Re: Exemple d'utilisation d'une IPSet de type hash:net,iface dans iptables [RESOLU]

En effet: si on a une IPSet de type hash:ip,port, il faut utiliser dans la règle iptables, deux flags comme src,dst qui s'interprètent comme suit: src,dst signifie qu'il faut prendre le premier paramètre (ici une adresse IP) en utilisant la Source et le deuxième paramètre (ici un numé

Re: Exemple d'utilisation d'une IPSet de type hash:net,iface dans iptables

Bonjour, Le lundi 27 novembre 2023, Olivier a écrit... > ipset create Foo hash:net,iface > ipset add Foo 192.168.1.0/24,eth1.101 > > iptables -A FORWARD -m set match-set Foo src,XXX > > Par quoi remplacer XXX si on veut que la règle s'applique si

Re: Exemple d'utilisation d'une IPSet de type hash:net,iface dans iptables

idem avec une une IPSet de type hash:ip,port Le lun. 27 nov. 2023 à 16:19, Olivier a écrit : > > Hello, > > Comment utiliser (sur Bullseye) une IPSet de type hash:net,iface dans > une règle iptables ? > Avez-vous un exemple ? > > ipset create Foo hash:net,iface > i

Exemple d'utilisation d'une IPSet de type hash:net,iface dans iptables

Hello, Comment utiliser (sur Bullseye) une IPSet de type hash:net,iface dans une règle iptables ? Avez-vous un exemple ? ipset create Foo hash:net,iface ipset add Foo 192.168.1.0/24,eth1.101 iptables -A FORWARD -m set match-set Foo src,XXX Par quoi remplacer XXX si on veut que la

Re: Trou dans un firewall (iptables nftable)

NoSpam a écrit : > > Le 03/07/2023 à 15:12, BERTRAND Joël a écrit : >> NoSpam a écrit : >>> Ils n'arrivent jamais plus loin que mangle INPUT qui est avant la table >>> nat et filter >> D'accord. Mais dans ce cas, pourquoi sngrep les intercepte ?

Re: Trou dans un firewall (iptables nftable)

Le 03/07/2023 à 15:12, BERTRAND Joël a écrit : NoSpam a écrit : Ils n'arrivent jamais plus loin que mangle INPUT qui est avant la table nat et filter D'accord. Mais dans ce cas, pourquoi sngrep les intercepte ? Tout comme iptables et tcpdump, les paquets sont capturé

Re: Trou dans un firewall (iptables nftable)

NoSpam a écrit : > Ils n'arrivent jamais plus loin que mangle INPUT qui est avant la table > nat et filter D'accord. Mais dans ce cas, pourquoi sngrep les intercepte ? JB

Re: Trou dans un firewall (iptables nftable)

Ils n'arrivent jamais plus loin que mangle INPUT qui est avant la table nat et filter Le 03/07/2023 à 15:00, BERTRAND Joël a écrit : Thomas Trupel a écrit : C'est un comportement normal à mes yeux. L'ajout d'une règle avec la target TRACE devrait te confirmer que les paquets sont bloqués par

Re: Trou dans un firewall (iptables nftable)

Thomas Trupel a écrit : > C'est un comportement normal à mes yeux. > > L'ajout d'une règle avec la target TRACE devrait te confirmer que les > paquets sont bloqués par le firewall. J'obtiens ceci : 2023-07-03T14:37:45.868470+02:00 rayleigh kernel: [705875.038988] TRACE: raw:PREROUTING:policy:2 I

Re: Trou dans un firewall (iptables nftable)

Thomas Trupel a écrit : > C'est un comportement normal à mes yeux. > > L'ajout d'une règle avec la target TRACE devrait te confirmer que les > paquets sont bloqués par le firewall. Dans le cas de SIP, ils sont tout de même récupérés par sngrep : [ ] 359 INVITE 100@1.1.1.1

Re: Trou dans un firewall (iptables nftable)

domain 123/udp open ntp 1/udp closed ndmp MAC Address: 50:46:5D:72:EF:A2 (Asustek Computer) Nmap done: 1 IP address (1 host up) scanned in 5.81 seconds legendre# Lorsque j'utilisais iptables-legacy, je n'ai jamais observé cela. Par ailleurs, ça n'explique pas que des

Re: Trou dans un firewall (iptables nftable)

ltered udp ports (no-response) PORT STATE SERVICE 53/udpopen domain 123/udp open ntp 1/udp closed ndmp MAC Address: 50:46:5D:72:EF:A2 (Asustek Computer) Nmap done: 1 IP address (1 host up) scanned in 5.81 seconds legendre# Lorsque j'utilisais iptables-legacy, je n&#x

Re: Trou dans un firewall (iptables nftable)

Bonjour Joël, As-tu essayé d'approfondir l'analyse avec la target TRACE ? |iptables -t raw -A PREROUTING -p udp --dport 5060 -j TRACE Par ailleurs, tcpdump semble indiquer que le serveur reçoit un paquet sur le port TCP/5060 et non UDP/5060. Cordialement, Thomas | On 7/3/23 12:41

Trou dans un firewall (iptables nftable)

Bonjour à tous, Je suis en train de configurer (péniblement) un serveur asterisk qui est dans un DMZ. Tout le flux entrant sur l'IP publique est naté vers ce serveur, protégé par un firewall iptables et fail2ban. Il s'agit d'iptables et non d'iptables-le

Re: iptables vs iptables-legacy

Le 28/06/2023 à 13:05, Michel Verdier a écrit : Le 28 juin 2023 didier gaumet a écrit : [...] mais de ce que j'avais cru comprendre, il y a des frontends (tables xtables ou tables nft) à des backends (netfilter ou nft). Le backend nft serait une version révisée du backend netfilter, par la

Re: iptables vs iptables-legacy

Bonjour, Si j'en crois /usr/share/doc/iptables/README.Debian , il convient de ne pas mélanger sur un même système iptables-nft et iptables-legacy sous peine d'avoir un comportement imprévisible :-( "man iptables-legacy" et man "iprables-nft" fournissent des inf

Re: iptables vs iptables-legacy

a beauté du geste. Par ailleurs, la syntaxe iptables fonctionne > toujours pour les nftables (raison pour laquelle on se retrouve avec > iptables-legacy et iptables). Il n'y a donc aucune raison valable à ce > que les deux mécanismes cohabitent. À l'extrême limite, ce genre de >

Re: iptables vs iptables-legacy

Le 28 juin 2023 didier gaumet a écrit : > Le 28/06/2023 à 08:32, Michel Verdier a écrit : > >> Plutôt qu'une doc redhat (un comble sur cette liste) il faut utiliser la >> source : >> https://wiki.nftables.org/wiki-nftables/index.php/What_is_nftables%3F > > La plupart du temps, tu as raison, c'est

Re: iptables vs iptables-legacy

_NETFILTER* et CONFIG_NFT. Et si tout passait par netfilter, il n'y aurait pas de distingo entre iptables-legacy et iptables-nft vu que ce serait la même chose (des tables iptables attaquant un backend netfilter) Enfin, j'ai peut-être rien pigé, hein :-)

Re: iptables vs iptables-legacy

Michel Verdier a écrit : > Et d'ailleurs pourquoi mixer les outils ? Pourquoi ? Mais parce que fail2ban dans sa configuration par défaut s'est mis à utiliser nftables alors qu'il est tout à fait possible d'utiliser un firewall iptables (xtables) par ailleurs. J&#x

Re: iptables vs iptables-legacy

Le 27 juin 2023 BERTRAND Joël a écrit : > NoSpam a écrit : >> Bonsoir >> >> https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#using_iptables_nft > > Merci. > > Mais ça ne répond pas

Re: iptables vs iptables-legacy

C' est ce que j' ai compris ⁣-- Daniel Huhardeaux​ Le 27 juin 2023 à 20:52, à 20:52, "BERTRAND Joël" a écrit: >NoSpam a écrit : >> Bonsoir >> >> >https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with

Re: iptables vs iptables-legacy

NoSpam a écrit : > Bonsoir > > https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#using_iptables_nft Merci. Mais ça ne répond pas trop à ma question sauf s'il faut comprendre entre les lignes que les p

Re: iptables vs iptables-legacy

Bonsoir https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#using_iptables_nft peut aider à comprendre. Perso j'ai basculer sur nftables. Le 27/06/2023 à 18:46, BERTRAND Joël a écrit : Bonsoir à tous, J'a

iptables vs iptables-legacy

Bonsoir à tous, J'ai toujours écrit mes firewalls à la main. Aujourd'hui, un script charge au démarrage le contenu de /var/lib/iptables/active au travers de iptables (nf_tables). Or iptables-legacy est toujours disponible. J'avoue avoir un peu de m

