Bonsoir,
Ceci semble fonctionner :
#!/bin/bash
export DISPLAY=':0'
/usr/bin/gnome-terminal -- tail -f /var/log/syslog
En l'exécutant dans un script en crontab, j'ai bien eu nouveau terminal
affichant le résultat du tail.
Charles.
Le 05/05/2021 à 10:55, David Martin a écrit :
Bonjour,
>Avec tmux je fais un truc dans le genre pour mettre a jour les aliases
> >postfix:
>
> ># split with 10 lines
> >test -n "$TMUX_PANE" && tmux split-window -l 10 ssh "root@${SERV}" tail
> -f /var/log/messages /var/log/maillog
> ># update postfix aliases
> >ssh "root@${SERV}" "postalias $FILE &&
David Martin"
> > À: "debian-user-french@lists.debian.org French"
> >
> > Envoyé: Mercredi 5 Mai 2021 10:55:36
> > Objet: [HS] iptables et fork tail syslog
>
> > Bonjour,
>
> > Je cherche le moyen de lancer un truc du genre à la fin de mon sc
Le 05 May 2021 a 12:05:45 +0200, Bernard Schoenacker a écrit :
Bonjour David,
>
> > Bonjour,
>
> > Je cherche le moyen de lancer un truc du genre à la fin de mon script
> > iptables, mais ça ne veux pas.
>
> > gnome-terminal -e 'tail -f /var/log/syslog' &
Avec tmux je fais un truc dans le
- Mail original -
> De: "David Martin"
> À: "debian-user-french@lists.debian.org French"
>
> Envoyé: Mercredi 5 Mai 2021 10:55:36
> Objet: [HS] iptables et fork tail syslog
> Bonjour,
> Je cherche le moyen de lancer un truc du genre à la
Bonjour,
Le 05/05/2021 à 10:55, David Martin a écrit :
> Bonjour,
>
> Je cherche le moyen de lancer un truc du genre à la fin de mon script
> iptables, mais ça ne veux pas.
>
> gnome-terminal -e 'tail -f /var/log/syslog' &
>
> L'un de vous à une idée ou une autre solution pour ouvrir un
Bonjour,
Je cherche le moyen de lancer un truc du genre à la fin de mon script
iptables, mais ça ne veux pas.
gnome-terminal -e 'tail -f /var/log/syslog' &
L'un de vous à une idée ou une autre solution pour ouvrir un terminal après
le passage des règles ?
--
david martin
Le 17/04/2019 à 23:49, Pascal Hambourg a écrit :
> Le 17/04/2019 à 22:07, Jérémy Prego a écrit :
>> Le 17/04/2019 à 21:51, Pascal Hambourg a écrit :
> )
Par contre, l'inconvénient est que du coup j'ai 2 lignes par host au
lieu d'une seul du coup ça va me doubler toute les rules.
Le 17/04/2019 à 22:07, Jérémy Prego a écrit :
Le 17/04/2019 à 21:51, Pascal Hambourg a écrit :
)
Par contre, l'inconvénient est que du coup j'ai 2 lignes par host au
lieu d'une seul du coup ça va me doubler toute les rules. Je ne pense
pas qu'on puisse réduire ça en une ligne ?
Comment ça,
Le 17/04/2019 à 21:51, Pascal Hambourg a écrit :
>>> )
>> Par contre, l'inconvénient est que du coup j'ai 2 lignes par host au
>> lieu d'une seul du coup ça va me doubler toute les rules. Je ne pense
>> pas qu'on puisse réduire ça en une ligne ?
>
> Comment ça, par host ? Il y en a d'autres ?
