Possibilité d'avoir la sortie de la commande iptables -S ? J'ai du mal à lire avec -L ..
Pourquoi serait-il étonnant que les paquets SYN passent puisque la première règle à apparaître stipule qu'elle "ACCEPT" toutes les connexions sur le port 3306 ? Pourquoi y a t-il une limite de paquets sur ce même port quelques lignes en dessous ( qui ne sera donc jamais atteinte puisque tout les paquets ont déjà été accepté comme l'a fait remarquer Guillaume pour celle des "LOG" ) ? Une config normal de netfilter => 1-On drop les badboys 2-On LOG éventuellement les cas particuliers que l'on souhaite surveiller. 3-On fait notre filtrage sur ce que l'on "ACCEPT" ( et il faut bien comprendre que l'ordre des règles est important => si on ACCEPT tout en premier lieu, les règles suivante ne seront jamais traversées / appliquées ) 4-On LOG éventuellement le reste 5-On revient au DROP par défaut pour tout les autres paquets. Pour le pid, je ne suis pas sur ... mais étant donné que SYN/TCP == kernel ... je suppose que MySQL n'a encore rien reçu à cet instant précis: donc pas de pid. Pour le port 80 ... je n'ai pas compris ton interrogation. Je pense que tu es bon pour un voyage sur les HOW-TO de netfilter, je vois des choses très étrange. http://www.netfilter.org/documentation/HOWTO/fr/ -- Josh On 20/06/2015 00:58, Philippe Gras wrote: > > Le 20 juin 2015 à 00:32, Guillaume <list-deb...@gwilhom.fr> a écrit : > >> Si j'ai bien lu tu laisses passer le trafic MySQL pour tout le monde avant >> de logger. > > Oui, en effet. Ce n’est peut être pas une bonne chose, mais est-ce qu’on > n’est pas > obligé de faire comme ça de toute façon pour accéder aux données des sites > sur le > port 80 ? Je n’en sais fichtre rien ! >> >> Vous pouvez ajouter l'option '-v' à iptables pour voir les compteurs >> >> iptables -nvL > > Oui, et bizarrement et contrairement à ce que paraît indiquer netstat, aucun > paquet > n’est filtré sur le port 3306. Ce qui me ramène d’ailleurs au problème > précédent. > > Par contre chaque matin, j’ai des trucs bizarres dans Logwatch, avec des > quantités > phénoménales de requêtes : > --------------------- iptables firewall Begin ------------------------ > > > Listed by source hosts: > Logged 10992 packets on interface eth0 > From 61.160.224.128 - 1 packet to tcp(21) > From 69.90.188.220 - 1 packet to tcp(80) > From 78.113.230.91 - 1 packet to tcp(80) > From 82.124.236.16 - 99 packets to tcp(21) > From 85.159.232.115 - 1 packet to tcp(21) > From 95.213.131.236 - 114 packets to tcp(80) > From 103.16.26.71 - 2 packets to tcp(21) > From 104.27.191.40 - 5359 packets to tcp(80) > From 141.101.75.41 - 1 packet to tcp(80) > From 141.101.104.61 - 707 packets to tcp(80) > From 173.245.50.94 - 3 packets to tcp(80) > From 178.19.104.138 - 1 packet to tcp(21) > From 188.114.110.64 - 16 packets to tcp(80) > From 195.154.209.237 - 1 packet to tcp(80) > From 198.41.128.61 - 59 packets to tcp(80) > From 198.41.140.60 - 3069 packets to tcp(80) > From 198.41.141.60 - 1556 packets to tcp(80) > From 218.77.79.43 - 1 packet to tcp(21) > > ---------------------- iptables firewall End ------------------------- > > Ce qui pourrait se traduire par cela : > > --------------------- Kernel Begin ------------------------ > > > WARNING: Segmentation Faults in these executables > php5-fpm : 2 Time(s) > > ---------------------- Kernel End ------------------------- > >> >> Le 20/06/2015 00:10, Philippe Gras a écrit : >>> >>> Le 19 juin 2015 à 17:29, Samuel <debian-user-french-2...@ingescom.com> a >>> écrit : >>> >>>> Bonjour, >>>> >>>> Le 19/06/2015 16:31, Philippe Gras a écrit : >>>> >>>> [...] >>>> >>>>> Comment puis-je vérifier la configuration d’iptables ? >>>> >>>> iptables -L -n >>> >>> http://enpret.com/iptables-n-l.txt >>> >>> Je mets ça en lien parce qu’elle est vachement longue… >>> >>> Il y a bien écrit "Chain >>> INPUT (policy DROP)" >>> >>> Mais est-ce avec garantie du gouvernement ou c’est moi >>> qui interprète mal ? >>> >>> Merci à tous pour toute ces ressources et je suis en train >>> de les consulter une à une… >>> >>>> >>>> Samuel. >>>> >>>> -- >>>> Lisez la FAQ de la liste avant de poser une question : >>>> http://wiki.debian.org/fr/FrenchLists >>>> >>>> Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" >>>> vers debian-user-french-requ...@lists.debian.org >>>> En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org >>>> Archive: https://lists.debian.org/5584356f.90...@ingescom.com >>>> >>> >> >> >> -- >> Guillaume > > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5584af3d.3010...@pas-cuit.net
