Olivier Thauvin a écrit :
Le Dimanche 08 Juin 2003 00:01, AMORE Rosaire a écrit :
Touch13 a écrit :
..
Mais il me reste des coins d'ombre, sur ce qu'on précise en INPUT/OUTPUT
avec -dport et -sport. Par exemple, j'ai les lignes suivantes :
iptables -A INPUT -i eth0 --protocol tcp
Olivier Thauvin a écrit :
Le Samedi 07 Juin 2003 10:39, Apollonie Raffalli a écrit :
Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le
thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant
très important ! Le protocol tcp est très strict là dessus.
L'état
Je me reprend moi même :
AMORE Rosaire a écrit :
Olivier Thauvin a écrit :
Je devrais donc reprendre ma chaîne INPUT comme ceci :
iptables -A INPUT -i ppp0 --protocol tcp --destination-port 110 -m
state --state ESTABLISHED, RELATED -j ACCEPT
l'état RELATED étant ici superflu, isn't
Le Dimanche 08 Juin 2003 10:42, AMORE Rosaire a écrit :
Olivier Thauvin a écrit :
Le Samedi 07 Juin 2003 10:39, Apollonie Raffalli a écrit :
Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le
thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant
très
Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le
thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant très
important ! Le protocol tcp est très strict là dessus.
L'état RELATED est certes important mais non nécessaire compte tenu des
besoins précis de
Le Samedi 7 Juin 2003 09:40, AMORE Rosaire a écrit :
Olivier Thauvin a écrit :
Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit :
Apollonie Raffalli a écrit :
[ ... ]
Quelques compléments d'information, please?
Voilà, ça concerne ce genre de lignes, que j'ai dans ma liste de règles :
Olivier Thauvin a écrit :
Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit :
..
Re Re
Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le thread
que quelqu'un avait oublié d'autoriser l'etat RELATED,
1/ Où ça?
2/ Malgré le document (le site) recommandé par Apollonie, je
D'ou les lignes de commentaires ;-)
Il n'avait semblé que grace à elles on pouvait s'en sortir. Je le saurais pour
la prochaine fois. Ceci dit, dis moi celles qui te semble obscures et je te
donnerais plus d'explication.
Touch13
Le Vendredi 6 Juin 2003 19:35, AMORE Rosaire a écrit :
Sympa
Le Samedi 7 Juin 2003 10:39, Apollonie Raffalli a écrit :
Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le
thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant
très important ! Le protocol tcp est très strict là dessus.
L'état RELATED est certes
Pas évident à comprendre pour un novice en iptables, mais on va s'y coller.
Une remarque : pourriez vous avoir l'obligeance de traduire policy par
politique (ou stratégie)? Je crois que ce serait plus ad hoc, non?
Rosaire
cc a écrit :
Le Samedi 7 Juin 2003 10:39, Apollonie Raffalli a écrit :
Si
Le Samedi 7 Juin 2003 20:12, AMORE Rosaire a écrit :
Pas évident à comprendre pour un novice en iptables, mais on va s'y coller.
Une remarque : pourriez vous avoir l'obligeance de traduire policy par
politique (ou stratégie)? Je crois que ce serait plus ad hoc, non?
Rosaire
Certes, stratégie
Touch13 a écrit :
D'ou les lignes de commentaires ;-)
Il n'avait semblé que grace à elles on pouvait s'en sortir. Je le
saurais pour
la prochaine fois. Ceci dit, dis moi celles qui te semble obscures et
je te
donnerais plus d'explication.
T'en fait pas. En fait ce qui m'a troublé un peu au
Le Dimanche 08 Juin 2003 00:01, AMORE Rosaire a écrit :
Touch13 a écrit :
D'ou les lignes de commentaires ;-)
Il n'avait semblé que grace à elles on pouvait s'en sortir. Je le
saurais pour
la prochaine fois. Ceci dit, dis moi celles qui te semble obscures et
je te
donnerais plus
Le Samedi 07 Juin 2003 10:39, Apollonie Raffalli a écrit :
Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le
thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant
très important ! Le protocol tcp est très strict là dessus.
L'état RELATED est certes
Salut
J'ai le réseau suivant :
une passerelle que je voudrais utiliser comme firewall avec un lan juste
derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0.