Le 17/04/2019 à 18:14, Jérémy Prego a écrit :
Le 17/04/2019 à 07:27, Pascal Hambourg a écrit :
Le 16/04/2019 à 18:44, Jérémy Prego a écrit :
iptables -t mangle -A ROUTING-POLICY -d jeremy.domain.net -m conntrack
--ctstate NEW -j CONNMARK --set-mark 0x1
iptables -t mangle -A ROUTING-POLICY -d
Le 17/04/2019 à 07:27, Pascal Hambourg a écrit :
>> Le 16/04/2019 à 18:44, Jérémy Prego a écrit :
>>> j'ai testé ça qui ne fonctionne pas non plus:
>>> iptables -t mangle -D ROUTING-POLICY -d jeremy.domain.net -m conntrack
>>> --ctstate NEW -j CONNMARK --set-mark 0x1
>>> iptables -t mangle -A
Le 17/04/2019 à 07:27, Pascal Hambourg a écrit :
> Le 16/04/2019 à 18:44, Jérémy Prego a écrit :
>>
>> j'ai testé ça qui ne fonctionne pas non plus:
>> iptables -t mangle -D ROUTING-POLICY -d jeremy.domain.net -m conntrack
>> --ctstate NEW -j CONNMARK --set-mark 0x1
>> iptables -t mangle -A
Le 16/04/2019 à 18:44, Jérémy Prego a écrit :
j'ai testé ça qui ne fonctionne pas non plus:
iptables -t mangle -D ROUTING-POLICY -d jeremy.domain.net -m conntrack
--ctstate NEW -j CONNMARK --set-mark 0x1
iptables -t mangle -A ROUTING-POLICY -d jeremy.domain.net -j CONNMARK
--restore-markc
Je
Le 16/04/2019 à 18:44, Jérémy Prego a écrit :
Le 16/04/2019 à 07:05, Pascal Hambourg a écrit :
Le 16/04/2019 à 03:48, Jérémy Prego a écrit :
Le 15/04/2019 à 20:18, Pascal Hambourg a écrit :
Si je comprends bien tu veux marquer seulement les paquets des
connexions sortantes. Une solution
Le 16/04/2019 à 07:05, Pascal Hambourg a écrit :
> Le 16/04/2019 à 03:48, Jérémy Prego a écrit :
>>
>> Le 15/04/2019 à 20:18, Pascal Hambourg a écrit :
>>> Si je comprends bien tu veux marquer seulement les paquets des
>>> connexions sortantes. Une solution consiste à utiliser le marquage de
>>>
Le 16/04/2019 à 03:48, Jérémy Prego a écrit :
Le 15/04/2019 à 20:18, Pascal Hambourg a écrit :
Si je comprends bien tu veux marquer seulement les paquets des
connexions sortantes. Une solution consiste à utiliser le marquage de
connexion avec la cible CONNMARK et la correspondance connmark.
Le 15/04/2019 à 20:18, Pascal Hambourg a écrit :
> Si je comprends bien tu veux marquer seulement les paquets des
> connexions sortantes. Une solution consiste à utiliser le marquage de
> connexion avec la cible >CONNMARK et la correspondance connmark.
pourrais-tu m'éclaircir sur cette partie
Le 15/04/2019 à 20:18, Pascal Hambourg a écrit :
> Je n'ai rien compris. Et pourtant j'ai la prétention de m'y connaître
> un peu.
>
oups, je n'utilise pas les bon termes.
>> est-ce qu'une solution existe pour que si ça arrive par l'interface
>> wan0, ça reparte par la même interface et que ça ne
Le 15/04/2019 à 00:43, Jérémy Prego a écrit :
en ce Dimanche nocturne je me décide à poser ma question ici. En effet,
je fais de la redirection d'IP en OUTPUT et en PREROUTING avec iptables.
depuis la machine routeur et le réseau local derrière c'est parfait la
machine jeremy.domain.net passe
Le 15/04/2019 à 09:19, daniel huhardeaux a écrit :
> Il faut compléter par le routage genre
>
> # marked packets go out through there route
> ip rule add fwmark $markISP1 table isp1
> ip rule add fwmark $markISP2 table isp2
>
oui oui c'est fait :) j'ai oublié de le préciser dans mon premier
Le 15/04/2019 à 00:43, Jérémy Prego a écrit :
Bonjour,
en ce Dimanche nocturne je me décide à poser ma question ici. En effet,
je fais de la redirection d'IP en OUTPUT et en PREROUTING avec iptables.
depuis la machine routeur et le réseau local derrière c'est parfait la
machine
Bonjour,
en ce Dimanche nocturne je me décide à poser ma question ici. En effet,
je fais de la redirection d'IP en OUTPUT et en PREROUTING avec iptables.
