iptables : charger un fichier

Le
Tahar
--0-925961689-1179936583=:3959
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit

Bonjour à tous,

Voilà je voudrais vous demander comment charger un script iptables au démarrage du service iptables, j'ai créer un script, mais j'ai oublié comment faire pour le charger, iptables démarrage automatiquement au démarrage de la machine et je voudrais que mon fichier soit chargé à chaque démarrage.

merci pour votre aide

--0-925961689-1179936583=:3959
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: 8bit

Bonjour à tous,<br><br>Voilà je voudrais vous demander comment charger un script iptables au démarrage du service iptables, j'ai créer un script, mais j'ai oublié comment faire pour le charger, iptables démarrage automatiquement au démarrage de la machine et je voudrais que mon fichier soit chargé à chaque démarrage.<br><br>merci pour votre aide<br>
--0-925961689-1179936583=:3959--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Franck Joncourt
Le #9553821
--rJwd6BRFiFCcLxzm
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Wed, May 23, 2007 at 06:09:43PM +0200, Tahar wrote:
Bonjour tous,

Voil je voudrais vous demander comment charger un script iptables au d m arrage
du service iptables, j'ai cr er un script, mais j'ai oubli comment faire pour
le charger, iptables d marrage automatiquement au d marrage de la machine et je
voudrais que mon fichier soit charg chaque d marrage.



Le script mon script est place dans le repertoire /etc/init.d/ avec ses
amis.

# chmod 755 monscript

Ensuite, il faut preciser au systeme quand lancer le script en fonction
des differents runlevels :

# update-rc.d monscript start 98 2 3 4 5 . stop 24 0 1 6 .

monscript demarre au niveau 98 pour les runlevels 2 3 4 5 et s'arrete au
niveau 24 pour les runlevels 0 1 6.

Voici un exemple :
/etc/rc0.d/K09apache2
/etc/rc1.d/K09apache2
/etc/rc2.d/S91apache2
/etc/rc3.d/S91apache2
/etc/rc4.d/S91apache2
/etc/rc5.d/S91apache2
/etc/rc6.d/K09apache2

S pour Start et K pour Kill suivi du niveau, soit 91 pour start et 09
pour stop.

Si tu veux l'enlever :
# update-rc.d -f monscript remove

Un fichier d'exemple est present dans /etc/init.d/ sous le nom
*skeleton*.

--
Franck Joncourt
http://www.debian.org - http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--rJwd6BRFiFCcLxzm
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFGVISTxJBTTnXAif4RAq1bAJsExcqIVdcz72WuBMb1C2UWbukKGQCfQAc6
u1BEeoNkj4UlXHJngvdnY5s =sU0i
-----END PGP SIGNATURE-----

--rJwd6BRFiFCcLxzm--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
debian-mail
Le #9553801
Franck Joncourt wrote:
On Wed, May 23, 2007 at 06:09:43PM +0200, Tahar wrote:

Bonjour tous,

Voil je voudrais vous demander comment charger un script iptables au d marrage
du service iptables, j'ai cr er un script, mais j'ai oubli comment faire pour
le charger, iptables d marrage automatiquement au d marrage de la machine et je
voudrais que mon fichier soit charg chaque d marrage.




Le script mon script est place dans le repertoire /etc/init.d/ avec ses
amis.

# chmod 755 monscript

Ensuite, il faut preciser au systeme quand lancer le script en fonction
des differents runlevels :

# update-rc.d monscript start 98 2 3 4 5 . stop 24 0 1 6 .

monscript demarre au niveau 98 pour les runlevels 2 3 4 5 et s'arrete au
niveau 24 pour les runlevels 0 1 6.

Voici un exemple :
/etc/rc0.d/K09apache2
/etc/rc1.d/K09apache2
/etc/rc2.d/S91apache2
/etc/rc3.d/S91apache2
/etc/rc4.d/S91apache2
/etc/rc5.d/S91apache2
/etc/rc6.d/K09apache2

S pour Start et K pour Kill suivi du niveau, soit 91 pour start et 09
pour stop.