Je voudrais tout DROPper sauf :
- accès à Internet depuis ma passerelle ou mon lan
- accès depuis n'importe où par ssh.
J'ai
Le Vendredi 06 Juin 2003 16:44, AMORE Rosaire a écrit :
Salut
J'ai le réseau suivant :
une passerelle que je voudrais utiliser comme firewall avec un lan juste
derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0.
Je voudrais tout DROPper sauf :
- accès à Internet depuis ma
Le Vendredi 6 Juin 2003 16:44, AMORE Rosaire a écrit :
Salut
J'ai le réseau suivant :
une passerelle que je voudrais utiliser comme firewall avec un lan juste
derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0.
Je voudrais tout DROPper sauf :
- accès à Internet depuis ma
Le Vendredi 6 Juin 2003 16:44, AMORE Rosaire a écrit :
Salut
J'ai le réseau suivant :
une passerelle que je voudrais utiliser comme firewall avec un lan juste
derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0.
Je voudrais tout DROPper sauf :
- accès à Internet depuis ma
Sympa Touch13!
Mais je ne sais pas si t'as pigé que j'étais en train d'apprendre?
Alors, ton script est bien ficelé apparement, mais pas trop
pédagogique-débutant. Du reste, je viens de me rendre compte que j'ai
envoyé ma demande d'info chez les confirmes. Je crois que je vais faire
un tour
Apollonie Raffalli a écrit :
Le Vendredi 6 Juin 2003 16:44, AMORE Rosaire a écrit :
Salut
J'ai le réseau suivant :
une passerelle que je voudrais utiliser comme firewall avec un lan juste
derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0.
Je voudrais tout DROPper sauf :
- accès à
Le Vendredi 06 Juin 2003 19:58, AMORE Rosaire a écrit :
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
(comme ça ce n'est pas la peine de gérer les retours de connexion)
Bon, là ça va, sauf que je ne pige pas très bien pourquoi on ne rajoute
pas l'état NEW.
Je vais t'expliquer
C'est cool de lire des howto comme cela a cette heure :-))
C'est vraiment bien expliqué !
A+
Guy
Le ven 06/06/2003 à 16:34, Olivier Thauvin a écrit :
Le Vendredi 06 Juin 2003 19:58, AMORE Rosaire a écrit :
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
(comme ça ce n'est pas
P'tite question quand meme :
Comment savoir si le serveur rejette une connection
par exemple j'aimerais logger les tentatives de connections qui
réussisent et celles qui echouent (rejetées par le serveur par exemple).
Guy
.
Le ven 06/06/2003 à 16:34, Olivier Thauvin a écrit :
Le Vendredi 06
Il faut rajouter un truc de ce genre là :
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
(comme ça ce n'est pas la peine de gérer les retours de connexion)
Bon, là ça va, sauf que je ne pige pas très bien pourquoi on ne rajoute
pas l'état NEW.
L'état NEW ne sert que lorsque
Apollonie Raffalli a écrit :
Il faut rajouter un truc de ce genre là :
[ ... ]
Si le serveur ssh est sur la passerelle la chaîne INPUT suffit :
iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT
Je pense qu'il faut autoriser la réponse de la passerelle elle-même (chaîne
OUTPUT) :
Justement, c'est bien expliqué sur le site
(http://christian.caleca.free.fr/netfilter.html) indiqué par Apollonie.
En gros faut chercher du côté des cibles LOG et ULOG.
Sinon, même si t'as trouvé le moyen de jouer avec les logs au niveau
d'iptables, après il y a intérêt à savoir comment gérer
Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit :
Apollonie Raffalli a écrit :
Il faut rajouter un truc de ce genre là :
[ ... ]
Si le serveur ssh est sur la passerelle la chaîne INPUT suffit :
iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT
Je pense qu'il faut
Olivier Thauvin a écrit :
Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit :
Apollonie Raffalli a écrit :
[ ... ]
Si tu veux, je te la fais plus technique,
Je n'en doute pas une seconde. D'accord pour plus de technique, mais
progressif.
d'ailleurs j'ai vue dans le thread
que quelqu'un avait
Olivier Thauvin a écrit :
Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit :
Apollonie Raffalli a écrit :
[ ... ]
Quelques compléments d'information, please?