depuis la machine routeur et le réseau local derrière c'est parfait la
machine jeremy.domain.net passe bien par la connexion que j'ai demandé a
Salut,
daniel huhardeaux a écrit :
a) iptables ne tient pas compte de -j CONNMARK --set-mark [1|2] mais -j
MARK --set-mark [1|2] fonctionne
Les deux ne font évidemment pas la même chose. L'option --set-mark de
CONNMARK modifie la marque de connexion qui est sans effet sur le
routage, alors
Bonjour,
désolé pour le HS, j'ai posé la question sur la liste Netfilter et n'ai
eu aucune réponse. Peut être aurai je plus de succès en la posant ici :-)
Sur un serveur tournant en Debian squeeze iptables 1.4.8 j'ai 3
interfaces réseau: eth0=FAI1 eth1=FAI2 eth2=br0/Intranet. Mes actuelles
Hello,
Le mercredi 27 février 2013 à 14:35 +0100, daniel huhardeaux a écrit :
Ou est mon erreur?
Faire du routage sans modifier les routes !?
Merci pour toute indication qui me permettrai de résoudre ce problème.
cf. exemple 2 de http://www.linuxhorizon.ro/iproute2.html
Bruno
--
DÉCEMBRE
Le 27/02/2013 15:46, Bruno Muller a écrit :
Hello,
Le mercredi 27 février 2013 à 14:35 +0100, daniel huhardeaux a écrit :
Ou est mon erreur?
Faire du routage sans modifier les routes !?
Je ne pense pas puisque comme annoncé dans mon message:
Mes actuelles règles de routage répartissent le
Je me répond ;-)
Le 27/02/2013 14:35, daniel huhardeaux a écrit :
Bonjour,
désolé pour le HS, j'ai posé la question sur la liste Netfilter et
n'ai eu aucune réponse. Peut être aurai je plus de succès en la posant
ici :-)
Sur un serveur tournant en Debian squeeze iptables 1.4.8 j'ai 3
Le 07/11/2012 21:50, Stephane Bortzmeyer a écrit :
On Wed, Nov 07, 2012 at 06:29:14PM +0100,
prego jérémy jer...@prego-network.net wrote
a message of 23 lines which said:
donc de façon clair, est-ce possible de banir les ips contenant
toute le même reverse ? par exemple, faire une règle
On Sat, 10 Nov 2012 18:42:03 +0100
mouss mo...@ml.netoyen.net wrote:
en gros, ça indique le bloc 86.70.0.0 - 86.70.255.255 serait alloué
dynamiquement... On tente alors quelques requêtes dns pour confirmer
que les IPs ont un reverse dans la zone rev.sfr.net. pas la peine de
résoudre toutes
bonjour,
je pense que c'est une question qui à surment été parlé 100 fois mais je
trouve rien sur google
donc de façon clair, est-ce possible de banir les ips contenant toute
le même reverse ? par exemple, faire une règle qui dis toute les ip ce
terminant par rev.sfr.net sont banis d'office
On Wed, Nov 07, 2012 at 06:29:14PM +0100,
prego jérémy jer...@prego-network.net wrote
a message of 23 lines which said:
donc de façon clair, est-ce possible de banir les ips contenant
toute le même reverse ? par exemple, faire une règle qui dis toute
les ip ce terminant par rev.sfr.net sont
Salut,
Tanguy Ortolo a écrit :
Marc Naon, 2012-07-17 15:12+0200:
Une question toute bête, comment puis-je bloquer un port en particulier avec
iptables ?
iptables -A INPUT -p {tcp|udp} --dport {port} -j DROP
Ne sera pas forcément effectif en fonction des règles déjà existantes.
Et -j
On Sat, Jul 21, 2012 at 01:51:17PM +0200,
Pascal Hambourg pas...@plouf.fr.eu.org wrote
a message of 19 lines which said:
Ne sera pas forcément effectif en fonction des règles déjà
existantes.
Oui.
Et -j REJECT, c'est plus amical.
Prudence : si l'adresse IP source est usurpée (ce qui
Stephane Bortzmeyer a écrit :
On Sat, Jul 21, 2012 at 01:51:17PM +0200,
Pascal Hambourg pas...@plouf.fr.eu.org wrote
Et -j REJECT, c'est plus amical.
