Re: Interprétation log de iptable

Le 07/05/2012 12:01, Dominique Asselineau a écrit : > Je vais regarder un peu plus ces problèmes de iptable. Ça n'est > décidément pas facile de protéger son système et de laisser les > services fonctionner correctement, surtout dans des situations > particulières. Il y a pl

Re: Interprétation log de iptable

On Mon, 7 May 2012 12:01:28 +0200 Dominique Asselineau wrote: > > Je vais regarder un peu plus ces problèmes de iptable. Ça n'est > décidément pas facile de protéger son système et de laisser les > services fonctionner correctement, surtout dans des situations > particu

Re: Interprétation log de iptable

valides, possible > que ça vienne de là. Un RST qui aurait été envoyé après qu'une connexion > soit supprimée, par exemple. Merci. Ça coïncide avec mes problèmes réseau que vient de m'indiquer l'hébergeur du VPS. Je vais regarder un peu plus ces problèmes de iptable

Re: Interprétation log de iptable

Bonjour, Le samedi 05 mai 2012, Dominique Asselineau a écrit... > May 2 21:27:47 kernel: [2773675.465534] IN= OUT=venet0 > SRC= DST= LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 > DF PROTO=TCP SPT=80 DPT=46418 WINDOW=0 RES=0x00 RST URGP=0 > y a une dizaine de lignes de ce genre en l'espace d

Interprétation log de iptable

Bonjour, Sur un VPS faisant tourner Apache, Postfix et MySQL (uniquement en local pour ce dernier) J'ai installé des règles iptable manuellement en prenant l'exemple du manuel de sécurisation de Debian <http://www.debian.org/doc/manuals/securing-debian-howto/> Ça fonctionne visib

Re: [xen - iptable] erreurs dans les log : syslog

Bonjour, Le vendredi 27 mai 2011, Philippe a écrit... > >> Pour mon cas c'est les scripts usine de xen ... > Ah ok merci > je continue malgré tout a chercher Tu peux modifier les scripts de Xen, je pense. Il faudra juste y faire un peu attention lors d'une mise à jour du système qui affe

Re: [xen - iptable] erreurs dans les log : syslog

Le 27/05/2011 17:12, Jean-Sébastien Kroll-Rabotin a écrit : > Salut, > >> Il me semble me rappeler que tu dois rajouter --physdev-is-bridged >> dans ta règle pour l'appliquer au traffic ponté uniquement. > Merci beaucoup pour l'info ! J'avais cherché sans succès car j'ai moi > aussi des alertes ple

Re: [xen - iptable] erreurs dans les log : syslog

Salut, > Il me semble me rappeler que tu dois rajouter --physdev-is-bridged > dans ta règle pour l'appliquer au traffic ponté uniquement. Merci beaucoup pour l'info ! J'avais cherché sans succès car j'ai moi aussi des alertes plein mes journaux. Cependant, sans l'option « --physdev-is-bridged » l

Re: [xen - iptable] erreurs dans les log : syslog

Le 27/05/2011 12:32, Jean-Michel OLTRA a écrit : > Bonjour, > > > Le vendredi 27 mai 2011, Philippe a écrit... > > >>> Il me semble me rappeler que tu dois rajouter --physdev-is-bridged dans >>> ta règle pour l'appliquer au traffic ponté uniquement. >>> >> tu mets cela dans vif-common.sh ? > Pe

Re: [xen - iptable] erreurs dans les log : syslog

Bonjour, Le vendredi 27 mai 2011, Philippe a écrit... > > Il me semble me rappeler que tu dois rajouter --physdev-is-bridged dans > > ta règle pour l'appliquer au traffic ponté uniquement. > > > tu mets cela dans vif-common.sh ? Perso, j'ai un script shell qui me permet de lancer les règl

Re: [xen - iptable] erreurs dans les log : syslog

Le 27/05/2011 09:03, Jean-Michel OLTRA a écrit : > Bonjour, > > > Le vendredi 27 mai 2011, Philippe a écrit... > > >> May 27 05:52:38 vmhost2 kernel: [30433.353562] physdev match: using >> --physdev-out in the OUTPUT, FORWARD and POSTROUTING chains for >> non-bridged traffic is not supported an

Re: [xen - iptable] erreurs dans les log : syslog

Bonjour, Le vendredi 27 mai 2011, Philippe a écrit... > May 27 05:52:38 vmhost2 kernel: [30433.353562] physdev match: using > --physdev-out in the OUTPUT, FORWARD and POSTROUTING chains for > non-bridged traffic is not supported anymore. Il me semble me rappeler que tu dois rajouter --phy