Voilà, ça concerne ce genre de lignes, que j'ai dans ma liste de règles :
--
iptables -A OUTPUT -o
Bonjour
je cherche à n'autoriser que le ftp sur mon serveur
je fais dans mon scrip iptable :
IPTABLES=/sbin/iptables
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_filter
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
# la boucle locale
$IPTABLES -A
Olivier Mansour ([EMAIL PROTECTED]) wrote:
Bonjour
je cherche à n'autoriser que le ftp sur mon serveur
je fais dans mon scrip iptable :
IPTABLES=/sbin/iptables
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_filter
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
Bonjour à tous,
J'aimerais faire du filtrage sur des chaines de caractères, grâce au
patch string d'iptables.
Mon problème est que je n'arrive pas à fltrer les paquets qui ne
contiennent pas ma chaine de caractère
ou à autoriser ceux qui la contiennent.
iptables -A input -p tcp --dport 80 -m
: Re: [Confirme] iptables
oui et non, iptables autorise la syntaxe avec un hostname,
mais travaille
uniquement au niveau IP.
T'imagine s'il fallait pour chaque packet faire une requète
DNS ? Je pense au
réseau à 100 mbits et plus surtout, avec 4 ou 5 cartes réseau...
Le Jeudi 19
Of
Olivier Thauvin
Sent: Friday, January 17, 2003 6:52 PM
To: [EMAIL PROTECTED]; De Leeuw Guy
Subject: Re: [Confirme] iptables
oui et non, iptables autorise la syntaxe avec un hostname,
mais travaille
uniquement au niveau IP.
T'imagine s'il fallait pour chaque packet faire une
oui et non, iptables autorise la syntaxe avec un hostname, mais travaille
uniquement au niveau IP.
T'imagine s'il fallait pour chaque packet faire une requète DNS ? Je pense au
réseau à 100 mbits et plus surtout, avec 4 ou 5 cartes réseau...
Le Jeudi 19 Décembre 2002 10:56, De Leeuw Guy a
Bonjour a tous,
est il possible avec iptables de router un port en fonction du hostname :
iptables -t nat -A PREROUTING -p tcp -d adresse_ip_publique --d
host1.reseau.net --dport 80\
-J DNAT --to-destination ip-du-serveur1
iptables -t nat -A PREROUTING -p tcp -d
Salut à tous,
j'utilise samba pour partager des ressources disque pour un poste win.
Partage rw, sans mot de passe (c'est très mal, je sais).
Pour limiter les dégats en attendant de gérer mieux ces partages, je
voudrais interdire l'accès depuis l'extérieur de mon réseau local
(donc depuis
: [Confirme] iptables : filtrage accès netbios
Salut à tous,
j'utilise samba pour partager des ressources disque pour un poste win.
Partage rw, sans mot de passe (c'est très mal, je sais).
Pour limiter les dégats en attendant de gérer mieux ces partages, je
voudrais interdire l'accès depuis
Joyeuses Paques à tous :)
Parlons peu, parlons bien, je suis devant un petit problème .
Voici le topo:
1) un certain nombre d'IP fixes à ma disposition
2) un réseau local connecté à un nunux qui fait entre autre office de
passerelle.
3) le entre autre est: HTTP, FTP etc .
Le
Le Lundi 1 Avril 2002 23:21, greg a écrit :
Joyeuses Paques à tous :)
Parlons peu, parlons bien, je suis devant un petit problème .
Voici le topo:
1) un certain nombre d'IP fixes à ma disposition
2) un réseau local connecté à un nunux qui fait entre autre office de
passerelle.
salut à tous,
Depuis hier que j'ai ADSL (enfin :), j'essayes de faire fonctionner iptables.