Prudence : si l'adresse IP source est usurpée (ce qui arrive assez
souvent), envoyer le paquet ICMP ou RST de rejet à la dite adresse
Bonjour,
Une question toute bête, comment puis-je bloquer un port en particulier avec
iptables ?
C'est que j'ai une appli ldap et je dois restaurer le schema mais il ne faut
aucuns accès à celle-ci
via le port 389 pendant l'action.
--
Marc
--
Lisez la FAQ de la liste avant de poser une
Marc Naon, 2012-07-17 15:12+0200:
Une question toute bête, comment puis-je bloquer un port en particulier avec
iptables ?
iptables -A INPUT -p {tcp|udp} --dport {port} -j DROP
--
,--.
: /` ) Tanguy Ortolo xmpp:tan...@ortolo.eu
| `-'Debian Developer irc://irc.oftc.net/Tanguy
\_
Salut,
Daniel Huhardeaux a écrit :
. un serveur avec des machines virtuelles kvm, reseau 10.0.70.1 pour le
serveur, 10.0.70.[11|12|...|] pour les VM.
. deux réseaux OpenVPN 10.99.3.1 (serveur VPN) et 10.99.3.18 (client VPN)
J'ai paramétré libvirtd+tls de manière à ce qu'il n'écoute que
Bonjour
Le 09/01/2011 14:10, Pascal Hambourg a écrit :
[...]
Tu peux attribuer l'adresse 10.0.70.1/32 à une autre interface qui
existe déjà, par exemple l'interface de loopback lo. Il n'est pas
interdit d'attribuer la même adresse à plusieurs interfaces et plusieurs
adresses à la même
daniel huhardeaux a écrit :
Le 09/01/2011 14:10, Pascal Hambourg a écrit :
[...]
Tu peux attribuer l'adresse 10.0.70.1/32 à une autre interface qui
existe déjà, par exemple l'interface de loopback lo. Il n'est pas
interdit d'attribuer la même adresse à plusieurs interfaces et plusieurs
Le 09/01/2011 19:29, Pascal Hambourg a écrit :
daniel huhardeaux a écrit :
Le 09/01/2011 14:10, Pascal Hambourg a écrit :
[...]
Tu peux attribuer l'adresse 10.0.70.1/32 à une autre interface qui
existe déjà, par exemple l'interface de loopback lo. Il n'est pas
interdit d'attribuer la
Bonjour,
voici le setup:
. un serveur avec des machines virtuelles kvm, reseau 10.0.70.1 pour le
serveur, 10.0.70.[11|12|...|] pour les VM.
. deux réseaux OpenVPN 10.99.3.1 (serveur VPN) et 10.99.3.18 (client VPN)
J'ai paramétré libvirtd+tls de manière à ce qu'il n'écoute que sur
l'adresse
Le 08/01/2011 17:02, Daniel Huhardeaux a écrit :
[...]
Ce que je voudrai: libvirtd+tls démarre en écoutant 127.0.0.1 le port
étant 16514 et iptables redirige les requêtes du port 16540 IP
10.0.70.1 vers 127.0.0.1
[...]
Erreur typo: il s'agit bien du port 16514 et non 16540. Désolé :-(
--
Le Sat, 08 Jan 2011 17:02:05 +0100,
Daniel Huhardeaux no-s...@tootai.net a écrit :
Bonjour,
voici le setup:
. un serveur avec des machines virtuelles kvm, reseau 10.0.70.1 pour
le serveur, 10.0.70.[11|12|...|] pour les VM.
. deux réseaux OpenVPN 10.99.3.1 (serveur VPN) et 10.99.3.18
Franck Joncourt a écrit :
Je pensais qu'il n'y avait que le echo-reply qui était qualifie de
ESTABLISHED pour le protocol ICMP.
C'est seulement le type le plus connu.
Je ne me suis pas trop penche sur les types timestamp, information
Moi non plus, à vrai dire. Je n'en connais que le nom,
On Fri, Apr 06, 2007 at 09:36:43AM +0200, Pascal Hambourg wrote:
Franck Joncourt a écrit :
Je pensais qu'il n'y avait que le echo-reply qui était qualifie de
ESTABLISHED pour le protocol ICMP.
C'est seulement le type le plus connu.