Si tu veux l'enlever :
# update-rc.d -f monscript remove

Un fichier d'exemple est present dans /etc/init.d/ sous le nom
*skeleton*.




Tu peux également utiliser l'option post-up dans ton fichier
/etc/network/interfaces


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Michel Grentzinger
Le #9553781
Le mercredi 23 mai 2007 18:09, Tahar a écrit :
Bonjour à tous,

Voilà je voudrais vous demander comment charger un script iptables au
démarrage du service iptables, j'ai créer un script, mais j'ai oublié
comment faire pour le charger, iptables démarrage automatiquement au
démarrage de la machine et je voudrais que mon fichier soit chargà © à chaque
démarrage.



J'ai mis ceci dans mon /etc/network/interfaces :

auto eth0
iface eth0 inet static
address 62.147.165.84
netmask 255.255.255.0
gateway 62.147.165.254
pre-up /etc/network/netfilter $IFACE $IF_ADDRESS

Comme ça, le script est chargé juste avant la connection.

--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net
Pascal Hambourg
Le #9553731
Salut,

debian-mail a écrit :

Tu peux également utiliser l'option post-up dans ton fichier
/etc/network/interfaces



Oui, si les règles sont liées à une interface. Sinon ce n'est pas très
cohérent. (J'avoue, dans le même registre j'ai quand même ajouté une
route IPv6 qui n'a rien à voir avec une option 'up' de l'interface de
loopback. Je suis mauvais, /très/ mauvais.)

Ou bien le script peut être placé dans /etc/ppp/ip-up.d/ s'il est lié à
une interface PPP, afin que les règles iptables soient créées à
l'établissement de la connexion, éventuellement en tenant compte du nom
de l'interface, des adresses locale et distante... Dans ce cas ne pas
oublier le script réciproque dans /etc/ppp/ip-down.d/ qui efface les
règles créées à la déconnexion. J'ai une petite astuce : c'est le même
script avec une variable de shell qui contient "-A" pour la création et
"-D" pour la suppression.

Note :
Michel propose pre-up plutôt que post-up. Cela dépend de la stratégie de
filtrage. Si on a tout bloqué par défaut avant, par exemple dans un
script de /etc/init.d, et que le script ajoute des règles ACCEPT, on
peut l'exécuter après l'activation de l'interface (post-up). Si en
revanche on accepte tout par défaut et que le script ajoute des
restrictions avec des règles DROP ou REJECT, alors évidemment il vaut
mieux l'exécuter avant l'activation de l'interface (pre-up). Inutile de
préciser que dans une optique de sécurité la première solution,
consistant à tout bloquer par défaut avant l'activation des interfaces,
est préférable.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck Joncourt
Le #9553711
--DrWhICOqskFTAXiy
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Wed, May 23, 2007 at 10:29:56PM +0200, Pascal Hambourg wrote:
Salut,

debian-mail a écrit :
>
>Tu peux également utiliser l'option post-up dans ton fichier
>/etc/network/interfaces

Oui, si les règles sont liées à une interface. Sinon ce n' est pas très
cohérent. (J'avoue, dans le même registre j'ai quand même ajouté une
route IPv6 qui n'a rien à voir avec une option 'up' de l'interface d e
loopback. Je suis mauvais, /très/ mauvais.)

Ou bien le script peut être placé dans /etc/ppp/ip-up.d/ s'il e st lié à
une interface PPP, afin que les règles iptables soient créà ©es à
l'établissement de la connexion, éventuellement en tenant compt e du nom
de l'interface, des adresses locale et distante... Dans ce cas ne pas
oublier le script réciproque dans /etc/ppp/ip-down.d/ qui efface les
règles créées à la déconnexion. J'ai une petite astuce : c'est le
même script avec une variable de shell qui contient "-A" pour la cr éation
et "-D" pour la suppression.




Pour ma part, je mets en place mes regles iptables avant l'etablissement
de mes connexions reseaux mais sans jouer avec le up/down des interfaces
reseaux ; je n'en ai pas l'utilité meme si je pourrais economiser
quelques ressources. Du coup, je dirais que mes regles sont
*persistantes*. Dans quels cas est il interessant de mettre des regles
dynamiques ?