[xen - iptable] erreurs dans les log : syslog

Bonjour à tous Dans mon syslog et dmesg j'ai des lignes du type : May 27 05:52:38 vmhost2 kernel: [30433.353562] physdev match: using --physdev-out in the OUTPUT, FORWARD and POSTROUTING chains for non-bridged traffic is not supported anymore. j'ai les cartes réseaux suivantes : 06:00.0 Ethernet

Re: [HS]iptable sur linux embarqué

Le 30 mars 2011 22:33, Yves Rutschle a écrit : > On Wed, Mar 30, 2011 at 06:51:31PM +, jerome.moli...@gmail.com wrote: > > Ah bon ? Qu'est ce qui pourrait bloquer d'autre ? Merci de tes lumieres > en tt cas > > La base pourrait tout simplement ne pas router le multicast. > Ou avoir une règle

Re: [HS]iptable sur linux embarqué

On Wed, Mar 30, 2011 at 06:51:31PM +, jerome.moli...@gmail.com wrote: > Ah bon ? Qu'est ce qui pourrait bloquer d'autre ? Merci de tes lumieres en tt > cas La base pourrait tout simplement ne pas router le multicast. Ou avoir une règle de firewall qui les avale. Ou... la seule limite est ton

Re: [HS]iptable sur linux embarqué

Ah bon ? Qu'est ce qui pourrait bloquer d'autre ? Merci de tes lumieres en tt cas Envoyé avec BlackBerry® d'Orange -Original Message- From: Pascal Hambourg Date: Wed, 30 Mar 2011 20:00:29 To: Subject: Re: [HS]iptable sur linux embarqué jerome.moli...@gm

Re: [HS]iptable sur linux embarqué

jerome.moli...@gmail.com a écrit : > Le ttl fixe par le windows mobile lors de mon multicast est a 1 Si c'est du multicast link-local, un TTL à 1 n'est pas aberrant. Accessoirement, le multicast c'est particulier et il n'est pas certain qu'augmenter le TTL de ces paquets suffise à les router. --

Re: [HS]iptable sur linux embarqué

Yves Rutschle a écrit : > On Wed, Mar 30, 2011 at 04:05:35PM +0200, jerome moliere wrote: >>> D'après les changelogs du noyau et d'iptables, la cible TTL a été >>> intégrée dans le noyau 2.6.14 et iptables 1.1.2. Il faut en sus qu'ils >>> aient été compilés avec l'option correspondante activée. >>>

Re: [HS]iptable sur linux embarqué

11 16:15:08 To: Subject: Re: [HS]iptable sur linux embarqué On Wed, Mar 30, 2011 at 04:05:35PM +0200, jerome moliere wrote: > > D'après les changelogs du noyau et d'iptables, la cible TTL a été > > intégrée dans le noyau 2.6.14 et iptables 1.1.2. Il faut en sus qu

Re: [HS]iptable sur linux embarqué

1 16:15:08 To: Subject: Re: [HS]iptable sur linux embarqué On Wed, Mar 30, 2011 at 04:05:35PM +0200, jerome moliere wrote: > > D'après les changelogs du noyau et d'iptables, la cible TTL a été > > intégrée dans le noyau 2.6.14 et iptables 1.1.2. Il faut en sus qu

Re: [HS]iptable sur linux embarqué

On Wed, Mar 30, 2011 at 04:05:35PM +0200, jerome moliere wrote: > > D'après les changelogs du noyau et d'iptables, la cible TTL a été > > intégrée dans le noyau 2.6.14 et iptables 1.1.2. Il faut en sus qu'ils > > aient été compilés avec l'option correspondante activée. > > > un grand merci pascal d

Re: [HS]iptable sur linux embarqué

ion particulière du binaire iptable ? > > A partir de quel noyau ce patch a t'il donc disparu et quand a t 'il > > donc été intégré dans la branche stable du noyau Linux ? > > D'après les changelogs du noyau et d'iptables, la cible TTL a été > intégrée dans

Re: [HS]iptable sur linux embarqué

Salut, jerome moliere a écrit : > Je vais préciser peut-être ma demande, je suis à peu près certain que > pour faire ce que je veux il faut avoir un support noyau via le patch > TTL, mais faut il une version particulière du binaire iptable ? > A partir de quel noyau ce patch a t'

Re: [HS]iptable sur linux embarqué

Le 29 mars 2011 17:34, jerome moliere a écrit : > Je vais préciser peut-être ma demande, je suis à peu près certain que pour > faire ce que je veux il faut avoir un support noyau via le patch TTL, mais > faut il une version particulière du binaire iptable ? > A partir de quel noya