Re: Re : Re: Formation iptables / netfilter

Bonsoir, iptables-translate permet de générer les règles au format iptables https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_to_nftables Le 23/11/2022 à 19:51, Hugues Larrive a écrit : --- Original Message --- Le mercredi 23 novembre 2022 à 18:58, Frederic

Re : Re: Formation iptables / netfilter

pas l'Île-de-France :-( > Je suis également intéressé mais trop loin (600 Km). Il est vrai que la documentation sur nftables est encore rare sur le web malgré 8 ans d'existence ce qui nuit grandement à l'abandon de la couche de compatibilité iptables. Donc la mise en ligne d

Re: Formation iptables / netfilter

mation d'un atelier iptables / netfilter le samedi 3 décembre, > > > en île de France proche Paris par une association du Libre : > > > http://www.agendadulibre.org/events/26305 > > On Wednesday 23 November 2022 13:32:26 NoSpam wrote : > > Pour information, iptabl

Re: Formation iptables / netfilter

> > Une information d'un atelier iptables / netfilter le samedi 3 décembre, > > en île de France proche Paris par une association du Libre : > > http://www.agendadulibre.org/events/26305 On Wednesday 23 November 2022 13:32:26 NoSpam wrote : > Pour information, iptables

Re: Formation iptables / netfilter

Bonjour Le 23/11/2022 à 11:14, ajh-valmer a écrit : Hello, Une information d'un atelier iptables / netfilter le samedi 3 décembre, en île de France proche Paris par une association du Libre : http://www.agendadulibre.org/events/26305 Pour information, iptables a été abandonné au prof

Formation iptables / netfilter

Hello, Une information d'un atelier iptables / netfilter le samedi 3 décembre, en île de France proche Paris par une association du Libre : http://www.agendadulibre.org/events/26305 Bonne journée.

Re: Firewall iptables qui ne bloque pas le port 53

- Mail original - > De: "JUPIN Alain" > À: "Liste Debian" > Envoyé: Jeudi 21 Avril 2022 09:26:49 > Objet: Firewall iptables qui ne bloque pas le port 53 > Bonjour, > Je vous soumet un petit problème ... sur une install Debian 11, j'a

Firewall iptables qui ne bloque pas le port 53

publique). Voici donc les règles de mon firewall # Politique par defaut iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT ACCEPT ip6tables -t filter -P INPUT DROP ip6tables -t filter -P FORWARD DROP ip6tables -t

Re: [HS] iptables et fork tail syslog

n a écrit : Bonjour, Je cherche le moyen de lancer un truc du genre à la fin de mon script iptables, mais ça ne veux pas. gnome-terminal -e 'tail -f /var/log/syslog' & L'un de vous à une idée ou une autre solution pour ouvrir un terminal après le passage des règles ? -- david martin

Re: [HS] iptables et fork tail syslog

>Avec tmux je fais un truc dans le genre pour mettre a jour les aliases > >postfix: > > ># split with 10 lines > >test -n "$TMUX_PANE" && tmux split-window -l 10 ssh "root@${SERV}" tail > -f /var/log/messages /var/log/maillog > ># update postfix aliases > >ssh "root@${SERV}" "postalias $FILE && ech

Re: [HS] iptables et fork tail syslog

L'intérêt est de lancer un terminal après et non avant, et d'avoir un terminal qui s'ouvre sur mon tail ! Que ce soit pour des logs applicatifs ou iptables c'est l'idée. Le mer. 5 mai 2021 à 12:05, Bernard Schoenacker a écrit : > > - Mail original -

Re: [HS] iptables et fork tail syslog

Le 05 May 2021 a 12:05:45 +0200, Bernard Schoenacker a écrit : Bonjour David, > > > Bonjour, > > > Je cherche le moyen de lancer un truc du genre à la fin de mon script > > iptables, mais ça ne veux pas. > > > gnome-terminal -e 'tail -f /var/log/syslog

Re: [HS] iptables et fork tail syslog

- Mail original - > De: "David Martin" > À: "debian-user-french@lists.debian.org French" > > Envoyé: Mercredi 5 Mai 2021 10:55:36 > Objet: [HS] iptables et fork tail syslog > Bonjour, > Je cherche le moyen de lancer un truc du genre à la

Re: [HS] iptables et fork tail syslog

Bonjour, Le 05/05/2021 à 10:55, David Martin a écrit : > Bonjour, > > Je cherche le moyen de lancer un truc du genre à la fin de mon script > iptables, mais ça ne veux pas. > > gnome-terminal -e 'tail -f /var/log/syslog' & > > L'un de vous à un

[HS] iptables et fork tail syslog

Bonjour, Je cherche le moyen de lancer un truc du genre à la fin de mon script iptables, mais ça ne veux pas. gnome-terminal -e 'tail -f /var/log/syslog' & L'un de vous à une idée ou une autre solution pour ouvrir un terminal après le passage des règles ? -- david martin

Re: iptables ou nftables ?

Merci à tous pour les réponses. La réécriture avec nftables m'obligera à repenser mes règles iptables, au fond ce n'est pas plus mal. François

Re: iptables ou nftables ?

>> Comment appréhender la phrase : " Iptables n'est plus qu'une façade ? " >> Je dois crépir ou décrépir mes configurations Iptables ? > Depuis Debian Buster, iptables (+ip6tables+arptables+ebtables) utilise > nftables comme back-end. > C'est

Re: iptables ou nftables ?

Sun, 7 Jun 2020 14:23:20 +0200 G2PC écrivait : > > > nftables est le nouveau standard de contrôle du trafic réseau. > > Sur une Debian Testing, iptables n'est plus qu'une façade pour nftables. > > C'est le cas depuis Debian Buster (stable actuelle)

Re: iptables ou nftables ?

> nftables est le nouveau standard de contrôle du traffic réseau. > Sur une Debian Testing, iptables n'est plus qu'une façade pour nftables. > C'est le cas depuis Debian Buster (stable actuelle). Comment appréhender la phrase : " Iptables n'est plus qu'un

Re: iptables ou nftables ?

Wed, 27 May 2020 18:00:41 +0200 Francois Meyer écrivait : > Bonjour à tous > > Je vois que iptables est "remplacé" par nftables. > > C'est pour un portable de travail sous testing. Mon ancien avait > iptables et toutes les règles qui me vont bien. > >

Re: iptables ou nftables ?

Wed, 27 May 2020 18:00:41 +0200 Francois Meyer écrivait : > Bonjour à tous Bonjour François, > Je vois que iptables est "remplacé" par nftables. Je vois que ta quetion est restée sans réponse. > C'est pour un portable de travail sous testing. Mon ancien avait > ip

Recherche de fainéant pour recommander Iptables / Netfilter au SILL

Recherche de fainéant pour recommander Iptables / Netfilter au SILL ( Fainéant / Référent ) J'ai testé le dépôt du SILL hier, pour une recherche sur Iptables / Firewall / pare-feu, car je cherchais un outil d'analyse de log, et, je n'ai rien trouvé. J'ai constaté que u

iptables ou nftables ?

Bonjour à tous Je vois que iptables est "remplacé" par nftables. C'est pour un portable de travail sous testing. Mon ancien avait iptables et toutes les règles qui me vont bien. Je n'ai pas tellement envie d'apprendre une nouvelle syntaxe. Ne ferais-je pas mieux d

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 10/10/2019 à 19:58, G2PC a écrit : Voilà, cette partie a été traitée. J'ai également remplacé : -A INPUT -p tcp --sport 49152:65534 --dport 49152:65534 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT par -A INPUT -p tcp --sport 49152:65534 --dport 49152:65534 -m state --state ESTABLISHE

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

, comme l'a rappelé > Pascal, il faut faire attention à bien autoriser le protocole NDP qui > reprend, entre autre, le rôle d'ARP en IPv4 et qui s'appuie sur de > l'ICMPv6. Autant en IPv4 tu ne peux pas bloquer l'ARP avec iptables, > autant en IPv6 c'est a

Re: Script Iptables pour serveur web Apache2 MySQL ProFTPD avec Port Knocking pour SSH

nt Commande :    TYPE I Réponse :    200 Type paramétré à I Commande :    PASV Réponse :    227 Entering Passive Mode (139,99,173,195,202,139). Commande :    LIST Erreur :    Connection interrompue après 20 secondes d'inactivité Il faudrait vérifier le port source utilisé par le client pour

Re: Script Iptables pour serveur web Apache2 MySQL ProFTPD avec Port Knocking pour SSH

er... Commande :    PWD Réponse :    257 "/" est le répertoire courant Commande :    TYPE I Réponse :    200 Type paramétré à I Commande :    PASV Réponse :    227 Entering Passive Mode (139,99,173,195,202,139). Commande :    LIST Erreur :    Connection interrompue après 20 secondes d

Re: Script Iptables pour serveur web Apache2 MySQL ProFTPD avec Port Knocking pour SSH

Le 24/09/2019 à 23:46, G2PC a écrit : Par exemple, pour ProFTPD, il me semble avoir configuré correctement le service, mais, le client FileZilla ne semble pas réussir à se connecter lors de toutes ses tentatives. Actuellement, j'arrive régulièrement à me connecter au client FTP, mais, pas à 100%

Script Iptables pour serveur web Apache2 MySQL ProFTPD avec Port Knocking pour SSH

Merci à tous pour vos précédents retours concernant ICMP. J'ai pu avancer, à mon niveau, avec les quelques règles Iptables suivantes. Situation : Serveur VPS OVH - Apache2 MariaDB ProFTPd - Pas de serveur de mail à proprement parler ( Un peu de Exim4 ici et de mutt / mailx par la. ) J

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

le port ssh et tu verras la diminution drastique des tentatives (iptables log les connexions vers mes ports exotiques). Personnellement, en dehors des ports réputés figés, aucun service ne tourne sur les ports traditionnels. C'est peut-être du "sentiment de sécurité" mais

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 24/09/19 à 17:27, Daniel Huhardeaux a écrit : > Modifier le port de connexion de services connus comme ssh + > identification par clé suffit pour ne pas avoir à rajouter une couche. En quoi changer le port améliorerait la sécurité ? > Personnellement, en dehors des ports réputés figés, aucun

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

bien te croire, mais, il va falloir que je > vérifie, comment faire pour l'activer, et, pour vérifier son activation. > > > De mon côté, j'ai rajouté le Port Knocking par Iptables, que j'ai placé > tout à la fin de mon script, juste au dessus

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

27;en vois passer des tonnes, mais c'est pas laisser qq connexions ouvertes sans y répondre qui charge la machine (installer fail2ban a en revanche un coût, faut analyser les logs et ajouter des règles iptables, c'est négligeable mais supérieur à ne rien faire, donc sans intérêt si les b

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

ifie, comment faire pour l'activer, et, pour vérifier son activation. > > > > > > De mon côté, j'ai rajouté le Port Knocking par Iptables, que j'ai placé > > tout à la fin de mon script, juste au dessus de COMMIT. > > Ça a l'air fonctionnel, mais, j&

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

s'appuie sur de l'ICMPv6. Autant en IPv4 tu ne peux pas bloquer l'ARP avec iptables, Mais on peut assez souvent oublier d'autoriser le trafic DHCP. Par chance (?), les clients DHCP comme dhclient injectent et capturent les paquets directement sur l'interface réseau sa

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

J'ai bien compris que le Port Knocking n'est pas réellement de la sécurité mais surtout de l'obfuscation. J'ai voulu le mettre en place tout de même. Oui pour fail2ban, il est en place mais je dois renforcer les règles. Le 21/09/2019 à 21:42, Daniel Huhardeaux a écrit : > Oublie le port knocking.

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

r son activation. De mon côté, j'ai rajouté le Port Knocking par Iptables, que j'ai placé tout à la fin de mon script, juste au dessus de COMMIT. Ça a l'air fonctionnel, mais, j'ai l'impression que ça manque de réactivité, et, je me demande si je n'ai pas des règl

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

ai rajouté le Port Knocking par Iptables, que j'ai placé tout à la fin de mon script, juste au dessus de COMMIT. Ça a l'air fonctionnel, mais, j'ai l'impression que ça manque de réactivité, et, je me demande si je n'ai pas des règles qui pourraient entrer en conflit, comp

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 21/09/2019 à 12:39, G2PC a écrit : # Mon serveur ne retrouve pas les deux lignes de configuration suivantes, que je commente. A SUIVRE ! # sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_tcp_loose: Aucun fichier ou dossier de ce type # sysctl: cannot stat /proc/sys/net/netfilter/nf

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

_un_serveur_distant Le 21/09/2019 à 12:14, Daniel Huhardeaux a écrit : > Le 20/09/2019 à 18:57, G2PC a écrit : >> Quel est le rôle de : >> # This server is a GW for Intranet >> $IPTABLES -t nat    -A POSTROUTING  -j MASQUERADE >> >> Le 18/09/2019 à 18:50, Dan

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 20/09/2019 à 18:57, G2PC a écrit : Quel est le rôle de : # This server is a GW for Intranet $IPTABLES -t nat    -A POSTROUTING  -j MASQUERADE Le 18/09/2019 à 18:50, Daniel Huhardeaux a écrit : # This server is a GW for Intranet $IPTABLES -t nat    -A POSTROUTING  -j MASQUERADE

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Quel est le rôle de : # This server is a GW for Intranet $IPTABLES -t nat    -A POSTROUTING  -j MASQUERADE Le 18/09/2019 à 18:50, Daniel Huhardeaux a écrit : > # This server is a GW for Intranet > $IPTABLES -t nat    -A POSTROUTING  -j MASQUERADE

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 18/09/2019 à 18:12, G2PC a écrit : Ok super, je vais faire comme tu le proposes. Enregistrer le fichier regles-iptables-inactives doit permettre de revenir rapidement en arrière en cas de blocage, je suppose. Plus simple, faire un script comme # Flush all $IPTABLES -F $IPTABLES -X

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Ok super, je vais faire comme tu le proposes. Enregistrer le fichier regles-iptables-inactives doit permettre de revenir rapidement en arrière en cas de blocage, je suppose. Ok pour * filter que je vais commenter. Par contre, sur certains tutoriels, je lisais qu'il était conseillé d'

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 18/09/2019 à 17:41, G2PC a écrit : Très bien je prend note, j'appliquerais après avoir flush : sudo iptables -P INPUT ACCEPT sudo iptables -P FORWARD ACCEPT sudo iptables -P OUTPUT ACCEPT Non ! Les flush, puis: sudo iptables -A INPUT ACCEPT sudo iptables -A FORWARD ACCEPT sudo ipt

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Très bien je prend note, j'appliquerais après avoir flush : sudo iptables -P INPUT ACCEPT sudo iptables -P FORWARD ACCEPT sudo iptables -P OUTPUT ACCEPT Si * filter est implicite, je n'ai donc pas à l'ajouter dans mon script , on est bien d'accord sur ce point ? Merci pour

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

ette règle avant de flush, ton avis ? sudo iptables -P INPUT ACCEPT sudo iptables -P FORWARD ACCEPT sudo iptables -P OUTPUT ACCEPT Je le fais après le flush puis sauve les règles iptables dans un fichier nommé inactive (c'est mon truc pour avoir quelque part zéro règles, jamais utilisé) pu

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

is ? sudo iptables -P INPUT ACCEPT sudo iptables -P FORWARD ACCEPT sudo iptables -P OUTPUT ACCEPT Ensuite, pour le début du script, je mettrais : # Début de la règle. *filter # Fermer tous les ports pour les connexions entrantes. # REJECT les paquets est plus propre mais DROP est plus sécurisé

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#R.C3.A8gle_personnalis.C3.A9e_propos.C3.A9e_pour_configurer_Iptables_par_d.C3.A9faut >> > > Mais tu ne DROP _PAS_ par défaut. Tes règles devraient commencer par: > > # Flush all Rules > $IPTABLES   

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

index.php?title=Configurer_le_pare-feu_Iptables#R.C3.A8gle_personnalis.C3.A9e_propos.C3.A9e_pour_configurer_Iptables_par_d.C3.A9faut Mais tu ne DROP _PAS_ par défaut. Tes règles devraient commencer par: # Flush all Rules $IPTABLES -F $IPTABLES -X $IPTABLES -t nat

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

e bloque tout ce dont je n'ai pas besoin, mais, que IPV6 >> en aurait besoin, je ne suis pas plus avancé. > > iptables est pour ipv4 ip6tables est pour ipv6, ce ne sont pas les > mêmes commandes. Pour nft n'utilises pas inet mais ip ou ipv6 si tu > veux différencier. > &

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 17/09/2019 à 12:12, G2PC a écrit : Bonjour, Du coup, si je bloque tout ce dont je n'ai pas besoin, mais, que IPV6 en aurait besoin, je ne suis pas plus avancé. iptables est pour ipv4 ip6tables est pour ipv6, ce ne sont pas les mêmes commandes. Pour nft n'utilises pas inet mais