--
Franck Joncourt
http://www.debian.org - http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--DrWhICOqskFTAXiy
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFGVKtZxJBTTnXAif4RAm8IAJ9N1p44kFIMW+nLJOAOjEnWejfC5ACgzMjL
QTznyiRgrLKitFX2L6g2Tdc =eT5Q
-----END PGP SIGNATURE-----

--DrWhICOqskFTAXiy--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Le #9553641
Franck Joncourt a écrit :

Pour ma part, je mets en place mes regles iptables avant l'etablissement
de mes connexions reseaux mais sans jouer avec le up/down des interfaces
reseaux ; je n'en ai pas l'utilité meme si je pourrais economiser
quelques ressources. Du coup, je dirais que mes regles sont
*persistantes*. Dans quels cas est il interessant de mettre des regles
dynamiques ?



Le cas le plus évident est celui des interfaces dynamiques comme les
liaisons PPP, tunnels, VPN... dont l'adresse, les routes attachées,
voire le nom sont dynamiques (non connus à l'avance) et qui entraînent
des règles iptables dynamiques. Il est certain que ce n'est en revanche
pas très intéressant dans le cas d'une interface ethernet en
configuration statique.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jacques L'helgoualc'h
Le #9553551
Pascal Hambourg a écrit, jeudi 24 mai 2007, à 00:22 :
Franck Joncourt a écrit :
[...] Dans quels cas est il interessant de mettre des regles
>dynamiques ?

Le cas le plus évident est celui des interfaces dynamiques comme les
liaisons PPP, tunnels, VPN... dont l'adresse, les routes attachées,
voire le nom sont dynamiques (non connus à l'avance) et qui entraînent
des règles iptables dynamiques.



Et encore, dans les cas simples on peut s'en passer...

Par exemple, une liaison PPP c'est en général ppp0 (mais on dispose du
nom générique ppp+), on peut s'en servir pour faire suivre vers une
chaîne Ternet_in.

Il est certain que ce n'est en revanche pas très intéressant dans le
cas d'une interface ethernet en configuration statique.



Sur mon eth 0, j'ai des ports ouverts pour quelques adresses dynamiques
... à l'autre bout.
--
Jacques L'helgoualc'h


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Le #9553521
Jacques L'helgoualc'h a écrit :
Pascal Hambourg a écrit, jeudi 24 mai 2007, à 00:22 :

Dans quels cas est il interessant de mettre des regles dynamiques ?

Le cas le plus évident est celui des interfaces dynamiques comme les
liaisons PPP, tunnels, VPN... dont l'adresse, les routes attachées,
voire le nom sont dynamiques (non connus à l'avance) et qui entraînent
des règles iptables dynamiques.



Et encore, dans les cas simples on peut s'en passer...



Oui, bien sûr. Quand il n'y a qu'une seule liaison PPP, que c'est la
seule interface vers le monde sauvage...

Par exemple, une liaison PPP c'est en général ppp0



En général, quand on n'a qu'une seule liaison PPP active à un moment
donné. Mais j'ai quand même vu quelques fois pppd merder lors d'une
reconnexion automatique après déconnexion, laissant l'ancienne interface
ppp0 (par exemple) occupée et du coup créant une nouvelle interface ppp1
(par exemple pour la nouvelle connexion. Oups si on a des règles basées
sur l'hypothèse que l'interface est toujours ppp0.

(mais on dispose du nom générique ppp+)



Ça résoud le cas précédent où il n'y a qu'une interface PPP. Mais, pour
prendre un exemple, mon routeur domestique, en plus d'avoir une
interface PPP pour la connexion ADSL, sert aussi de serveur PPTP pouvant
distribuer des adresses IP publiques à des machines du LAN en cas
d'utilisation incompatible avec le NAT, ce qui peut créer jusqu'à 4
autres interfaces PPP. Cela fait donc plusieurs interfaces dynamiques
qui peuvent être créées et donc nommées dans n'importe quel ordre. Et
bien entendu les règles iptables sont radicalement différentes pour la
connexion internet et les tunnels PPTP, et sont même différenciées pour
chaque tunnel en fonction de l'adresse attribuée au client. Donc pas
question d'utiliser ppp+.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jacques L'helgoualc'h
Le #9553441
Pascal Hambourg a écrit, jeudi 24 mai 2007, à 13:15 :
Jacques L'helgoualc'h a écrit :
> [règles iptables dynamiques]


