Re: [Solaris_fr] pb ipfilter nat
Christian Pelissier wrote: Concernant le NAT il faut aussi rétablir l'IP-Forwarding s'il a été interdit via ndd (ou par la présence d'un fichier /etc/notrouter) pas en solaris 10, c'est gere avec routeadm blade100-root% routeadm Configuration Current Current Option ConfigurationSystem State --- IPv4 forwarding enabled enabled IPv4 routing default (enabled)enabled pour ma config simple: pass in quick on lo0 all pass out quick on lo0 all block in log all block out all pass out log quick on ife0 proto tcp from any to any keep state keep frags pass out log quick on ife0 proto udp from any to any keep state keep frags pass out log quick on ife0 proto icmp from any to any keep state j'ai eu beau ajouter: echo pass in quick on eri0 all | ipf -f - echo pass out quick on eri0 all | ipf -f - pour ne rien filtrer sur le reseau local, ca ne change rien. Le pire est que si je supprime tout filtrage, avec la commande: ipf -Fa les machines locales ne peuvent toujours pas sortir sur internet Je peux aussi simplifier mes regles avec: blade100-root% ipfstat -nio @1 block out log on ife0 all @2 pass out log quick on ife0 proto tcp from any to any keep state keep frags @3 pass out log quick on ife0 proto udp from any to any keep state keep frags @4 pass out log quick on ife0 proto icmp from any to any keep state @1 block in log all @2 block in log on ife0 all ici, je controle explicitement l'interface internet ca ne marche toujours pas. Une autre info a regarder, c'est l'etat du nat: blade100-root% ipnat -l List of active MAP/Redirect filters: map ife0 192.168.1.0/24 - 0.0.0.0/32 portmap tcp/udp 1:4 map ife0 192.168.1.0/24 - 0.0.0.0/32 List of active sessions: blade100-root% aucune session n'est active, mais des que j'ajoute la regle suivante: echo map ife0 192.168.1.0/24 - XX.XX.XX.XX | ipnat -f - antinea-root% ipnat -l List of active MAP/Redirect filters: map ife0 192.168.1.0/24 - 0.0.0.0/32 portmap tcp/udp 1:4 map ife0 192.168.1.0/24 - 0.0.0.0/32 map ife0 192.168.1.0/24 - XX.XX.XX.XX/32 List of active sessions: MAP 192.168.1.1835401 - - XX.XX.XX.XX 35401 [193.50.130.1 33464] MAP 192.168.1.1835401 - - XX.XX.XX.XX 35401 [193.50.130.1 33463] tout se met a marcher. Bizarre... mais je mets aussi en doute la commande ipf -F, car il semble qu'elle ne flushe pas vraiment les regles, le fct ne change pas avant et apres son application. Est ce que le package ipfilter de sun est le meme que celui de D. Reed? ou trouve t on le code source dans les paquets sun, comme on peut trouver celui de apache? ___ Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures Solaris_fr@x86.sun.com http://x86.sun.com/mailman/listinfo/solaris_fr
Re: [Solaris_fr] pb ipfilter nat
On Tue, 29 Mar 2005, Gérard Henry wrote: [snip] mais je mets aussi en doute la commande ipf -F, car il semble qu'elle ne flushe pas vraiment les regles, le fct ne change pas avant et apres son application. Peut-être un point à vérifier: sur ma première (et seule) tentative d'utiliser l'IPF de Solaris 10 sur un routeur, il y a déjà plusieurs mois, il y avait un problème en sortie: les paquets routés/natés passaient bien le firewall, mais étaient corrompus (checksum invalide, de mémoire). A la réception sur la machine cible, où ils arrivaient bien, ils n'étaient donc pas pris en compte. A la suite de ces problèmes, et comme je n'ai pas encore réussi à faire un jeu de règles qui me convienne, je n'ai plus réessayé sur un routeur, donc je ne sais pas si c'est encore d'actualité. Est ce que le package ipfilter de sun est le meme que celui de D. Reed? ou trouve t on le code source dans les paquets sun, comme on peut trouver celui de apache? Non, ce n'est pas le même, il inclut des modifications qui ne sont pas encore dans la branche principale d'IPF, si j'ai bien compris. C'est pour cela qu'il est numéroté 4.0.2, qui n'a pas existé dans la branche de Darren. Par contre, je ne sais pas si les sources sont disponibles. Il pourrait être plus intéressant d'essayer celui de Darren? Laurent -- A hundred thousand lemmings can't be wrong!___ Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures Solaris_fr@x86.sun.com http://x86.sun.com/mailman/listinfo/solaris_fr
Re: [Solaris_fr] pb ipfilter nat
