la même manière dans les logs, de squid et de apache. Et je ne parviens pas à savoir si c'est un pb de dns (on me dit que non) de squid (mais je ne vois pas où), de iptables à cause de la fameuse redirection (mais alors c'est un bug car elle n'est pas censée faire ça). J'ai déjà essayé des multitudes de choses dans tous les sens, sans jamais parvenir à résoudre ce problème. Alors s'il y a ici des gens qui se sentent le courage, je suis ok pour faire tous les tests qu'ils me suggéreront :-) Merci d'avance. -- Christophe PEREZ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Re: ipchains et port 0
>Moi qui croyais avoir presque compris shorewall :-)) je suis d'accord avec Rosaire : certains firewalls utilisent des synthaxes qui ne simplifie rien voir méme complique les choses! de plus on sait déjà que shorewall a quelques bugs >Et si quelqu'un ouvait m'expliquer plus précisément la ligne sur le port >53, car en effet, j'ai bien souvent des problèmes de DNS sur mon réseau, c'est une synthaxe proched' iptables que l'on retoruve dans le fichier de conf: franchement si tu vas aussi loin dans la decouverte de ton firewall, tu peux apprendre iptables :-) run_iptables -A common -p udp --sport 53 -mstate --state NEW -j DROP = tout les paquet UDP provenant d'une ip source quelconque et du port 53 et qui tente d'initialiser une connexion est rejeté Alex