Re: [HS]iptable sur linux embarqué

Le Tue, 29 Mar 2011 17:34:05 +0200, jerome moliere a écrit : > Je vais préciser peut-être ma demande, je suis à peu près certain que > pour faire ce que je veux il faut avoir un support noyau via le patch > TTL, mais faut il une version particulière du binaire iptable ? > A partir d

Re: [HS]iptable sur linux embarqué

Je vais préciser peut-être ma demande, je suis à peu près certain que pour faire ce que je veux il faut avoir un support noyau via le patch TTL, mais faut il une version particulière du binaire iptable ? A partir de quel noyau ce patch a t'il donc disparu et quand a t 'il donc été intég

[HS]iptable sur linux embarqué

ux (2.4.20 a priori) tout propriétaire et guère documenté et pas maintenu.. Il semble que mes soucis actuels viennent d'un TTL mis à 1 sur du multicast qui en traversant l'embase tombe à 0 et ne soit donc jamais propagé... Qu'à cela ne tienne je voulais donc faire une règle iptable q

Re: [HS] iptable comment insérer une règle?

Merci, je vais étudier celà à tête reposé. Gaëtan Le Fri, 24 Oct 2008 20:05:19 +0200 Franck Joncourt <[EMAIL PROTECTED]> a écrit: > mouss wrote: > > Gaëtan PERRIER a écrit : > >> C'est ce que je fais par défaut mais là je voulais ajouter dynamiquement > >> des règles en fonction de l'apparition

Re: [HS] iptable comment insérer une règle?

mouss wrote: > Gaëtan PERRIER a écrit : >> C'est ce que je fais par défaut mais là je voulais ajouter dynamiquement des >> règles en fonction de l'apparition de connections vpn par ex. mais finalement >> je me dis que ce n'est peut-être pas problématique de les ajouter en premier >> avec un iptable

Re: [HS] iptable comment insérer une règle?

On Thu, 23 Oct 2008 21:24:06 +0200 Gaëtan PERRIER <[EMAIL PROTECTED]> wrote: > > Oui mais le problème c'est qu'avec cette commande ce n'est pas évident > d'insérer juste avant la dernière règle, non? Faire un script est le plus simple, ensuite l'exécuter au boot : http://www.linux-france.org/prj

Re: [HS] iptable comment in sérer une règle?

Gaëtan PERRIER a écrit, jeudi 23 octobre 2008, à 21:24 : > Oui mais le problème c'est qu'avec cette commande ce n'est pas évident > d'insérer juste avant la dernière règle, non? Liste d'abord # iptables --line-numbers -nvL INPUT ensuite insère # iptables -I INPUT 42 puis rebelote # iptables

Re: [HS] iptable comment insérer une règle?

Gaëtan PERRIER a écrit : > C'est ce que je fais par défaut mais là je voulais ajouter dynamiquement des > règles en fonction de l'apparition de connections vpn par ex. mais finalement > je me dis que ce n'est peut-être pas problématique de les ajouter en premier > avec un iptables -I ? > La méth

Re: [HS] iptable comment insérer une règle?

t : > > Oui mais le problème c'est qu'avec cette commande ce n'est pas évident > > d'insérer juste avant la dernière règle, non? > > > > Le Thu, 23 Oct 2008 20:34:20 +0200 > > ".:: Alfred Sawaya ::." <[EMAIL PROTECTED]> a éc

Re: [HS] iptable comment insérer une règle?

Salut, Gaëtan PERRIER wrote: > Oui mais le problème c'est qu'avec cette commande ce n'est pas évident > d'insérer juste avant la dernière règle, non? -I permet de spécifier l'emplacement de la règle dans une chaîne donnée. Tu peux t-aider de l'argument --line-numbers pour définir l'emplacement de

Re: [HS] iptable comment insérer une règle?

règle, non? > > Le Thu, 23 Oct 2008 20:34:20 +0200 > ".:: Alfred Sawaya ::." <[EMAIL PROTECTED]> a écrit: > >> iptables -I >> >> et le man. >> >> Gaëtan PERRIER a écrit : >>> Bonjour, >>> >

Re: [HS] iptable comment insérer une règle?

ëtan PERRIER a écrit : > > Bonjour, > > > > Est-il possible d'insérer une règle avec iptable? > > > > Gaëtan > > > > > -- > > > -- > | > .:: Alfred Sawaya ::. > | >

Re: [HS] iptable comment insérer une règle?

iptables -I et le man. Gaëtan PERRIER a écrit : > Bonjour, > > Est-il possible d'insérer une règle avec iptable? > > Gaëtan > -- -- | .:: Alfred Sawaya ::. | -- -- Lisez la FAQ de la liste avant de po

[HS] iptable comment insérer une rè gle?

Bonjour, Est-il possible d'insérer une règle avec iptable? Gaëtan -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE

Re: iptable : Blacklister un pays grace aux IP

Stephane Bortzmeyer a écrit : > On Mon, Oct 06, 2008 at 09:46:54AM +0200, mouss <[EMAIL PROTECTED]> > wrote a message of 40 lines which said: > >> Mais après refleskion, je me suis dit que ça ne valait pas la >> peine. de toute façon, les méchants ne viennent pas directement: >> ils rebondissent vi

Re: iptable : Blacklister un pays grace aux IP

On Mon, Oct 06, 2008 at 09:46:54AM +0200, mouss <[EMAIL PROTECTED]> wrote a message of 40 lines which said: > Mais après refleskion, je me suis dit que ça ne valait pas la > peine. de toute façon, les méchants ne viennent pas directement: ils > rebondissent via d'autres machines. Et je ne conna

Re: iptable : Blacklister un pays grace aux IP

Goldy a écrit : > Merci pour ces infos, je pensais que les ip par pays étaient facilement > identifiables (genre 82.XXX.XXX.XXX pour la france) et que quelques > règles avec pas mal de jokers pouvaient parvenir à faire quelque chose > d'acceptable. Non. les IPs sont allouées "comme on peut". ajou

Re: iptable : Blacklister un pays grace aux IP

mouss a écrit : > Goldy a écrit : >> Bonjour, >> >> J'aurais aimé savoir s'il était possible de configurer une règle >> dans iptable pour interdire l'accès sur un port particulier du >> serveur aux adresses IP de tout un pays donné. >> >&g

Re: iptable : Blacklister un pays grace aux IP

Goldy a écrit : > Bonjour, > > J'aurais aimé savoir s'il était possible de configurer une règle dans > iptable pour interdire l'accès sur un port particulier du serveur aux > adresses IP de tout un pays donné. > > En règle générale, ce genre de blocage est r

iptable : Blacklister un pays grace aux IP

Bonjour, J'aurais aimé savoir s'il était possible de configurer une règle dans iptable pour interdire l'accès sur un port particulier du serveur aux adresses IP de tout un pays donné. En règle générale, ce genre de blocage est réalisé via un script logiciel coté serveur et non

config iptables d'un routeur à base iptable s derrière une livebox

Bonjour, Même si ca n'utilise pas explicitement une debian, je pense que l'on peut me répondre sur la liste. Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec un firmware à base linux: openwrt et qui donc peut utiliser iptables. En fait, vu que le livebox a un wifi pour

Re: freeboxtv et iptable

DamZ91 a écrit : iptables -A INPUT -p udp --dport 32700:32800 -j ACCEPT Ou alors façon un peu plus paranoïaque sans passer par la recompil du noyau, rajouter : -d "addresse IP de mafreebox.freebox.fr"? Plutôt "-s", non ? Effectivement, c'est une sage précaution. Cependant ça ne met pas à l'

Re: freeboxtv et iptable

Pascal Hambourg a écrit : Raphaël RIGNIER a écrit : iptables -A INPUT -p udp --dport 32700:32800 -j ACCEPT Ou alors façon un peu plus paranoïaque sans passer par la recompil du noyeau, rajouter : -d "addresse IP de mafreebox.freebox.fr"? Plutôt "-s", non ? Effectivement, c'est une sage

Re: freeboxtv et iptable

François Boisson a écrit : Le Sat, 25 Feb 2006 16:13:53 +0100 Pascal Hambourg <[EMAIL PROTECTED]> a écrit: Par contre je ne sais pas comment ça se passe pour afficher avec la Freebox de la vidéo stockée sur le client. vlc ouvre un serveur http sur le port 8080 qui est interrogé par

Re: freeboxtv et iptable

RoboTux a écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Klaus Becker a écrit : Le Samstag 25 Februar 2006 16:36, RoboTux a écrit : Pascal Hambourg a écrit : RoboTux a écrit : Par contre je ne sais pas comment ça se passe pour afficher avec la Freebox

Re: freeboxtv et iptable

Le Sat, 25 Feb 2006 16:13:53 +0100 Pascal Hambourg <[EMAIL PROTECTED]> a écrit: > Par contre je ne sais pas comment ça se passe pour afficher avec la > Freebox de la vidéo stockée sur le client. vlc ouvre un serveur http sur le port 8080 qui est interrogé par la freebox. Celle ci négocie avec v

Re: freeboxtv et iptable

-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Klaus Becker a écrit : >Le Samstag 25 Februar 2006 16:36, RoboTux a écrit : > >>Pascal Hambourg a écrit : >> >>>RoboTux a écrit : > > >>>Par contre je ne sais pas comment ça se passe pour afficher avec la >>>Freebox de la vidéo stockée sur le client.

Re: freeboxtv et iptable

Raphaël RIGNIER a écrit : iptables -A INPUT -p udp --dport 32700:32800 -j ACCEPT Ou alors façon un peu plus paranoïaque sans passer par la recompil du noyeau, rajouter : -d "addresse IP de mafreebox.freebox.fr"? Plutôt "-s", non ? Effectivement, c'est une sage précaution. Cependant ça ne me

Re: freeboxtv et iptable

-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Raphaël RIGNIER a écrit : > Ou alors façon un peu plus paranoïaque sans passer par la recompil du > noyeau, rajouter : -d "addresse IP de mafreebox.freebox.fr"? N'y a-t-il pas moyen de changer l'adresse IP source dans un paquet ? Ou d'attaquer la fre

Re: freeboxtv et iptable

-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pascal Hambourg a écrit : > "ConneXion". Et moi qui fait régulièrement cette correction quand quelqu'un fait la faute après m'être déjà fait reprendre une fois. > Oui, mais dans une règle spécifique limitée au port TCP concerné, pas > dans la règle

Re: freeboxtv et iptable

e façon déjà être présente en tête de tout jeu de règles qui se respecte. La même pour OUTPUT s'il y a aussi des restrictions en sortie. et moi je ne connais malheureusement pas la commande a écrire sur iptable pour lui dire tu ouvre de telle à telle ports j'ai essayé un ceci mais sans suc

Re: freeboxtv et iptable

RoboTux a écrit : Je doute que l'équipe de développement du noyau se préoccupe des freenautes. Le patch sera inclus dans le noyau standard quand il sera jugé stable et digne de l'être, point. Ce fut le cas d'un certain nombre qui sont désormais intégrés depuis le 2.6.14. Oui je me doute que le

Re: freeboxtv et iptable

-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pascal Hambourg a écrit : > RoboTux a écrit : > >>> >>> Comme ce module n'est pas inclus dans les >>> noyaux standards, il faudra probablement appliquer le patch >>> rtsp-conntrack du patch-o-matic-ng de Netfilter aux sources du noyau, >>> compiler le

Re: freeboxtv et iptable

RoboTux a écrit : Comme ce module n'est pas inclus dans les noyaux standards, il faudra probablement appliquer le patch rtsp-conntrack du patch-o-matic-ng de Netfilter aux sources du noyau, compiler le noyau et l'installer. Ensuite : C'est bien dommage. Peut-être dans les futurs noyau si d'aut

Re: freeboxtv et iptable

rtsp > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > Cette règle iptables devrait de toute façon déjà être présente en tête > de tout jeu de règles qui se respecte. La même pour OUTPUT s'il y a > aussi des restrictions en sortie. Il faut pas rajouter NEW

Re: freeboxtv et iptable

e tout jeu de règles qui se respecte. La même pour OUTPUT s'il y a aussi des restrictions en sortie. et moi je ne connais malheureusement pas la commande a écrire sur iptable pour lui dire tu ouvre de telle à telle ports j'ai essayé un ceci mais sans succes: iptables -A INPUT -p tc

Re: freeboxtv et iptable

Le Sat, 25 Feb 2006 14:56:29 +0100 DamZ91 <[EMAIL PROTECTED]> a écrit: > iptables -A INPUT -p tcp --dport 32700>32800 -j ACCEPT iptables -A INPUT -p tcp --dport 32700:32800 -j ACCEPT C'est «:» pour préciser une plage François Boisson -- Pensez à lire la FAQ de la liste avant de poser une q

freeboxtv et iptable

ne connai malheureusement pas la commande a écrire sur iptable pour lui dire tu ouvre de telle à telle ports j'ai essayé un ceci mais sans succes: iptables -A INPUT -p tcp --dport 32700>32800 -j ACCEPT voila si quelqu'un à une solution à mon probleme je serrai content de le résoudre.

