Re: NTP et firewall
On Mon, 19 Nov 2007 10:41:57 +0100, Pascal Hambourg <[EMAIL PROTECTED]> wrote: > Sylvain a écrit : >> iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT > ^^^ > Typo 'o' (comme Oscar) à la place de '0' (zéro). Comment j'ai pu louper > ça... Non non, là ça ne va plus :p! C'est l'époque des rhumes et autres, je mets cela dessus. Je n'ai même pas jeté un coup d'oeil aux règles vu que tu es passé par là avant ... --- Franck Joncourt http://www.debian.org/ - http://smhteam.info/wiki/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: NTP et firewall
Je crois que j'ai trouvé. iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT ^^^ Typo 'o' (comme Oscar) à la place de '0' (zéro). Comment j'ai pu louper ça... Ah la la ... tout ça pour ça ... Effectivement, ça marche NETTEMENT mieux en indiquant la bonne interface. Dire que j'ai lu et relu ce script sans jamais voir cette boulette. Désolé pour tout ce bruit, et merci à tous pour vos remarques. -- Sylvain -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: NTP et firewall
Sylvain a écrit : Jean-Michel OLTRA a écrit : Il y a une incohérence entre les deux chaînes OUPUT. Tu veux dire les deux /règles/ de la chaîne OUTPUT ? L'une autorise les paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre elles se situe en premier dans la série de règles. Non, il suffit qu'une règle accepte le paquet pour qu'il soit accepté. Voici un extrait de mon script : Je crois que j'ai trouvé. iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT ^^^ Typo 'o' (comme Oscar) à la place de '0' (zéro). Comment j'ai pu louper ça... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: NTP et firewall
Le 13836ième jour après Epoch, Jean-Michel OLTRA écrivait: > Le lundi 19 novembre 2007, Sylvain a écrit... > >> Sortir, oui, a priori : >> iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT >> >> Pour l'entrée/sotie, j'ai de toute façon ça (presque) tout en haut de >> mon script iptables : >> iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT >> iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT >> > Il y a une incohérence entre les deux chaînes OUPUT. L'une autorise les > paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre > elles se situe en premier dans la série de règles. Non, non, il n'y a pas d'incohérence. La première chaîne dit (pas assez explicitement) que le port 123 en sortie est autorisé pour les chaines new, la seconde dit "tout ce qui a déjà été established pour tous les ports peut sortir"
Re: NTP et firewall
Il y a une incohérence entre les deux chaînes OUPUT. L'une autorise les paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre elles se situe en premier dans la série de règles. Voici un extrait de mon script : Politique par défaut : iptables -F iptables -X iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP Puis j'autorise tout le trafic appartenant a des connexions existantes avec : iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT Et ensuite, toutes mes régles d'ouverture de port, avec entre autre ntp: iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT J'ai bon ? -- Sylvain -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: NTP et firewall
Le 13836ième jour après Epoch, [EMAIL PROTECTED] écrivait: > Donc, pour l'instant, je récupère toujours des : > 19 Nov 08:43:06 ntpdate[1261]: sendto(ns37256.ovh.net): Operation not > permitted Tu peux essayer de logguer les paquets rejetés, ou sinon faire un tcpdump, histoire d'être sûr ?
Re: NTP et firewall
Bonjour, Le lundi 19 novembre 2007, Sylvain a écrit... >> sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de >> sortie : le mien ! > > Sortir, oui, a priori : > iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT > > Pour l'entrée/sotie, j'ai de toute façon ça (presque) tout en haut de > mon script iptables : > iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT > Il y a une incohérence entre les deux chaînes OUPUT. L'une autorise les paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre elles se situe en premier dans la série de règles. -- jm A.E.L. Sarl (R.C.S CASTRES 490843240) http://www.spidboutic.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: NTP et firewall
Pas sûr ! Es tu bien sûr que les connexions vers le 123 en udp peuvent sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de sortie : le mien ! Sortir, oui, a priori : iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT Pour l'entrée/sotie, j'ai de toute façon ça (presque) tout en haut de mon script iptables : iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT Cela ne devrait-il pas suffire ? (visiblement non, ntpdate ne fonctionne toujours pas ...) -- Sylvain -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: NTP et firewall
Bonjour, Le lundi 19 novembre 2007, Sylvain a écrit... > pour ntp, j'ai viré la règle de la chaîne INPUT qui, effectivement, ne > servait à rien. > Pas sûr ! Es tu bien sûr que les connexions vers le 123 en udp peuvent sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de sortie : le mien ! -- jm A.E.L. Sarl (R.C.S CASTRES 490843240) http://www.spidboutic.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: NTP et firewall
Peut-être une option -u (utilisation d'un port source non privilégié au lieu de 123) qui traîne quelque part, par exemple dans /etc/default/ntpdate. Tu as essayé sans l'option --sport dans la règle de cla chaîne OUTPUT ? Alors je n'ai rien vu concernant cette option -u (ou -d d'ailleurs) dans le seul fichier de conf de ntp que j'ai trouvé, à savoir justement /etc/default/ntpdate : # The settings in this file are used by the program ntpdate-debian, but not # by the upstream program ntpdate. # Set to "yes" to take the server list from /etc/ntp.conf, from package ntp, # so you only have to keep it in one place. NTPDATE_USE_NTP_CONF=yes # List of NTP servers to use (Separate multiple servers with spaces.) # Not used if NTPDATE_USE_NTP_CONF is yes. NTPSERVERS="0.debian.pool.ntp.org 1.debian.pool.ntp.org 2.debian.pool.ntp.org 3.debian.pool.ntp.org" # Additional options to pass to ntpdate NTPOPTIONS="" J'ai enlevé également l'option --sport dans mes règles iptables, sans plus de résultat. Du coup, il ne me reste plus que : iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT pour ntp, j'ai viré la règle de la chaîne INPUT qui, effectivement, ne servait à rien. Note : la règle dans la chaîne INPUT est inutile puisque la chaîne contient déjà une règle qui accepte tout le trafic ESTABLISHED. Même chose pour la mention de l'état ESTABLISHED dans la règle de la chaîne OUTPUT, d'ailleurs. Je sais, je sais, mais quand je disais : J'ai essayé plein de trucs, sans effet je n'ai pas dit que c'était des trucs très ... intelligents ;-) Donc, pour l'instant, je récupère toujours des : 19 Nov 08:43:06 ntpdate[1261]: sendto(ns37256.ovh.net): Operation not permitted Merci de votre aide en tout cas ! -- Sylvain -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: NTP et firewall
Bonjour, Le dimanche 18 novembre 2007, Sylvain a écrit... > iptables -A OUTPUT -o etho -p udp --sport 123 --dport 123 -m state --state > NEW,ESTABLISHED -j ACCEPT > iptables -A INPUT -i etho -p udp --sport 123 --dport 123 -m state --state > ESTABLISHED -j ACCEPT > Il me semble que ntpdate attaque le port 123 en dport, mais à partir d'un port non privilégié. Donc tu pourrais supprimer le --sport dans la chaîne INPUT, et, surtout, le --dport dans la chaine OUTPUT. -- jm A.E.L. Sarl (R.C.S CASTRES 490843240) http://www.spidboutic.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: NTP et firewall
On Sun, 18 Nov 2007 22:55:38 +0100, Pascal Hambourg <[EMAIL PROTECTED]> wrote: > Peut-être une option -u (utilisation d'un port source non privilégié au > lieu de 123) qui traîne quelque part, par exemple dans > /etc/default/ntpdate. Ou l'option -d. Si quelqu'un sait pourquoi ntpd ne travaille quant à lui que sur le port 123, je suis preneur. --- Franck Joncourt http://www.debian.org/ - http://smhteam.info/wiki/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: NTP et firewall
Salut, Sylvain a écrit : J'ai quelques problèmes avec iptables et ntpdate ... je récupère systématiquement : 21:52 root@ # ntpdate-debian 18 Nov 21:53:26 ntpdate[24136]: sendto(zugaina.org): Operation not permitted [...] Il suffit que je stoppe mon firewall et tout rentre dans l'ordre. Pourtant, j'ai les règles suivantes dans mon firewall : iptables -A OUTPUT -o etho -p udp --sport 123 --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i etho -p udp --sport 123 --dport 123 -m state --state ESTABLISHED -j ACCEPT Une idée d'où vient le problème ? Peut-être une option -u (utilisation d'un port source non privilégié au lieu de 123) qui traîne quelque part, par exemple dans /etc/default/ntpdate. Tu as essayé sans l'option --sport dans la règle de cla chaîne OUTPUT ? Note : la règle dans la chaîne INPUT est inutile puisque la chaîne contient déjà une règle qui accepte tout le trafic ESTABLISHED. Même chose pour la mention de l'état ESTABLISHED dans la règle de la chaîne OUTPUT, d'ailleurs. J'ai essayé plein de trucs, sans effet Comme quoi, histoire de ne pas perdre de temps et de bande passante à les proposer ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]