Olivier Thauvin a écrit :
Le Dimanche 08 Juin 2003 00:01, AMORE Rosaire a écrit :
Touch13 a écrit :
..
Mais il me reste des coins d'ombre, sur ce qu'on précise en INPUT/OUTPUT
avec -dport et -sport. Par exemple, j'ai les lignes suivantes :
iptables -A INPUT -i eth0 --protocol tcp
Olivier Thauvin a écrit :
Le Samedi 07 Juin 2003 10:39, Apollonie Raffalli a écrit :
Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le
thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant
très important ! Le protocol tcp est très strict là dessus.
L'état
Je me reprend moi même :
AMORE Rosaire a écrit :
Olivier Thauvin a écrit :
Je devrais donc reprendre ma chaîne INPUT comme ceci :
iptables -A INPUT -i ppp0 --protocol tcp --destination-port 110 -m
state --state ESTABLISHED, RELATED -j ACCEPT
l'état RELATED étant ici superflu, isn't
Le Dimanche 08 Juin 2003 10:42, AMORE Rosaire a écrit :
Olivier Thauvin a écrit :
Le Samedi 07 Juin 2003 10:39, Apollonie Raffalli a écrit :
Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le
thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant
très
Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le
thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant très
important ! Le protocol tcp est très strict là dessus.
L'état RELATED est certes important mais non nécessaire compte tenu des
besoins précis de
Le Samedi 7 Juin 2003 09:40, AMORE Rosaire a écrit :
Olivier Thauvin a écrit :
Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit :
Apollonie Raffalli a écrit :
[ ... ]
Quelques compléments d'information, please?
Voilà, ça concerne ce genre de lignes, que j'ai dans ma liste de règles :
Olivier Thauvin a écrit :
Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit :
..
Re Re
Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le thread
que quelqu'un avait oublié d'autoriser l'etat RELATED,
1/ Où ça?
2/ Malgré le document (le site) recommandé par Apollonie, je
D'ou les lignes de commentaires ;-)
Il n'avait semblé que grace à elles on pouvait s'en sortir. Je le saurais pour
la prochaine fois. Ceci dit, dis moi celles qui te semble obscures et je te
donnerais plus d'explication.
Touch13
Le Vendredi 6 Juin 2003 19:35, AMORE Rosaire a écrit :
Sympa
Le Samedi 7 Juin 2003 10:39, Apollonie Raffalli a écrit :
Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le
thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant
très important ! Le protocol tcp est très strict là dessus.
L'état RELATED est certes
Pas évident à comprendre pour un novice en iptables, mais on va s'y coller.
Une remarque : pourriez vous avoir l'obligeance de traduire policy par
politique (ou stratégie)? Je crois que ce serait plus ad hoc, non?
Rosaire
cc a écrit :
Le Samedi 7 Juin 2003 10:39, Apollonie Raffalli a écrit :
Si
Le Samedi 7 Juin 2003 20:12, AMORE Rosaire a écrit :
Pas évident à comprendre pour un novice en iptables, mais on va s'y coller.
Une remarque : pourriez vous avoir l'obligeance de traduire policy par
politique (ou stratégie)? Je crois que ce serait plus ad hoc, non?
Rosaire
Certes, stratégie
Touch13 a écrit :
D'ou les lignes de commentaires ;-)
Il n'avait semblé que grace à elles on pouvait s'en sortir. Je le
saurais pour
la prochaine fois. Ceci dit, dis moi celles qui te semble obscures et
je te
donnerais plus d'explication.
T'en fait pas. En fait ce qui m'a troublé un peu au
Le Dimanche 08 Juin 2003 00:01, AMORE Rosaire a écrit :
Touch13 a écrit :
D'ou les lignes de commentaires ;-)
Il n'avait semblé que grace à elles on pouvait s'en sortir. Je le
saurais pour
la prochaine fois. Ceci dit, dis moi celles qui te semble obscures et
je te
donnerais plus
Le Samedi 07 Juin 2003 10:39, Apollonie Raffalli a écrit :
Si tu veux, je te la fais plus technique, d'ailleurs j'ai vue dans le
thread que quelqu'un avait oublié d'autoriser l'etat RELATED, pourtant
très important ! Le protocol tcp est très strict là dessus.
L'état RELATED est certes
Le Vendredi 06 Juin 2003 16:44, AMORE Rosaire a écrit :
Salut
J'ai le réseau suivant :
une passerelle que je voudrais utiliser comme firewall avec un lan juste
derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0.
Je voudrais tout DROPper sauf :
- accès à Internet depuis ma
Le Vendredi 6 Juin 2003 16:44, AMORE Rosaire a écrit :
Salut
J'ai le réseau suivant :
une passerelle que je voudrais utiliser comme firewall avec un lan juste
derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0.