Re: Iptable et DNS Local :(

[EMAIL PROTECTED] a écrit : Troumad a écrit : Voilà, c'est long... et ça doit mériter des améliorations ! Certes, mais je n'ai rien vu qui soit susceptible de bloquer le trafic DNS entrant ou sortant sur le réseau local. LOCAL="eth0" NET="eth1" case "$1" in start) echo "Mise

Re: iptable : stop du firewall

Salut, Troumad a écrit : Ce n'est pas le tout, il faut bien que les paquets reviennent, donc une règle symétrique en OUTPUT que je laisse en exercice. Ou bien utiliser le bien pratique suivi de connexion (ESTABLISHED). Très bonne idée. Dès que j'aurais le temps je m'y penche. Il va falloir q

Re: iptable : stop du firewall

Troumad a écrit, lundi 16 mai 2005, à 11:17 : > Jacques L'helgoualc'h a écrit : [...] > >> $ipt -A INPUT -p tcp --dport 22 -j ACCEPT > >> > >> > > > >ajoute -i le_bon-eth --source ton_ip_distante, voire même si tu es > >parano et en local -m mac --mac-source ... > > > > > J'ai plusie

Re: iptable : stop du firewall

Jacques L'helgoualc'h a écrit : Troumad a écrit, lundi 16 mai 2005, à 09:43 : Bonjour bonjour, Encore moi sur iptable ! Voici la règle qui m'a été donnée sur cette liste : [...] C'était bien précisé pour *fermer*, hein :) Le problème est que je n'acc

Re: iptable : stop du firewall

Troumad a écrit, lundi 16 mai 2005, à 09:43 : > Bonjour bonjour, > Encore moi sur iptable ! > > Voici la règle qui m'a été donnée sur cette liste : > [...] C'était bien précisé pour *fermer*, hein :) > Le problème est que je n'accède à mon serveur que par ssh

iptable : stop du firewall

Bonjour Encore moi sur iptable ! Voici la règle qui m'a été donnée sur cette liste : $ipt -F $ipt -t nat -F $ipt -t mangle -F $ipt -X $ipt -t nat -X $ipt -t mangle -X $ipt -P INPUT DROP $ipt -P OUTPUT DROP $ipt -P FORWARD DROP $ipt -

Re: iptable redirection ftp

Cyprien a écrit : Comme je ne sais pas si le helper FTP intervient avant ou après le NAT pour identifier une connexion FTP de contrôle, il vaut mieux spécifier les deux ports 21 et 2211. Par défaut, si on ne spécifie pas de liste de ports, le helper surveille le port 21. Visiblement le helper in

Re: iptable redirection ftp

> Comme je ne sais pas si le helper FTP intervient avant ou après le NAT > pour identifier une connexion FTP de contrôle, il vaut mieux spécifier > les deux ports 21 et 2211. Par défaut, si on ne spécifie pas de liste de > ports, le helper surveille le port 21. Visiblement le helper intervient

Re: Iptable et DNS Local :(

s passant par l'interface "lo"opback, souvent avec l'ip 127.0.0.1. Utile si la règle par défaut (de tout bon firewall) et de ne pas accepter les paquets. > # /etc/init.d/firewall restart > Mise en place du mur de feu > iptables v1.2.9: Can't use -i with OUTPUT

Re: iptable redirection ftp

Merci ! [EMAIL PROTECTED] a écrit : Rappel des faits (long, désolé): Pas grave, j'ai tout lu et j'ai vu que 'ai encore beaucoup de choses à apprendre avant de passer à l'action. Je garde donc ce mail de côté pour (re)faire des tests dans la suite. Le chargement des modules au démarrage peut être

Re: iptable redirection ftp

Salut, Troumad a écrit : Je teste un transfert de ftp du style suivant : iptables -t nat -A PREROUTING -j DNAT -i $NET -p TCP --dport 2211 --to-destination 192.168.1.10:21 Tu risques d'avoir des ennuis si tu fais passer du FTP sur un port non standard. Le problème est que les "ls", "get" ne pass

Re: iptable redirection ftp

Patrice OLIVER a écrit : tu es en mode actif ou passif. Essaie en mode passif. On (un ami ici présent) vient de m'aider car je n'ai pas bien compris actif/passif. Si je mets la commande *passive* sous ftp un ls ou un get passe. Mais, c'est quoi tout ça ? -- Amicalement vOOotre Troum

Re: iptable redirection ftp

Troumad a écrit : Bonjour Je teste un transfert de ftp du style suivant : iptables -t nat -A PREROUTING -j DNAT -i $NET -p TCP --dport 2211 --to-destination 192.168.1.10:21 Le problème est que les "ls", "get" ne passent pas :( Les pwd et cd passent. Il me semble alors que je doit aussi faire que

iptable redirection ftp

Bonjour Je teste un transfert de ftp du style suivant : iptables -t nat -A PREROUTING -j DNAT -i $NET -p TCP --dport 2211 --to-destination 192.168.1.10:21 Le problème est que les "ls", "get" ne passent pas :( Les pwd et cd passent. Il me semble alors que je doit aussi faire quelque chose au niv

