Re: IPTables et LiveBox, pb de LOG.

2005-05-24 Par sujet Jacques L'helgoualc'h 
Michel Luc a écrit, mercredi 25 mai 2005, à 01:27 :
>   Bonsoir,

bonjour,

>  Sur un serveur (woody) connecté à internet par une LiveBox sagem,
> j'utilise iptables et ça fonctionne. Mais j'ai un sérieux pb lorsque je
> veux tracer les paquets rejetés.
>  En utilisant LOG_ACCEPT et LOG_DROP les machines sur le LAN n'ont plus
> accès au port tcp 110 (pop3) et en utilisant LOG_FWD ces machine n'ont
> plus accès à internet (http/ftp), voilà ce que j'utilise comme règles:
> 
> [...] 
>  Si je supprime ces chaînes les machines du LAN fonctionnent
> correctement.
> 
> Si qqun peut me dire où je fais l'erreur, car là je sèche, merci.

À première vue, l'erreur est ailleurs dans le script :)

En regardant les logs obtenus, on  peut sans doute deviner ce qui manque
dans le parefeu ... 

Pour voir les règles qui ont servi,

iptables -vL |awk '$1{if($1~/pkts/){if(!pkt++)print}else print}'

-- 
Jacques L'helgoualc'h


-- 
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

IPTables et LiveBox, pb de LOG.

2005-05-24 Par sujet Michel Luc 
  Bonsoir,

 Sur un serveur (woody) connecté à internet par une LiveBox sagem,
j'utilise iptables et ça fonctionne. Mais j'ai un sérieux pb lorsque je
veux tracer les paquets rejetés.
 En utilisant LOG_ACCEPT et LOG_DROP les machines sur le LAN n'ont plus
accès au port tcp 110 (pop3) et en utilisant LOG_FWD ces machine n'ont
plus accès à internet (http/ftp), voilà ce que j'utilise comme règles:

IPT="/sbin/iptables"

# Placé juste avant les "policy" par défaut :
 ${IPT} -N LOG_ACCEPT
 ${IPT} -A LOG_ACCEPT -j LOG --log-level info \
--log-prefix "[IPTABLES ACCEPT] : "
 ${IPT} -A LOG_ACCEPT -j ACCEPT

 ${IPT} -N LOG_DROP
 ${IPT} -A LOG_DROP -j LOG --log-level info \
--log-prefix "[IPTABLES DROP] : "
 ${IPT} -A LOG_DROP -j DROP

 ${IPT} -N LOG_FWD
 ${IPT} -A LOG_FWD  -j LOG --log-level info --log-ip-options \
 --log-prefix "[IPTABLES FWD] :"
 ${IPT} -A LOG_FWD  -j DROP

# Placé à la fin pour tracer tous les paquets qui n'ont pas 
# passé/traversé le firewall :
${IPT} -A INPUT -j LOG_DROP
${IPT} -A OUTPUT -j LOG_DROP
${IPT} -A FORWARD -j LOG_FWD

 Si je supprime ces chaînes les machines du LAN fonctionnent
correctement.


Si qqun peut me dire où je fais l'erreur, car là je sèche, merci.

  @+
-- 
Michel Luc [EMAIL PROTECTED] | http://www.cern91.net/
GAULE, LUG de l'Essonne:  http://gaule.org/
KFP: 155C 2287 2084 33E0 4263 8AC9 B10F 03CB 3D07 B881
-- GnuPG v1.0.6 (GNU/Linux)   ---


signature.asc
Description: Ceci est une partie de message	=?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e=2E?=