Je ne me suis pas trop penche sur les types timestamp,
Le Mercredi 04 Avril 2007 23:54, Franck Joncourt a écrit :
On Wed, Apr 04, 2007 at 11:24:49PM +0200, Pascal Hambourg wrote:
Disons qu'il y a moyen de simplifier la gestion des ICMP ESTABLISHED.
Pour les autres états, c'est selon ses goûts.
De maniere generale, pour le suivi de connexion,
Le Mercredi 04 Avril 2007 23:24, Pascal Hambourg a écrit :
Serge Cavailles a écrit :
Note toutefois que le suivi de connexion de
Netfilter a ses limites, sauf aide d'un module helper pour certains
protocoles particuliers.
[...]
Autre exemple, il ne sait pas reconnaître
tout seul la
Serge Cavailles a écrit :
Le Mercredi 04 Avril 2007 23:54, Franck Joncourt a écrit :
De maniere generale, pour le suivi de connexion, cela se presente de la
facon suivante :
## ICMP :
echo-request/echo-reply : NEW ESTABLISHED
autres : NEW RELATED
Je ne suis pas certain de comprendre ce
On Thu, Apr 05, 2007 at 10:28:43PM +0200, Pascal Hambourg wrote:
Serge Cavailles a écrit :
Le Mercredi 04 Avril 2007 23:54, Franck Joncourt a écrit :
De maniere generale, pour le suivi de connexion, cela se presente de la
facon suivante :
## ICMP :
echo-request/echo-reply : NEW
Serge Cavailles a écrit :
La notion de connexion de
Netfilter est élargie à tout flux IP bidirectionnel reconnaissable par
ses adresses source et destination, protocole, ports source et
destination (si applicables)... Exemples en dehors de TCP :
- ICMP echo request et l'echo reply correspondant
Le Mercredi 04 Avril 2007 19:35, Pascal Hambourg a écrit :
Serge Cavailles a écrit :
Ah! J'ai toujours cru que le conntrack ne pouvait s'appliquer qu'à des
connections au sens TCP.
Et non, pas seulement.
Eh oui, présupposé sans fondement. :/
Note toutefois que le suivi de connexion de
Serge Cavailles a écrit :
Note toutefois que le suivi de connexion de
Netfilter a ses limites, sauf aide d'un module helper pour certains
protocoles particuliers.
[...]
Autre exemple, il ne sait pas reconnaître
tout seul la réponse à une requête TFTP (en UDP) car le port source dans
le
On Wed, Apr 04, 2007 at 11:24:49PM +0200, Pascal Hambourg wrote:
Serge Cavailles a écrit :
Disons qu'il y a moyen de simplifier la gestion des ICMP ESTABLISHED.
Pour les autres états, c'est selon ses goûts.
De maniere generale, pour le suivi de connexion, cela se presente de la
facon suivante
Le poulpe qui bloppe ! wrote:
Généralement, l'emploi de la cible LOG avec des --log-prefix avec un
préfixe
différent pour chaque chaine/table est pratique (à mon avis) pour
définir
ou ça coince.
Mon probleme etant que je ne peux pas logguer car c'est pas un vrai pc
mais
un routeur avec
Bonjour,
Le Mardi 03 Avril 2007 00:59, Jean-Yves F. Barbier a écrit :
Serge Cavailles a écrit :
Bien sûr, pour du TCP, mais dans le cas du dns, vu qu'on est en UDP, je
ne pense pas qu'il puisse y avoir de paquets ESTABLISHED.
Mais je peux me tromper, je l'ai déjà prouvé :D
Vi, tu te
Bonjour,
Le Mardi 03 Avril 2007 01:38, Pascal Hambourg a écrit :
Serge Cavailles a écrit :
Bien sûr, pour du TCP, mais dans le cas du dns, vu qu'on est en UDP, je
ne pense pas qu'il puisse y avoir de paquets ESTABLISHED.
C'est pareil en UDP et n'importe quel autre protocole IP du moment
Bonjour,
Je sais que mon poste n'est pas relatif a debian, mais en desespoir de
cause
J'ai aquit un WRT54GL et l'ai flashé en dd'wrt, donc en linux.
Iptables tourne dessus.
