Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
Bonjour, Le Thu, 29 Jan 2009 05:52:54 +0100, Grégory Bulot debian.l...@batman.dyndns.org a écrit : David BERCOT deb...@bercot.org à écrit le Mon, 26 Jan 2009 14:56:51 +0100 je réponds à mon post de réponse non encore arrivé sur la liste : modprobe ipt_LOG Oui mais, justement, je ne peux pas charger de module ;-) Le répertoire /lib/modules/'version noyau' n'existe pas !!! Le noyau est full modules (du moins, ceux considérés comme importants par ceux qui l'ont compilé) et non modifiable (pas de rajout possible). J'ai donc dû abandonner shorewall et utiliser directement iptables (sans règle autour de LOG). David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
David BERCOT deb...@bercot.org à écrit le Mon, 26 Jan 2009 14:56:51 +0100 je réponds à mon post de réponse non encore arrivé sur la liste : modprobe ipt_LOG -- Cordialement Grégory BULOT -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
Re-bonjour, Le Mon, 26 Jan 2009 11:10:47 +0100, Pascal Hambourg pascal.m...@plouf.fr.eu.org a écrit : Il faudrait regarder quelle règle générée par shorewall provoque l'erreur en suivant les instructions de la page que tu cites dans ton premier message. Il manque la cible LOG, ça pourrait venir de là. Non, je suggérais de faire ce qui est décrit là : http://www.shorewall.net/troubleshoot.htm#Start-shell. Soit ajouter l'option -vv pour augmenter la verbosité shorewall -vv [re]start Je garde ça de côté, mais, comme j'aurais visiblement des problèmes, j'en profite pour essayer de passer à la configuration pour homme ;-) Après quelques recherches et lectures, je lance la configuration suivante : # Vidage des règles (éventuelles) iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X # Politique générale iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT ACCEPT # Boucle locale iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT # Retour des requêtes lancées depuis l'intérieur iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Règles autorisées iptables -A INPUT -p tcp --dport 80 -j ACCEPT J'espère que les exemples que j'ai trouvés sont bons ;-) Il me reste toutefois un souci. Je souhaite utiliser sslh (merci Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local. Si je fais uniquement : iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT ça ne marche pas !!! J'ai fait le test avec la même ligne que ci-dessus mais pour les 2 ports en local, et là, ça fonctionne. Toutefois, j'imagine qu'il doit y avoir une possibilité pour ne pas ouvrir de l'extérieur les 2 ports qui n'ont besoin d'être accessibles qu'en interne... Mais là, je sèche sur la syntaxe... Auriez-vous une piste ? Merci d'avance (et à Pascal pour sa patience ;-))). David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
David BERCOT a écrit : iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT L'option -s est trop restrictive, les paquets émis sur l'interface de loopback peuvent avoir n'importe quelle adresse source locale. Cela inclut la plage 127.0.0.0/8 et toutes les adresses configurées sur les interfaces de la machine. Il me reste toutefois un souci. Je souhaite utiliser sslh (merci Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local. Si je fais uniquement : iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT ça ne marche pas !!! C'est censé marcher comment au niveau réseau, sslh ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
Le Mon, 26 Jan 2009 14:01:31 +0100, Pascal Hambourg pascal.m...@plouf.fr.eu.org a écrit : David BERCOT a écrit : iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT L'option -s est trop restrictive, les paquets émis sur l'interface de loopback peuvent avoir n'importe quelle adresse source locale. Cela inclut la plage 127.0.0.0/8 et toutes les adresses configurées sur les interfaces de la machine. Mhummm, il me semble que je n'ai que 127.0.0.1 (de visible en tous cas)... Il me reste toutefois un souci. Je souhaite utiliser sslh (merci Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local. Si je fais uniquement : iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT ça ne marche pas !!! C'est censé marcher comment au niveau réseau, sslh ? On arrive sur un port spécifique, et, ensuite, en fonction de ce qui arrive, on est redirigé vers le bon service sur un autre port. Je me demande si je ne pourrais pas faire un mix des règles précédentes, du genre : iptables -t filter -A INPUT -s 127.0.0.1 -p tcp --dport port_local1 -j ACCEPT Mais je ne connais pas assez iptables pour savoir si c'est valable ;-) David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
Le Mon, 26 Jan 2009 14:16:23 +0100, David BERCOT deb...@bercot.org a écrit : Il me reste toutefois un souci. Je souhaite utiliser sslh (merci Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local. Si je fais uniquement : iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT ça ne marche pas !!! C'est censé marcher comment au niveau réseau, sslh ? On arrive sur un port spécifique, et, ensuite, en fonction de ce qui arrive, on est redirigé vers le bon service sur un autre port. Je me demande si je ne pourrais pas faire un mix des règles précédentes, du genre : iptables -t filter -A INPUT -s 127.0.0.1 -p tcp --dport port_local1 -j ACCEPT Je pense avoir trouvé : iptables -t filter -A INPUT -p tcp --source mon_ip -j ACCEPT Je me demande si, pour peaufiner encore, il faudrait que je précise les ports locaux ? David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org