Je voudrais tout DROPper sauf :
- accès à Internet depuis ma
Le Vendredi 6 Juin 2003 16:44, AMORE Rosaire a écrit :
Salut
J'ai le réseau suivant :
une passerelle que je voudrais utiliser comme firewall avec un lan juste
derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0.
Je voudrais tout DROPper sauf :
- accès à Internet depuis ma
Sympa Touch13!
Mais je ne sais pas si t'as pigé que j'étais en train d'apprendre?
Alors, ton script est bien ficelé apparement, mais pas trop
pédagogique-débutant. Du reste, je viens de me rendre compte que j'ai
envoyé ma demande d'info chez les confirmes. Je crois que je vais faire
un tour
Apollonie Raffalli a écrit :
Le Vendredi 6 Juin 2003 16:44, AMORE Rosaire a écrit :
Salut
J'ai le réseau suivant :
une passerelle que je voudrais utiliser comme firewall avec un lan juste
derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0.
Je voudrais tout DROPper sauf :
- accès à
Le Vendredi 06 Juin 2003 19:58, AMORE Rosaire a écrit :
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
(comme ça ce n'est pas la peine de gérer les retours de connexion)
Bon, là ça va, sauf que je ne pige pas très bien pourquoi on ne rajoute
pas l'état NEW.
Je vais t'expliquer
C'est cool de lire des howto comme cela a cette heure :-))
C'est vraiment bien expliqué !
A+
Guy
Le ven 06/06/2003 à 16:34, Olivier Thauvin a écrit :
Le Vendredi 06 Juin 2003 19:58, AMORE Rosaire a écrit :
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
(comme ça ce n'est pas
P'tite question quand meme :
Comment savoir si le serveur rejette une connection
par exemple j'aimerais logger les tentatives de connections qui
réussisent et celles qui echouent (rejetées par le serveur par exemple).
Guy
.
Le ven 06/06/2003 à 16:34, Olivier Thauvin a écrit :
Le Vendredi 06
Il faut rajouter un truc de ce genre là :
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
(comme ça ce n'est pas la peine de gérer les retours de connexion)
Bon, là ça va, sauf que je ne pige pas très bien pourquoi on ne rajoute
pas l'état NEW.
L'état NEW ne sert que lorsque
Apollonie Raffalli a écrit :
Il faut rajouter un truc de ce genre là :
[ ... ]
Si le serveur ssh est sur la passerelle la chaîne INPUT suffit :
iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT
Je pense qu'il faut autoriser la réponse de la passerelle elle-même (chaîne
OUTPUT) :
Justement, c'est bien expliqué sur le site
(http://christian.caleca.free.fr/netfilter.html) indiqué par Apollonie.
En gros faut chercher du côté des cibles LOG et ULOG.
Sinon, même si t'as trouvé le moyen de jouer avec les logs au niveau
d'iptables, après il y a intérêt à savoir comment gérer
Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit :
Apollonie Raffalli a écrit :
Il faut rajouter un truc de ce genre là :
[ ... ]
Si le serveur ssh est sur la passerelle la chaîne INPUT suffit :
iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT
Je pense qu'il faut
Olivier Thauvin a écrit :
Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit :
Apollonie Raffalli a écrit :
[ ... ]
Si tu veux, je te la fais plus technique,
Je n'en doute pas une seconde. D'accord pour plus de technique, mais
progressif.
d'ailleurs j'ai vue dans le thread
que quelqu'un avait
Olivier Thauvin a écrit :
Le Samedi 07 Juin 2003 00:36, AMORE Rosaire a écrit :
Apollonie Raffalli a écrit :
[ ... ]
Quelques compléments d'information, please?
Voilà, ça concerne ce genre de lignes, que j'ai dans ma liste de règles :
--
iptables -A OUTPUT -o
Olivier Mansour ([EMAIL PROTECTED]) wrote:
Bonjour
je cherche à n'autoriser que le ftp sur mon serveur
je fais dans mon scrip iptable :
IPTABLES=/sbin/iptables
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_filter
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
: Re: [Confirme] iptables
oui et non, iptables autorise la syntaxe avec un hostname,
mais travaille
uniquement au niveau IP.
T'imagine s'il fallait pour chaque packet faire une requète
DNS ? Je pense au
réseau à 100 mbits et plus surtout, avec 4 ou 5 cartes réseau...
Le Jeudi 19
Of
Olivier Thauvin
Sent: Friday, January 17, 2003 6:52 PM
To: [EMAIL PROTECTED]; De Leeuw Guy
Subject: Re: [Confirme] iptables
oui et non, iptables autorise la syntaxe avec un hostname,
mais travaille
uniquement au niveau IP.
T'imagine s'il fallait pour chaque packet faire une
oui et non, iptables autorise la syntaxe avec un hostname, mais travaille
uniquement au niveau IP.