Re: Iptable et DNS Local :(

Troumad a écrit il y a bien longtemps : Il manque : iptables -A OUTPUT -i lo -j ACCEPT vers iptables -A INPUT -i lo -j ACCEPT Ça fait quoi exactement. # /etc/init.d/firewall restart Mise en place du mur de feu iptables v1.2.9: Can't use -i with OUTPUT Ça fait planter mon ip

Re: Iptable et DNS Local :(

Troumad a écrit : [...] # MISE à ZERO des règles de filtrage iptables -F iptables -t nat -F Ajoute une commande -X pour chaque table pour supprimer les éventuelles chaînes utilisateur comme dans le choix stop. iptables -t nat -F -X ou iptables -t nat -F iptables -t nat -X Je n

Re: Iptable et DNS Local :(

David Dumortier a écrit : Le Thu Apr 28 2005 à 11:29:34PM +0200, [EMAIL PROTECTED] dit : AMA il vaut mieux gérer explicitement les différents types de requêtes ICMP et laisser la règle suivante s'occuper des ICMP qui sont des réponses ou des messages d'erreur relatifs à des connexions existantes.

Re: Iptable et DNS Local :(

Le Thu Apr 28 2005 à 11:29:34PM +0200, [EMAIL PROTECTED] dit : > > # accepter le protocole ICMP (ex.ping) > > iptables -A INPUT -p icmp -j ACCEPT > > AMA il vaut mieux gérer explicitement les différents types de requêtes > ICMP et laisser la règle suivante s'occuper des ICMP qui sont

Re: Iptable et DNS Local :(

bonjour, Le vendredi 29 avril 2005, Troumad a écrit... > >Une correspondance -s sur la plage d'adresses source du réseau local > >ne ferait pas de mal. > Ça veut dire quoi ? Il va falloir que je cherche ! -s 192.168.1.0/n par exemple si, le réseau local est sur 192.168.1.0 sur n bits.

Re: Iptable et DNS Local :(

Merci pour ce travail qu je me permets de commenter au fur et à mesure. [EMAIL PROTECTED] a écrit : Troumad a écrit : Voilà, c'est long... et ça doit mériter des améliorations ! Certes, mais je n'ai rien vu qui soit susceptible de bloquer le trafic DNS entrant ou sortant sur le réseau local. C'est

Re: Iptable et DNS Local :(

Troumad a écrit : Voilà, c'est long... et ça doit mériter des améliorations ! Certes, mais je n'ai rien vu qui soit susceptible de bloquer le trafic DNS entrant ou sortant sur le réseau local. LOCAL="eth0" NET="eth1" case "$1" in start) echo "Mise en place du mur de feu" # /etc/n

Re: [Merci] Iptable et DNS Local :(

Patrice OLIVER a écrit : Troumad a écrit : Il manque : iptables -A OUTPUT -i lo -j ACCEPT vers iptables -A INPUT -i lo -j ACCEPT Ça fait quoi exactement. Il est bon que ton localhost puisse entrer et sortir, c'est la règle de base de iptables. Sans celà, dans certains cas, tu peux ne pas réuss

[Merci] Iptable et DNS Local :(

Patrice OLIVER a écrit : Troumad a écrit : Patrice OLIVER a écrit : Tu peux placer : iptables -A INPUT -j LOGjuste avant iptables -A INPUT -j DROP Si je comprends bien, c'est pour faire des log. C'est ça ? Oui. Il manque : iptables -A OUTPUT -i lo -j ACCEPT vers iptables -A INPUT -i lo

Re: Iptable et DNS Local :(

Patrice OLIVER a écrit : Tu peux placer : iptables -A INPUT -j LOGjuste avant iptables -A INPUT -j DROP Si je comprends bien, c'est pour faire des log. C'est ça ? Il manque : iptables -A OUTPUT -i lo -j ACCEPT vers iptables -A INPUT -i lo -j ACCEPT Ça fait quoi exactement. Tu peux aussi l

Re: Iptable et DNS Local :(

Voilà, c'est long... et ça doit mériter des améliorations ! [EMAIL PROTECTED] a écrit : Salut, Troumad a écrit : Voici les règles mises pour mon DNS dans iptable. est-ce bon ? iptables -A INPUT -p tcp --dport 53 -j ACCEPT iptables -A INPUT -p udp --dport 53 -j ACCEPT P'têt