[...]
>Par exemple, une liaison PPP c'est en général ppp0

En général, quand on n'a qu'une seule liaison PPP active à un moment
donné. Mais j'ai quand même vu quelques fois pppd merder lors d'une
reconnexion automatique après déconnexion, laissant l'ancienne interface
ppp0 (par exemple) occupée et du coup créant une nouvelle interface ppp1
(par exemple pour la nouvelle connexion. Oups si on a des règles basées
sur l'hypothèse que l'interface est toujours ppp0.



Ben oui, c'est parce que ma connexion RTC avait eu des hoquets que
j'utilise ppp+ ...

>(mais on dispose du nom générique ppp+)

Ça résoud le cas précédent où il n'y a qu'une interface PPP. Mais, pour
prendre un exemple, mon routeur domestique, en plus d'avoir une
interface PPP pour la connexion ADSL, sert aussi de serveur PPTP pouvant
distribuer des adresses IP publiques à des machines du LAN en cas
d'utilisation incompatible avec le NAT, ce qui peut créer jusqu'à 4
autres interfaces PPP. Cela fait donc plusieurs interfaces dynamiques
qui peuvent être créées et donc nommées dans n'importe quel ordre.



Ce n'est pas ce que j'entends par « cas simples » :)

Et bien entendu les règles iptables sont radicalement différentes pour
la connexion internet et les tunnels PPTP, et sont même différenciées
pour chaque tunnel en fonction de l'adresse attribuée au client. Donc
pas question d'utiliser ppp+.



Évidemment. Sauf peut-être pour (essayer d')optimiser la logique du tri
des paquets et/ou mettre en commun certaines règles.
--
Jacques L'helgoualc'h


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Le #9553391
Jacques L'helgoualc'h a écrit :

(mais on dispose du nom générique ppp+)



Ça résoud le cas précédent où il n'y a qu'une interface PPP. Mais, pour
prendre un exemple, mon routeur domestique, en plus d'avoir une
interface PPP pour la connexion ADSL, sert aussi de serveur PPTP pouvant
distribuer des adresses IP publiques à des machines du LAN en cas
d'utilisation incompatible avec le NAT, ce qui peut créer jusqu'à 4
autres interfaces PPP. Cela fait donc plusieurs interfaces dynamiques
qui peuvent être créées et donc nommées dans n'importe quel ordre.



Ce n'est pas ce que j'entends par « cas simples » :)



J'avais trop envie d'exposer un cas pratique "pas simple" illustrant
l'intérêt des règles iptables dynamiques. :-)

Et bien entendu les règles iptables sont radicalement différentes pour
la connexion internet et les tunnels PPTP, et sont même différenciées
pour chaque tunnel en fonction de l'adresse attribuée au client. Donc
pas question d'utiliser ppp+.



Évidemment. Sauf peut-être pour (essayer d')optimiser la logique du tri
des paquets



Oui, pourquoi pas. Je n'y avais pas pensé. Mais je me demande si le gain
est sensible pour une poignée d'interfaces PPP.

et/ou mettre en commun certaines règles.



Eventuellement, mais ces règles communes ne seraient probablement pas
spécifiques aux seules interfaces PPP. Pour ma part j'ai choisi l'option
"dure" : le premier tri est fait en fonction de l'interface. Du coup si
une interface n'est pas explicitement prise en compte dans les règles,
aucun trafic IP ne peut passer par elle. Les paquets sont ensuite triés
par état de suivi de connexion, puis par protocole. C'est seulement à
ces niveaux que j'ai des chaînes utilisateurs communes pour le
traitement de l'état RELATED, des types ICMP et des paquets rejetés qui
est le même quelle que soit l'interface.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme