J'ai quelques problèmes avec iptables et ntpdate ... je récupère
systématiquement :
21:52 root@ # ntpdate-debian
18 Nov 21:53:26 ntpdate[24136]: sendto(zugaina.org): Operation not permitted
18 Nov 21:53:27 ntpdate[24136]: sendto(ns36945.ovh.net): Operation not
permitted
18 Nov 21:53:27 ntpdate[24136]: sendto(time.digimedia.fr): Operation not
permitted
18 Nov 21:53:27 ntpdate[24136]: sendto(loin.ploup.net): Operation not
permitted
Il suffit que je stoppe mon firewall et tout rentre dans l'ordre.
Pourtant, j'ai les règles suivantes dans mon firewall :
iptables -A OUTPUT -o etho -p udp --sport 123 --dport 123 -m state
--state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i etho -p udp --sport 123 --dport 123 -m state
--state ESTABLISHED -j ACCEPT
Une idée d'où vient le problème ? J'ai essayé plein de trucs, sans effet ...
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
Chain OUTPUT (policy DROP 6 packets, 456 bytes)
pkts bytes target prot opt in out source
destination
20 1670 ACCEPT 0 -- * lo 0.0.0.0/0
0.0.0.0/0
181 24039 ACCEPT 0 -- * eth0 0.0.0.0/0
0.0.0.0/0 state RELATED,ESTABLISHED
15 805 ACCEPT udp -- * eth0 0.0.0.0/0
91.121.75.251
0 0 ACCEPT icmp -- * eth0 0.0.0.0/0
0.0.0.0/0 icmp type 8 limit: avg 20/sec burst 100
0 0 ACCEPT udp -- * eth0 0.0.0.0/0
0.0.0.0/0 udp dpt:53
0 0 ACCEPT udp -- * etho 0.0.0.0/0
0.0.0.0/0 udp spt:123 dpt:123 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * eth0 0.0.0.0/0
0.0.0.0/0 udp dpts:33200:33500
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:80 state NEW
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:443 state NEW
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:21 state NEW
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:22 state NEW
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:2345 state NEW
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:25 state NEW
Merci !
--
Sylvain
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
J'ai quelques problèmes avec iptables et ntpdate ... je récupère systématiquement :
21:52 root@ # ntpdate-debian 18 Nov 21:53:26 ntpdate[24136]: sendto(zugaina.org): Operation not permitted
[...]
Il suffit que je stoppe mon firewall et tout rentre dans l'ordre.
Pourtant, j'ai les règles suivantes dans mon firewall :
iptables -A OUTPUT -o etho -p udp --sport 123 --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i etho -p udp --sport 123 --dport 123 -m state --state ESTABLISHED -j ACCEPT
Une idée d'où vient le problème ?
Peut-être une option -u (utilisation d'un port source non privilégié au lieu de 123) qui traîne quelque part, par exemple dans /etc/default/ntpdate. Tu as essayé sans l'option --sport dans la règle de cla chaîne OUTPUT ?
Note : la règle dans la chaîne INPUT est inutile puisque la chaîne contient déjà une règle qui accepte tout le trafic ESTABLISHED. Même chose pour la mention de l'état ESTABLISHED dans la règle de la chaîne OUTPUT, d'ailleurs.
J'ai essayé plein de trucs, sans effet
Comme quoi, histoire de ne pas perdre de temps et de bande passante à les proposer ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
Sylvain a écrit :
J'ai quelques problèmes avec iptables et ntpdate ... je récupère
systématiquement :
21:52 root@ # ntpdate-debian
18 Nov 21:53:26 ntpdate[24136]: sendto(zugaina.org): Operation not
permitted
[...]
Il suffit que je stoppe mon firewall et tout rentre dans l'ordre.
Pourtant, j'ai les règles suivantes dans mon firewall :
iptables -A OUTPUT -o etho -p udp --sport 123 --dport 123 -m state
--state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i etho -p udp --sport 123 --dport 123 -m state
--state ESTABLISHED -j ACCEPT
Une idée d'où vient le problème ?
Peut-être une option -u (utilisation d'un port source non privilégié au
lieu de 123) qui traîne quelque part, par exemple dans
/etc/default/ntpdate. Tu as essayé sans l'option --sport dans la règle
de cla chaîne OUTPUT ?
Note : la règle dans la chaîne INPUT est inutile puisque la chaîne
contient déjà une règle qui accepte tout le trafic ESTABLISHED. Même
chose pour la mention de l'état ESTABLISHED dans la règle de la chaîne
OUTPUT, d'ailleurs.
J'ai essayé plein de trucs, sans effet
Comme quoi, histoire de ne pas perdre de temps et de bande passante à
les proposer ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
J'ai quelques problèmes avec iptables et ntpdate ... je récupère systématiquement :
21:52 root@ # ntpdate-debian 18 Nov 21:53:26 ntpdate[24136]: sendto(zugaina.org): Operation not permitted
[...]
Il suffit que je stoppe mon firewall et tout rentre dans l'ordre.
Pourtant, j'ai les règles suivantes dans mon firewall :
iptables -A OUTPUT -o etho -p udp --sport 123 --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i etho -p udp --sport 123 --dport 123 -m state --state ESTABLISHED -j ACCEPT
Une idée d'où vient le problème ?
Peut-être une option -u (utilisation d'un port source non privilégié au lieu de 123) qui traîne quelque part, par exemple dans /etc/default/ntpdate. Tu as essayé sans l'option --sport dans la règle de cla chaîne OUTPUT ?
Note : la règle dans la chaîne INPUT est inutile puisque la chaîne contient déjà une règle qui accepte tout le trafic ESTABLISHED. Même chose pour la mention de l'état ESTABLISHED dans la règle de la chaîne OUTPUT, d'ailleurs.
J'ai essayé plein de trucs, sans effet
Comme quoi, histoire de ne pas perdre de temps et de bande passante à les proposer ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean-Michel OLTRA
Bonjour,
Le dimanche 18 novembre 2007, Sylvain a écrit...
iptables -A OUTPUT -o etho -p udp --sport 123 --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i etho -p udp --sport 123 --dport 123 -m state --state ESTABLISHED -j ACCEPT
Il me semble que ntpdate attaque le port 123 en dport, mais à partir d'un port non privilégié. Donc tu pourrais supprimer le --sport dans la chaîne INPUT, et, surtout, le --dport dans la chaine OUTPUT.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonjour,
Le dimanche 18 novembre 2007, Sylvain a écrit...
iptables -A OUTPUT -o etho -p udp --sport 123 --dport 123 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i etho -p udp --sport 123 --dport 123 -m state --state
ESTABLISHED -j ACCEPT
Il me semble que ntpdate attaque le port 123 en dport, mais à partir
d'un port non privilégié. Donc tu pourrais supprimer le --sport dans la
chaîne INPUT, et, surtout, le --dport dans la chaine OUTPUT.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
iptables -A OUTPUT -o etho -p udp --sport 123 --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i etho -p udp --sport 123 --dport 123 -m state --state ESTABLISHED -j ACCEPT
Il me semble que ntpdate attaque le port 123 en dport, mais à partir d'un port non privilégié. Donc tu pourrais supprimer le --sport dans la chaîne INPUT, et, surtout, le --dport dans la chaine OUTPUT.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Sylvain
> Peut-être une option -u (utilisation d'un port source non privilégié au lieu de 123) qui traîne quelque part, par exemple dans /etc/default/ntpdate. Tu as essayé sans l'option --sport dans la règle de cla chaîne OUTPUT ?
Alors je n'ai rien vu concernant cette option -u (ou -d d'ailleurs) dans le seul fichier de conf de ntp que j'ai trouvé, à savoir justement /etc/default/ntpdate :
# The settings in this file are used by the program ntpdate-debian, but not # by the upstream program ntpdate.
# Set to "yes" to take the server list from /etc/ntp.conf, from package ntp, # so you only have to keep it in one place. NTPDATE_USE_NTP_CONF=yes
# List of NTP servers to use (Separate multiple servers with spaces.) # Not used if NTPDATE_USE_NTP_CONF is yes. NTPSERVERS="0.debian.pool.ntp.org 1.debian.pool.ntp.org 2.debian.pool.ntp.org 3.debian.pool.ntp.org"
# Additional options to pass to ntpdate NTPOPTIONS=""
J'ai enlevé également l'option --sport dans mes règles iptables, sans plus de résultat. Du coup, il ne me reste plus que : iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT pour ntp, j'ai viré la règle de la chaîne INPUT qui, effectivement, ne servait à rien.
Note : la règle dans la chaîne INPUT est inutile puisque la chaîne contient déjà une règle qui accepte tout le trafic ESTABLISHED. Même chose pour la mention de l'état ESTABLISHED dans la règle de la chaîne OUTPUT, d'ailleurs.
Je sais, je sais, mais quand je disais :
J'ai essayé plein de trucs, sans effet
je n'ai pas dit que c'était des trucs très ... intelligents ;-)
Donc, pour l'instant, je récupère toujours des : 19 Nov 08:43:06 ntpdate[1261]: sendto(ns37256.ovh.net): Operation not permitted
Merci de votre aide en tout cas !
-- Sylvain
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
> Peut-être une option -u (utilisation d'un port source non privilégié au
lieu de 123) qui traîne quelque part, par exemple dans
/etc/default/ntpdate. Tu as essayé sans l'option --sport dans la règle
de cla chaîne OUTPUT ?
Alors je n'ai rien vu concernant cette option -u (ou -d d'ailleurs) dans
le seul fichier de conf de ntp que j'ai trouvé, à savoir justement
/etc/default/ntpdate :
# The settings in this file are used by the program ntpdate-debian, but not
# by the upstream program ntpdate.
# Set to "yes" to take the server list from /etc/ntp.conf, from package ntp,
# so you only have to keep it in one place.
NTPDATE_USE_NTP_CONF=yes
# List of NTP servers to use (Separate multiple servers with spaces.)
# Not used if NTPDATE_USE_NTP_CONF is yes.
NTPSERVERS="0.debian.pool.ntp.org 1.debian.pool.ntp.org
2.debian.pool.ntp.org 3.debian.pool.ntp.org"
# Additional options to pass to ntpdate
NTPOPTIONS=""
J'ai enlevé également l'option --sport dans mes règles iptables, sans
plus de résultat. Du coup, il ne me reste plus que :
iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT
pour ntp, j'ai viré la règle de la chaîne INPUT qui, effectivement, ne
servait à rien.
Note : la règle dans la chaîne INPUT est inutile puisque la chaîne
contient déjà une règle qui accepte tout le trafic ESTABLISHED. Même
chose pour la mention de l'état ESTABLISHED dans la règle de la chaîne
OUTPUT, d'ailleurs.
Je sais, je sais, mais quand je disais :
J'ai essayé plein de trucs, sans effet
je n'ai pas dit que c'était des trucs très ... intelligents ;-)
Donc, pour l'instant, je récupère toujours des :
19 Nov 08:43:06 ntpdate[1261]: sendto(ns37256.ovh.net): Operation not
permitted
Merci de votre aide en tout cas !
--
Sylvain
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Peut-être une option -u (utilisation d'un port source non privilégié au lieu de 123) qui traîne quelque part, par exemple dans /etc/default/ntpdate. Tu as essayé sans l'option --sport dans la règle de cla chaîne OUTPUT ?
Alors je n'ai rien vu concernant cette option -u (ou -d d'ailleurs) dans le seul fichier de conf de ntp que j'ai trouvé, à savoir justement /etc/default/ntpdate :
# The settings in this file are used by the program ntpdate-debian, but not # by the upstream program ntpdate.
# Set to "yes" to take the server list from /etc/ntp.conf, from package ntp, # so you only have to keep it in one place. NTPDATE_USE_NTP_CONF=yes
# List of NTP servers to use (Separate multiple servers with spaces.) # Not used if NTPDATE_USE_NTP_CONF is yes. NTPSERVERS="0.debian.pool.ntp.org 1.debian.pool.ntp.org 2.debian.pool.ntp.org 3.debian.pool.ntp.org"
# Additional options to pass to ntpdate NTPOPTIONS=""
J'ai enlevé également l'option --sport dans mes règles iptables, sans plus de résultat. Du coup, il ne me reste plus que : iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT pour ntp, j'ai viré la règle de la chaîne INPUT qui, effectivement, ne servait à rien.
Note : la règle dans la chaîne INPUT est inutile puisque la chaîne contient déjà une règle qui accepte tout le trafic ESTABLISHED. Même chose pour la mention de l'état ESTABLISHED dans la règle de la chaîne OUTPUT, d'ailleurs.
Je sais, je sais, mais quand je disais :
J'ai essayé plein de trucs, sans effet
je n'ai pas dit que c'était des trucs très ... intelligents ;-)
Donc, pour l'instant, je récupère toujours des : 19 Nov 08:43:06 ntpdate[1261]: sendto(ns37256.ovh.net): Operation not permitted
Merci de votre aide en tout cas !
-- Sylvain
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean-Michel OLTRA
Bonjour,
Le lundi 19 novembre 2007, Sylvain a écrit...
pour ntp, j'ai viré la règle de la chaîne INPUT qui, effectivement, ne servait à rien.
Pas sûr ! Es tu bien sûr que les connexions vers le 123 en udp peuvent sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de sortie : le mien !
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonjour,
Le lundi 19 novembre 2007, Sylvain a écrit...
pour ntp, j'ai viré la règle de la chaîne INPUT qui, effectivement, ne
servait à rien.
Pas sûr ! Es tu bien sûr que les connexions vers le 123 en udp peuvent
sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de
sortie : le mien !