Plan reseau:
WWW - WRT54GL LAN
Sur mon reseau LAN, j'ai installé un serveur DNS pour mon reseau local, ca
Scribit Le poulpe qui bloppe ! dies 02/04/2007 hora 16:17:
J'ai donc placé une regle PREROUTING qui DNAT mon port:
$IPTABLES -t filter -A FORWARD -p udp -d $MOE --dport 53 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -p udp -d $MOE --dport 53 -j ACCEPT
Tu dis que la politique par défaut est
Le poulpe qui bloppe ! a écrit :
Bonjour,
Je sais que mon poste n'est pas relatif a debian, mais en desespoir de
cause
J'ai aquit un WRT54GL et l'ai flashé en dd'wrt, donc en linux.
Iptables tourne dessus.
Plan reseau:
WWW - WRT54GL LAN
Sur mon reseau LAN, j'ai
OOPS: LAN_IF=eth1
--
BOFH excuse #401:
Sales staff sold a product we don't offer.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:
To UNSUBSCRIBE, email to [EMAIL
Question bête: qu'est-ce qui te fait dire que ça ne marche pas? En
d'autres termes, comment testes-tu et quels sont les symptômes?
Ce qui me fait dire que ca ne marche pas, c'est que dnsstuff.com me dit que
mon serveur ne reponds pas, que mes secondaires ne syncronisent pas.
Pour tester, afin
Bonjour,
Le Lundi 02 Avril 2007 17:17, Le poulpe qui bloppe ! a écrit :
Voici mon script à l'heure actuelle: http://fyxx.free.fr/001iptables.txt
Au vu du script, il me semble que la réponse de votre dns est détournée par
la règle de masquerading
$IPTABLES -t nat -A POSTROUTING -s $MOE -o
Généralement, l'emploi de la cible LOG avec des --log-prefix avec un
préfixe
différent pour chaque chaine/table est pratique (à mon avis) pour définir
ou ça coince.
Mon probleme etant que je ne peux pas logguer car c'est pas un vrai pc mais
un routeur avec micronoyau linux. Et la seule
Scribit Le poulpe qui bloppe ! dies 02/04/2007 hora 18:10:
Mon probleme etant que je ne peux pas logguer car c'est pas un vrai pc
mais un routeur avec micronoyau linux.
Nota bene :
- un PC peut être un tout petit engin avec très peu de place, ce qui
fait que c'est un PC ou non est son
Salut,
Serge Cavailles a écrit :
Au vu du script, il me semble que la réponse de votre dns est détournée par
la règle de masquerading
$IPTABLES -t nat -A POSTROUTING -s $MOE -o $IF_WAN -j MASQUERADE
Aucune chance, les paquets dans l'état ESTABLISHED ne traversent pas les
chaînes de la
Le poulpe qui bloppe ! a écrit :
Voici mon script à l'heure actuelle: http://fyxx.free.fr/001iptables.txt
$IPTABLES -t nat -A FORWARD -i $IF_LAN -p tcp -d $MOE --dport 53 -j ACCEPT
1) Il n'y a pas de chaîne FORWARD dans la table 'nat'. Une coquille, je
suppose.
2) Si je lis bien, cette
Le Lundi 02 Avril 2007 19:16, Pascal Hambourg a écrit :
Salut,
Bonjour,
Serge Cavailles a écrit :
Au vu du script, il me semble que la réponse de votre dns est détournée
par la règle de masquerading
$IPTABLES -t nat -A POSTROUTING -s $MOE -o $IF_WAN -j MASQUERADE
Aucune chance, les
Serge Cavailles a écrit :
Le Lundi 02 Avril 2007 19:16, Pascal Hambourg a écrit :
Salut,
Bonjour,
Serge Cavailles a écrit :
Au vu du script, il me semble que la réponse de votre dns est détournée
par la règle de masquerading
$IPTABLES -t nat -A POSTROUTING -s $MOE -o $IF_WAN -j MASQUERADE
Serge Cavailles a écrit :
Aucune chance, les paquets dans l'état ESTABLISHED ne traversent pas les
chaînes de la table 'nat'. Ils sont traités implicitement en fonction
des opérations de NAT appliquées au premier paquet de la connexion.
Bien sûr, pour du TCP, mais dans le cas du dns, vu qu'on
2006/12/31, Pascal Hambourg [EMAIL PROTECTED]:
Pascal Hambourg a écrit :
Jusqu'a présent, j'etais en ACCEPT partout, et je forcais les drop de
ce que je ne voulais pas.