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Également pour bloquer le multicast ? Quelle méthode préférer, les deux ? # Si nécessaire, tenter de logger tout paquet igmp sans spécifier de source pour voir ce que ça donne dans "/var/log/syslog". # iptables -A INPUT -p igmp -j LOG --log-level info --log-prefix "IGMP: " # L'IG

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 16/09/2019 à 12:57, G2PC a écrit : Bonjour, Je ne pense pas en avoir besoin pour le moment, d'utiliser le multicast, il me semble de ce fait inutile de l'autoriser dans ma configuration Iptables ? Il ne s'agit pas de penser mais de savoir. Si tu n'utilises pas le mu

Faut t'il bloquer le Multicast - IGMP avec Iptables

Bonjour, Je ne pense pas en avoir besoin pour le moment, d'utiliser le multicast, il me semble de ce fait inutile de l'autoriser dans ma configuration Iptables ? Par contre, je trouve deux types de règles via mes recherches, et, je ne suis pas très sur de la bonne façon de l'

Re: Exemple iptables ultimes

même avoir à "tweaker" la configuration iptables et du kernel, J'ai eu une machine à base d'Atom (N270 si je dis pas trop de bêtises) qui "nattait" sans sourciller 200Mb/s il y a 3 ans, mais la machine datait de 8 ou 9 ans. Donc un i3 ou i5 moderne, la question ne se pose

Re: Exemple iptables ultimes

Voici un lien [1] qui traite du sujet. [1] https://geekeries.org/2017/12/configuration-avancee-du-firewall-iptables/ Le mar. 10 sept. 2019 à 18:01, Olivier a écrit : > Hello, > > Je viens bientôt installer plusieurs machines sous Stretch ou Buster qui > vont hériter d'une IP p

Exemple iptables ultimes

ipalement assurer le routage de réseaux locaux avec l'ambition d'offrir les meilleures performances possibles (pour fixer un ordre de grandeur, je dirai qu'elles doivent pouvoir NATer un traffic de.l'ordre de 500Mb/s). Quelqu'un aurait-il un exemple de configuration ipt

Re: Retour d'expérience sur la geo-localisation par iptables

Le mardi 30 juillet 2019 à 13:57 +0200, Ph. Gras a écrit : > Si le trafic est effectivement destiné à être circonscrit à une zone > géographique spécifiée, il conviendrait plutôt d'exclure toutes les > zones à l'exception de la zone cible. On peut le faire efficacement > dans la configuration de so

Re: Retour d'expérience sur la geo-localisation par iptables

h/bannir-definitivement-ip-bannies-frequemment-fail2ban/ Ce système a au moins l’avantage de ne pas trop ralentir le traitement mais il faut bien savoir qu’il n’existe aucun système efficace à 100%. > >>> >>> J'envisage de protéger quelques serveurs par des règles iptables

Re: Retour d'expérience sur la geo-localisation par iptables

Mais ça ne dure que le temps que le contexte s'apaise et que la situation revienne à la normale. >> >> J'envisage de protéger quelques serveurs par des règles iptables rejetant >> des requêtes ne provenant pas de certains pays. Si le trafic est effectivement destiné à êtr

Re: Retour d'expérience sur la geo-localisation par iptables

elques serveurs par des règles iptables rejetant des > requêtes ne provenant pas de certains pays. > > Comme ces serveurs sont à destination de clients français, j'ai en tête de > rejeter la terre entière sauf la France et quelques pays où des clients > passeraient leurs vacan

Retour d'expérience sur la geo-localisation par iptables

Bonjour, J'envisage de protéger quelques serveurs par des règles iptables rejetant des requêtes ne provenant pas de certains pays. Comme ces serveurs sont à destination de clients français, j'ai en tête de rejeter la terre entière sauf la France et quelques pays où des clients passera

Re: [résolu] HS: iptables interface de sortie par la même que l'entrée.

ieurs centaine. > > Alors ipset est probablement plus efficace que des centaines de règles. oui je suis en train de regarder, ça semble plus optimisé en effet :) et pas difficile a mettre en place. > >>> Tu peux factoriser l'adresse grâce à une autre chaîne utilisateur. >&

Re: [quasi résolu] HS: iptables interface de sortie par la même que l'entrée.

ligne ? Comment ça, par host ? Il y en a d'autres ? oui, quelques uns. Combien ? plusieurs centaine. Alors ipset est probablement plus efficace que des centaines de règles. Tu peux factoriser l'adresse grâce à une autre chaîne utilisateur. ??? iptables -t mangle -N ROUTIN

Re: [quasi résolu] HS: iptables interface de sortie par la même que l'entrée.