T'imagine s'il fallait pour chaque packet faire une requète DNS ? Je pense au
réseau à 100 mbits et plus surtout, avec 4 ou 5 cartes réseau...
Le Jeudi 19 Décembre 2002 10:56, De Leeuw Guy a
Réponse indirecte :
Essaie l'outil firestarter qui te permet mettre en oeuvre les IPTABLES de
maniere graphique
http://firestarter.sourceforge.net/
Bon courage
- Original Message -
From: cc [EMAIL PROTECTED]
To: [EMAIL PROTECTED]
Sent: Thursday, November 07, 2002 9:18 PM
Subject:
Le Lundi 1 Avril 2002 23:21, greg a écrit :
Joyeuses Paques à tous :)
Parlons peu, parlons bien, je suis devant un petit problème .
Voici le topo:
1) un certain nombre d'IP fixes à ma disposition
2) un réseau local connecté à un nunux qui fait entre autre office de
passerelle.
ben oui il faut. En attachement la config de mon kernel
Le Mardi 23 Octobre 2001 23:55, [EMAIL PROTECTED] a écrit :
Normalement faut pas se recompiler un kernel avec l'option filtre de packet
? (juste une idée)
On Tue, 23 Oct 2001, Bruno Pinaud wrote:
salut à tous,
Depuis hier que j'ai
Chez moi iptable fonctionne si tu fais un
rmmod ipfilter
avant !
ou est-ce
rmmod ip...
en tout cas, il semble que mandrake a laisse pour compatibilite l'ancien
module des noyaux 2.2 actif par defaut (je les ais enlever des
l'install... donc je me rappelle plus... voir dans /etc/modules.conf
Normalement faut pas se recompiler un kernel avec l'option filtre de packet ?
(juste une idée)
On Tue, 23 Oct 2001, Bruno Pinaud wrote:
salut à tous,
Depuis hier que j'ai ADSL (enfin :), j'essayes de faire fonctionner iptables.
J'ai une mdk 8.1 avec un kernel 2.4.12 et iptables v1.2.3 pris
jean-charles a écrit :
salut a tous,
je partage une connexion internet avec iptables que m a si gentillement
installé mandrake 8.0 ainsi qu un dhcp et un dns local je nai aucun probleme
quand je connect ma station windows sur le rezo elle recois bien une ip et
un host et se connect sur
, 2001 6:26 AM
Subject: Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
Holà!
C'est peut être une critique, mais c'est pas méchant. Ceci dit, c'est vrai
que
j'ai eu beaucoup de mal à comprendre ta prose. De plus, je dois avouer
humblement que je ne connais pas grand chose à iptable, et du
On 26 Apr 2001 09:30:21 +0200, Christian Gennerat wrote:
jean-charles a écrit :
salut a tous, .
Et merci à ceux qui répondent pour clamer leur ignorance
Calmos, c vrai, j'ai dit n'importe quoi, en plus j'ai mal compris la
question, et j'étais pas dans mon état normale... OK la
On 26 Apr 2001 15:21:04 +0200, Christian Gennerat wrote:
happy a écrit :
Mais là où le problème me chiffone, c'est que pendant des semaines on
m'avait prêté un portable, ma grosse bécane était firewallé avec du nat
par-dessus (ct du 2.2 a l'époque). Je jouais sans problème a Quake2 sur
happy a écrit :
Mais là où le problème me chiffone, c'est que pendant des semaines on
m'avait prêté un portable, ma grosse bécane était firewallé avec du nat
par-dessus (ct du 2.2 a l'époque). Je jouais sans problème a Quake2 sur
le portable (Q3 et CS étant trop lourd ;-) ),sans compter
J'ai rien compris. Comme quoi, si on parle dans une langue (ici, en l'occurence
le français), même si c'est un langage technique, c'est bien de connaitre un
minimum de règles de rédaction (sans être grammairien). Désolé. Je vais pousser
mon petit Mathias (mon fils, 13 ans) à faire les progrès
:04 PM
Subject: Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
J'ai rien compris. Comme quoi, si on parle dans une langue (ici, en
l'occurence
le français), même si c'est un langage technique, c'est bien de connaitre
un
minimum de règles de rédaction (sans être grammairien). Désolé. Je vais
]
To: [EMAIL PROTECTED]
Sent: Wednesday, April 25, 2001 10:04 PM
Subject: Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
J'ai rien compris. Comme quoi, si on parle dans une langue (ici, en
l'occurence
le français), même si c'est un langage technique, c'est bien de connaitre
un
]
To: [EMAIL PROTECTED]
Sent: Wednesday, April 25, 2001 10:04 PM
Subject: Re: [Confirme] iptables + ip_nat_ftp et ip_nat_irc
J'ai rien compris. Comme quoi, si on parle dans une langue (ici, en
l'occurence
le français), même si c'est un langage technique, c'est bien de connaitre
un
minimum
46 matches
Mail list logo