Re: Iptable et DNS Local :(

Salut, Troumad a écrit : Voici les règles mises pour mon DNS dans iptable. est-ce bon ? iptables -A INPUT -p tcp --dport 53 -j ACCEPT iptables -A INPUT -p udp --dport 53 -j ACCEPT P'têt ben qu'oui, p'têt ben qu'non. C'est impossible à dire avec aussi peu d&#

Re: Iptable et DNS Local :(

On Thu, Apr 28, 2005 at 08:43:02AM +0200, Troumad <[EMAIL PROTECTED]> wrote a message of 27 lines which said: > Voici les règles mises pour mon DNS dans iptable. est-ce bon ? Il ne faut pas déboguer des règles au pifomètre ou au hasard. Il faut mettre une dernière règle qui logue le

Iptable et DNS Local :(

Bonsoir J'ai un problème avec mon DNS Local, il ne marche sur mon réseau local que si je mets shorewall à la place d'IpTable et ce depuis hier soir ! Voici les règles mises pour mon DNS dans iptable. est-ce bon ? iptables -A INPUT -p tcp --dport 53 -j ACCEPT iptables -

Re: iptable et règles de redirection...

Salut, C. Mourad Jaber a écrit dans duf: J'ai une question concernant la règle PREROUTING d'iptables J'ai fait une règle pour envoyer les paquets de ma passerelle vers mon server web qui est derrière : $IPTABLES -A INPUT -p tcp --dport 8080 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT Cette

Re: iptable et règles de redirection...

--- "C. Mourad Jaber" <[EMAIL PROTECTED]> wrote: > Bonjour, Salut > J'ai une question concernant la règle PREROUTING > d'iptables > J'ai fait une règle pour envoyer les paquets de ma > passerelle vers mon > server web qui est derrière : > $IPTABLES -A INPUT -p tcp --dport 8080 -m state > --state

iptable et règles de redirection...

Bonjour, J'ai une question concernant la règle PREROUTING d'iptables J'ai fait une règle pour envoyer les paquets de ma passerelle vers mon server web qui est derrière : $IPTABLES -A INPUT -p tcp --dport 8080 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t nat -A PREROUTING -p tcp -

RE: script iptable et connexion DHCP

> >>alde a écrit : > >> > >> > >> > >>>Bonsoir la liste :) > >>> > >>>J'ai un soucis avec le lancement de mon script iptable... Je > >>> > >>> > >>n'arrive pas a > >> > &g

Re: script iptable et connexion DHCP

Alexandre DECORNY a écrit : alde a écrit : Bonsoir la liste :) J'ai un soucis avec le lancement de mon script iptable... Je n'arrive pas a trouver ou je peux le mettre pour qu'il demarre au bon moment. Dans ce script j'utilise l'ip fournis

RE: script iptable et connexion DHCP

> alde a écrit : > > >Bonsoir la liste :) > > > >J'ai un soucis avec le lancement de mon script iptable... Je > n'arrive pas a > >trouver ou je peux le mettre pour qu'il demarre au bon moment. Dans ce > >script j'utilise l'ip fou

Re: script iptable et connexion DHCP

alde a écrit : Bonsoir la liste :) J'ai un soucis avec le lancement de mon script iptable... Je n'arrive pas a trouver ou je peux le mettre pour qu'il demarre au bon moment. Dans ce script j'utilise l'ip fournis en dhcp par mon fai pour restreindre les acces (WAN_IP=

RE: script iptable et connexion DHCP

27;est mon cas et ca > fonctionne sans pb). > > > A+ > SEB > > alde wrote: > | Bonsoir la liste :) > | > | J'ai un soucis avec le lancement de mon script iptable... Je n'arrive > pas a > | trouver ou je peux le mettre pour qu'il demarre au bo

Re: script iptable et connexion DHCP

eau eth0 (c'est mon cas et ca fonctionne sans pb). A+ SEB alde wrote: | Bonsoir la liste :) | | J'ai un soucis avec le lancement de mon script iptable... Je n'arrive pas a | trouver ou je peux le mettre pour qu'il demarre au bon moment. Dans ce | script j'utilise l'ip fou

script iptable et connexion DHCP

Bonsoir la liste :) J'ai un soucis avec le lancement de mon script iptable... Je n'arrive pas a trouver ou je peux le mettre pour qu'il demarre au bon moment. Dans ce script j'utilise l'ip fournis en dhcp par mon fai pour restreindre les acces (WAN_IP=`ifconfig | grep -

  1   2   3   >