J'ai une mdk 8.1 avec un kernel 2.4.12 et iptables v1.2.3 pris sur cooker.
voici le message d'erreur :
[root@burno /home/bruno]# iptables -L
/lib/modules/2.4.12/kernel/net/ipv4/netfilter/ip_tables.o:
ben oui il faut. En attachement la config de mon kernel
Le Mardi 23 Octobre 2001 23:55, [EMAIL PROTECTED] a écrit :
Normalement faut pas se recompiler un kernel avec l'option filtre de packet
? (juste une idée)
On Tue, 23 Oct 2001, Bruno Pinaud wrote:
salut à tous,
Depuis hier que j'ai
Chez moi iptable fonctionne si tu fais un
rmmod ipfilter
avant !
ou est-ce
rmmod ip...
en tout cas, il semble que mandrake a laisse pour compatibilite l'ancien
module des noyaux 2.2 actif par defaut (je les ais enlever des
l'install... donc je me rappelle plus... voir dans /etc/modules.conf
Normalement faut pas se recompiler un kernel avec l'option filtre de packet ?
(juste une idée)
On Tue, 23 Oct 2001, Bruno Pinaud wrote:
salut à tous,
Depuis hier que j'ai ADSL (enfin :), j'essayes de faire fonctionner iptables.
J'ai une mdk 8.1 avec un kernel 2.4.12 et iptables v1.2.3 pris
Salut ,
Petit soucis avec Iptables : refaisasnt le réseau de la société , du moins le firewall
, j'ai recompilé le noyau 2.4.3 en .6 avec mise en place dees modules Netfilter et etc
.
J'ai installé la version 1.2.2 d'Iptables.
Le pb c'est lors du démarrage et du chargement des modules , il
jean-charles a écrit :
salut a tous,
je partage une connexion internet avec iptables que m a si gentillement
installé mandrake 8.0 ainsi qu un dhcp et un dns local je nai aucun probleme
quand je connect ma station windows sur le rezo elle recois bien une ip et
un host et se connect sur
, 2001 6:26 AM
Subject: Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
Holà!
C'est peut être une critique, mais c'est pas méchant. Ceci dit, c'est vrai
que
j'ai eu beaucoup de mal à comprendre ta prose. De plus, je dois avouer
humblement que je ne connais pas grand chose à iptable, et du
On 26 Apr 2001 09:30:21 +0200, Christian Gennerat wrote:
jean-charles a écrit :
salut a tous, .
Et merci à ceux qui répondent pour clamer leur ignorance
Calmos, c vrai, j'ai dit n'importe quoi, en plus j'ai mal compris la
question, et j'étais pas dans mon état normale... OK la
On 26 Apr 2001 15:21:04 +0200, Christian Gennerat wrote:
happy a écrit :
Mais là où le problème me chiffone, c'est que pendant des semaines on
m'avait prêté un portable, ma grosse bécane était firewallé avec du nat
par-dessus (ct du 2.2 a l'époque). Je jouais sans problème a Quake2 sur
happy a écrit :
Mais là où le problème me chiffone, c'est que pendant des semaines on
m'avait prêté un portable, ma grosse bécane était firewallé avec du nat
par-dessus (ct du 2.2 a l'époque). Je jouais sans problème a Quake2 sur
le portable (Q3 et CS étant trop lourd ;-) ),sans compter
J'ai rien compris. Comme quoi, si on parle dans une langue (ici, en l'occurence
le français), même si c'est un langage technique, c'est bien de connaitre un
minimum de règles de rédaction (sans être grammairien). Désolé. Je vais pousser
mon petit Mathias (mon fils, 13 ans) à faire les progrès
:04 PM
Subject: Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
J'ai rien compris. Comme quoi, si on parle dans une langue (ici, en
l'occurence
le français), même si c'est un langage technique, c'est bien de connaitre
un
minimum de règles de rédaction (sans être grammairien). Désolé. Je vais
]
To: [EMAIL PROTECTED]
Sent: Wednesday, April 25, 2001 10:04 PM
Subject: Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
J'ai rien compris. Comme quoi, si on parle dans une langue (ici, en
l'occurence
le français), même si c'est un langage technique, c'est bien de connaitre
un
]
To: [EMAIL PROTECTED]
Sent: Wednesday, April 25, 2001 10:04 PM
Subject: Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
J'ai rien compris. Comme quoi, si on parle dans une langue (ici, en
l'occurence
le français), même si c'est un langage technique, c'est bien de connaitre
un
minimum
54 matches
Mail list logo