C'est mal. :-p
Raison : si on oublie d'interdire quelque chose, ça ne se verra pas
forcément et il y aura un trou.
J'ai
Le poulpe qui bloppe ! a écrit :
Je sais que le type echorequest et reply ne concernent que le ping.
Mais c'est à titre d'entrainement sur les regles avec limit.
C'est quand même une très bonne idée d'accepter le ping avec une limite
(forcément, puisque je le fais ;-) ).
Car je lis
Le 01/01/07, Pascal Hambourg [EMAIL PROTECTED] a écrit :
Le poulpe qui bloppe ! a écrit :
Je sais que le type echorequest et reply ne concernent que le ping.
Mais c'est à titre d'entrainement sur les regles avec limit.
C'est quand même une très bonne idée d'accepter le ping avec une limite
Bonjour,
Je travaille actuellement mon script iptables.
Jusqu'a présent, j'etais en ACCEPT partout, et je forcais les drop de ce que
je ne voulais pas.
J'ai décidé d'etre plus propre et de mettre DROP par defaut, et d'autorisé
ce que je souhaite.
Mon serveur fait passerelle de mon rezo local:
Salut,
Le poulpe qui bloppe ! a écrit :
Je travaille actuellement mon script iptables.
C'est bien. :-)
Jusqu'a présent, j'etais en ACCEPT partout, et je forcais les drop de ce
que je ne voulais pas.
C'est mal. :-p
J'ai décidé d'etre plus propre et de mettre DROP par defaut, et
Pascal Hambourg a écrit :
Jusqu'a présent, j'etais en ACCEPT partout, et je forcais les drop de
ce que je ne voulais pas.
C'est mal. :-p
Raison : si on oublie d'interdire quelque chose, ça ne se verra pas
forcément et il y aura un trou.
J'ai décidé d'etre plus propre et de mettre DROP par
Le Mardi 9 Mai 2006 21:43, Pascal Hambourg a écrit :
steve a écrit :
je n'arrive pas à pinger depuis 192.168.20.2 sur 192.168.2.2.
Ça veut dire quoi exactement je n'arrive pas ? Il y a un message
d'erreur ?
non. je pingue et il ne se passe rien, à part que si je pingue sur
steve a écrit :
[...]
#tcpdump -i ath0 port 80
listening on ath0, link-type EN10MB (Ethernet), capture size 96 bytes
08:12:12.830823 IP portable.maison.mrs.54577 dolibarr.maison.mrs.www: S
511354364:511354364(0) win 5840 mss 1460,sackOK,timestamp 548769588
0,nop,wscale 2
[...]
Avec -n pour
Le Mercredi 10 Mai 2006 13:14, Pascal Hambourg a écrit :
steve a écrit :
[...]
#tcpdump -i ath0 port 80
listening on ath0, link-type EN10MB (Ethernet), capture size 96 bytes
08:12:12.830823 IP portable.maison.mrs.54577 dolibarr.maison.mrs.www: S
511354364:511354364(0) win 5840 mss
Le Lundi 8 Mai 2006 21:59, Pascal Hambourg a écrit :
Salut,
Salut,
steve a écrit :
Ayant eu le besoin pour une ip de plus, j'en ai créé une, eth1:0, sur
laquelle écoute un apache. Maintenant j'aimerai pourvoir accéder à ce
serveur depuis n'importe où dans mon réseau local.
J'ai donc
steve a écrit :
Ce que j'essaie de faire, c'est
d'avoir 2 sites web sur la même machine et accessible depuis mon réseau
interne (en 192.168.20.0/24). J'ai trois interfaces sur le serveur : eth0 sur
internet, eth1 (192.168.2.2) et ath0 (192.168.20.1).
J'ai un serveur web auquel j'accède via
comme ce sont 2 réseau différent ton masque est t'il prévu pour, par exemple:
255.255.0.0 et non 255.255.255.0 ?