Le 17/04/2019 à 21:51, Pascal Hambourg a écrit : >>> ) >> Par contre, l'inconvénient est que du coup j'ai 2 lignes par host au >> lieu d'une seul du coup ça va me doubler toute les rules. Je ne pense >> pas qu'on puisse réduire ça en une ligne ? > > Comment ça, par host ? Il y en a d'autres ? oui

Re: [quasi résolu] HS: iptables interface de sortie par la même que l'entrée.

Le 17/04/2019 à 18:14, Jérémy Prego a écrit : Le 17/04/2019 à 07:27, Pascal Hambourg a écrit : Le 16/04/2019 à 18:44, Jérémy Prego a écrit : iptables -t mangle -A ROUTING-POLICY -d jeremy.domain.net -m conntrack --ctstate NEW -j CONNMARK --set-mark 0x1 iptables -t mangle -A ROUTING-POLICY -d

Re: [quasi résolu] HS: iptables interface de sortie par la même que l'entrée.

Le 17/04/2019 à 07:27, Pascal Hambourg a écrit : >> Le 16/04/2019 à 18:44, Jérémy Prego a écrit : >>> j'ai testé ça qui ne fonctionne pas non plus: >>> iptables -t mangle -D ROUTING-POLICY -d jeremy.domain.net -m conntrack >>> --ctstate NEW -j CONNMARK --

Re: HS: iptables interface de sortie par la même que l'entrée.

Le 17/04/2019 à 07:27, Pascal Hambourg a écrit : > Le 16/04/2019 à 18:44, Jérémy Prego a écrit : >> >> j'ai testé ça qui ne fonctionne pas non plus: >> iptables -t mangle -D ROUTING-POLICY -d jeremy.domain.net -m conntrack >> --ctstate NEW -j CONNMARK --set-m

Re: HS: iptables interface de sortie par la même que l'entrée.

Le 16/04/2019 à 18:44, Jérémy Prego a écrit : j'ai testé ça qui ne fonctionne pas non plus: iptables -t mangle -D ROUTING-POLICY -d jeremy.domain.net -m conntrack --ctstate NEW -j CONNMARK --set-mark 0x1 iptables -t mangle -A ROUTING-POLICY -d jeremy.domain.net -j CONNMARK --restore-markc

Re: HS: iptables interface de sortie par la même que l'entrée.

j'ai trouvé et adapté une règles comme ça: iptables -t mangle -A ROUTING-POLICY -d jeremy.domain.net -m conntrack --ctstate NEW -j CONNMARK --set-mark 0x3 iptables -t mangle -A ROUTING-POLICY -j CONNMARK --restore-mark vu que ça ne correspond pas tout à fait à ce que tu indiques plus haut

Re: HS: iptables interface de sortie par la même que l'entrée.

trouvé et adapté ici et là ... >> >> par exemple j'ai trouvé et adapté une règles comme ça: >> iptables -t mangle -A ROUTING-POLICY -d jeremy.domain.net -m conntrack >> --ctstate NEW -j CONNMARK --set-mark 0x3 >> iptables -t mangle -A ROUTING-POLICY -j CONNMAR

Re: HS: iptables interface de sortie par la même que l'entrée.

. pourrais-tu m'éclaircir sur cette partie en me fournissant un exemple de règle ? je trouve rien qui correspond vraiment après avoir testé plusieurs règles trouvé et adapté ici et là ... par exemple j'ai trouvé et adapté une règles comme ça: iptables -t mangle -A ROUTING-POLICY -d jeremy.

Re: HS: iptables interface de sortie par la même que l'entrée.

sur cette partie en me fournissant un exemple de règle ? je trouve rien qui correspond vraiment après avoir testé plusieurs règles trouvé et adapté ici et là ... par exemple j'ai trouvé et adapté une règles comme ça: iptables -t mangle -A ROUTING-POLICY -d jeremy.domain.net -m conntrack --c

Re: HS: iptables interface de sortie par la même que l'entrée.

wan0, ça reparte par la même interface et que ça ne passe pas par les >> règle que j'ai mis pour l'output ? > > >> pour rappel, un petit exemple de ce que je fais: >> ##routage alternatif >> iptables -t mangle -N ROUTING-POLICY >> iptables -t mangle

  1   2   3   4   5   6   7   8   9   10   >