Laurent Blume wrote: Est ce que le package ipfilter de sun est le meme que celui de D. Reed? ou trouve t on le code source dans les paquets sun, comme on peut trouver celui de apache? Non, ce n'est pas le même, il inclut des modifications qui ne sont pas encore dans la branche principale d'IPF, si j'ai bien compris. C'est pour cela qu'il est numéroté 4.0.2, qui n'a pas existé dans la branche de Darren. Par contre, je ne sais pas si les sources sont disponibles. Il pourrait être plus intéressant d'essayer celui de Darren? oui, mais dans ce cas, il faut que je deinstalle SUNWipfu et SUNWipfr, et que je recompile pfil et ipfilter? sur le site de darren, la derniere version testee semble etre la 4.1.4, non? sur la page http://coombs.anu.edu.au/~avalon/ipfilter-status.html il y a une 4.1 et une 4.1.4 a telecharger, on prend au pif? je suis etonne de trouve aussi peu d'infos pour un produit aussi important... j'ai poste mon probleme sur la liste ipfilter aussi, mais sans succes jusqu'ici ___ Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures Solaris_fr@x86.sun.com http://x86.sun.com/mailman/listinfo/solaris_fr
Re: [Solaris_fr] pb ipfilter nat
On Wed, 30 Mar 2005, Gerard Henry wrote: oui, mais dans ce cas, il faut que je deinstalle SUNWipfu et SUNWipfr, et que je recompile pfil et ipfilter? Exact. Quand ça fonctionne bien, ce n'est pas très compliqué, et ça génère automatiquement un paquet facile à retirer si nécessaire. Attention à bien lire les README, il faut, entre autre, utilise le make de Solaris, pas celui de GNU. sur le site de darren, la derniere version testee semble etre la 4.1.4, non? Non, c'est le couple: IPFilter 4.1.7 / pfil 2.1.6 annoncé il y a 3 semaines. Il faut utiliser le lien http, le ftp ne marche pas: http://coombs.anu.edu.au/~avalon/ip_fil4.1.7.tar.gz http://coombs.anu.edu.au/~avalon/pfil-2.1.6.tar.gz (j'ai fait la seconde URL à la main, j'espère que le fichier est bien le bon!) sur la page http://coombs.anu.edu.au/~avalon/ipfilter-status.html il y a une 4.1 et une 4.1.4 a telecharger, on prend au pif? je suis etonne de trouve aussi peu d'infos pour un produit aussi important... La page d'IPFilter n'est jamais à jour, le lien FTP n'est presque jamais valide, et les fichiers durs à trouver. Il faut vraiment suivre la liste pour être au courant. J'espère que Sun amènera un peu d'ordre là dedans. C'est dommage, parce que j'aime bien IPFilter en général. j'ai poste mon probleme sur la liste ipfilter aussi, mais sans succes jusqu'ici En général, la liste fonctionne plutôt bien... Laurent -- A hundred thousand lemmings can't be wrong!___ Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures Solaris_fr@x86.sun.com http://x86.sun.com/mailman/listinfo/solaris_fr
[Solaris_fr] Solaris 10 et heure d'ete (suite...)
Bonjour, toujours dans la meme veine... ce matin, j'ai voulu verifier mon v40z suite au message precedent, et impossible d'acceder a la machine. S'il n'y avait pas cette liste, on ne serait meme pas au courant, aucune info de sun, rien sur le site sunsolve... mon serveur est devenu inaccessible, meme l'acces au SP ne marche plus, et il y a un calcul qui tourne depuis 3 semaines dessus... ___ Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures Solaris_fr@x86.sun.com http://x86.sun.com/mailman/listinfo/solaris_fr
[Solaris_fr] Patchs StarOffice
Il existe 2 nouveaux patchs pour StarOffice Solaris Sparc et Linux curieusement appelés update4 (les 05 étaient aussi en update 4) 116518-06.tar 116519-06.tar Comment peut-on faire 2 versions successives appelées update 4 ??? -- Christian Pélissier Office National d'Études et de Recherches Aérospatiales BP 72 92322 Chatillon Tel: 33 1 46 73 44 19, Fax: 33 1 46 73 41 50 ___ Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures Solaris_fr@x86.sun.com http://x86.sun.com/mailman/listinfo/solaris_fr
Re: [Solaris_fr] Patchs StarOffice
On Wed, 30 Mar 2005, Christian Pelissier wrote: Il existe 2 nouveaux patchs pour StarOffice Solaris Sparc et Linux curieusement appelés update4 (les 05 étaient aussi en update 4) 116518-06.tar 116519-06.tar Comment peut-on faire 2 versions successives appelées update 4 ??? C'est l'empaquetage du patch qui a changé, pas son contenu. J'ai comparé cette nouvelle version à la précédente que j'avais encore (ça m'avait frappé aussi): seuls des fichiers de description du patch étaient différents. Laurent -- A hundred thousand lemmings can't be wrong!___ Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures Solaris_fr@x86.sun.com http://x86.sun.com/mailman/listinfo/solaris_fr