André ON4HU
Le Mardi 9 Mai 2006 13:36, Pascal Hambourg a écrit :
steve a écrit :
Ce que j'essaie de faire, c'est
d'avoir 2 sites web sur la même machine et accessible depuis mon
Le Mardi 9 Mai 2006 13:36, Pascal Hambourg a écrit :
steve a écrit :
Ce que j'essaie de faire, c'est
d'avoir 2 sites web sur la même machine et accessible depuis mon réseau
interne (en 192.168.20.0/24). J'ai trois interfaces sur le serveur : eth0
sur internet, eth1 (192.168.2.2) et ath0
steve a écrit :
je n'arrive pas à pinger depuis 192.168.20.2 sur 192.168.2.2.
Ça veut dire quoi exactement je n'arrive pas ? Il y a un message
d'erreur ?
non. je pingue et il ne se passe rien, à part que si je pingue sur
dolibarr.maison.mrs, il me trouve la bonne IP:
ping
Bonjour,
Ayant eu le besoin pour une ip de plus, j'en ai créé une, eth1:0, sur laquelle
écoute un apache. Maintenant j'aimerai pourvoir accéder à ce serveur depuis
n'importe où dans mon réseau local.
J'ai donc écrit quelque règle iptables pour le permettre. Le problème se
présente au moment
Lundi 8 mai 2006, 12:22:26 CEST, steve a écrit :
Bonjour,
'jour,
Ayant eu le besoin pour une ip de plus, j'en ai créé une, eth1:0, sur
laquelle écoute un apache. Maintenant j'aimerai pourvoir accéder à ce
serveur depuis n'importe où dans mon réseau local.
J'ai donc écrit quelque règle
Salut,
steve a écrit :
Ayant eu le besoin pour une ip de plus, j'en ai créé une, eth1:0, sur laquelle
écoute un apache. Maintenant j'aimerai pourvoir accéder à ce serveur depuis
n'importe où dans mon réseau local.
J'ai donc écrit quelque règle iptables pour le permettre. Le problème se
iptables -t nat -A PREROUTING -i eth0:0 -j DNAT --to 126.0.1.100
Comment forcer iptables a me prendre mon interface virtuelle ?
Pourquoi essaye tu de faire compliquer ,-) ?
iptables -A PREROUTING -t nat -d tonaddressepv/lsmasque -j DNAT --to
Tonadressepublc
iptables -A POSTROUTING -t nat -s
Le lun 30/12/2002 à 01:54, jeanlegnu a écrit :
Salut j'ai une petite question je sais qu'elle est HS mais si une âmes
charitables a une idée je suis preneur
J'aimerais faire ceci
J'ai un firewall qui protège le LAN du net et a l'heure actuelle j'ai un
serveur 192.168.1.100 et j'aimerais
Ainsi parla David GAY ([EMAIL PROTECTED]):
Si ton firewall est la passerelle par d?fault de tes postes client tu
peux placer une regle de NAT destination dessus
iptables -t -nat -A PREROUTING --to-destination 192.168.1.100 DNAT --to
126.0.1.254
Oui mon firewall est la passerelle par défaut
Dans le cas ou le service à rediriger est le web :
Voila ce que je fais pour rediriger les PC qui veulent avoir ax au net,
pour les detourner vers un proxy transparent. (ils connaissent
l'existence du proxy ;) mais il n'y a pas besoin de configurer le
navigateur)
iptables -t nat -A PREROUTING -i
La seule idée qui me vient à l'esprit, dans la mesure où tu as vraiment
beaucoup trop de postes client à reconfigurer et d'utiliser Netfilter et
IP Alias en combinaison: l'interface interne de ta passerelle/firewall
prends ainsi égalemment l'adresse IP 192.168.1.100 (au cas où son adresse
La seule idée qui me vient à l'esprit, dans la mesure où tu as vraiment
beaucoup trop de postes client à reconfigurer et d'utiliser Netfilter et
IP Alias en combinaison: l'interface interne de ta passerelle/firewall
prends ainsi égalemment l'adresse IP 192.168.1.100 (au cas où son adresse
Salut j'ai une petite question je sais qu'elle est HS mais si une âmes
charitables a une idée je suis preneur
J'aimerais faire ceci
J'ai un firewall qui protège le LAN du net et a l'heure actuelle j'ai un
serveur 192.168.1.100 et j'aimerais le déménager dans une DMZ 126.0.1.254
Mais
94 matches
Mail list logo