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
pour ntp, j'ai viré la règle de la chaîne INPUT qui, effectivement, ne servait à rien.
Pas sûr ! Es tu bien sûr que les connexions vers le 123 en udp peuvent sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de sortie : le mien !
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Sylvain
> Pas sûr ! Es tu bien sûr que les connexions vers le 123 en udp peuvent sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de sortie : le mien !
Sortir, oui, a priori : iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT
Pour l'entrée/sotie, j'ai de toute façon ça (presque) tout en haut de mon script iptables : iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Cela ne devrait-il pas suffire ? (visiblement non, ntpdate ne fonctionne toujours pas ...)
-- Sylvain
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
> Pas sûr ! Es tu bien sûr que les connexions vers le 123 en udp peuvent
sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de
sortie : le mien !
Sortir, oui, a priori :
iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT
Pour l'entrée/sotie, j'ai de toute façon ça (presque) tout en haut de
mon script iptables :
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Cela ne devrait-il pas suffire ? (visiblement non, ntpdate ne fonctionne
toujours pas ...)
--
Sylvain
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Pas sûr ! Es tu bien sûr que les connexions vers le 123 en udp peuvent sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de sortie : le mien !
Sortir, oui, a priori : iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT
Pour l'entrée/sotie, j'ai de toute façon ça (presque) tout en haut de mon script iptables : iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Cela ne devrait-il pas suffire ? (visiblement non, ntpdate ne fonctionne toujours pas ...)
-- Sylvain
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean-Michel OLTRA
Bonjour,
Le lundi 19 novembre 2007, Sylvain a écrit...
sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de sortie : le mien !
Sortir, oui, a priori : iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT
Pour l'entrée/sotie, j'ai de toute façon ça (presque) tout en haut de mon script iptables : iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Il y a une incohérence entre les deux chaînes OUPUT. L'une autorise les paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre elles se situe en premier dans la série de règles.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonjour,
Le lundi 19 novembre 2007, Sylvain a écrit...
sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de
sortie : le mien !
Sortir, oui, a priori :
iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT
Pour l'entrée/sotie, j'ai de toute façon ça (presque) tout en haut de
mon script iptables :
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Il y a une incohérence entre les deux chaînes OUPUT. L'une autorise les
paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre
elles se situe en premier dans la série de règles.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de sortie : le mien !
Sortir, oui, a priori : iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT
Pour l'entrée/sotie, j'ai de toute façon ça (presque) tout en haut de mon script iptables : iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Il y a une incohérence entre les deux chaînes OUPUT. L'une autorise les paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre elles se situe en premier dans la série de règles.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
> Il y a une incohérence entre les deux chaînes OUPUT. L'une autorise les paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre elles se situe en premier dans la série de règles.
Voici un extrait de mon script :
Politique par défaut : iptables -F iptables -X iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP
Puis j'autorise tout le trafic appartenant a des connexions existantes avec : iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Et ensuite, toutes mes régles d'ouverture de port, avec entre autre ntp: iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT
J'ai bon ?
-- Sylvain
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
> Il y a une incohérence entre les deux chaînes OUPUT. L'une autorise les
paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre
elles se situe en premier dans la série de règles.
Voici un extrait de mon script :
Politique par défaut :
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Puis j'autorise tout le trafic appartenant a des connexions existantes
avec :
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Et ensuite, toutes mes régles d'ouverture de port, avec entre autre ntp:
iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT
J'ai bon ?
--
Sylvain
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Il y a une incohérence entre les deux chaînes OUPUT. L'une autorise les paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre elles se situe en premier dans la série de règles.
Voici un extrait de mon script :
Politique par défaut : iptables -F iptables -X iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP
Puis j'autorise tout le trafic appartenant a des connexions existantes avec : iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Et ensuite, toutes mes régles d'ouverture de port, avec entre autre ntp: iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT
J'ai bon ?
-- Sylvain
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Sylvain a écrit :
Jean-Michel OLTRA a écrit :
Il y a une incohérence entre les deux chaînes OUPUT.
Tu veux dire les deux /règles/ de la chaîne OUTPUT ?
L'une autorise les paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre elles se situe en premier dans la série de règles.
Non, il suffit qu'une règle accepte le paquet pour qu'il soit accepté.
^^^ Typo 'o' (comme Oscar) à la place de '0' (zéro). Comment j'ai pu louper ça...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Sylvain a écrit :
Jean-Michel OLTRA a écrit :
Il y a une incohérence entre les deux chaînes OUPUT.
Tu veux dire les deux /règles/ de la chaîne OUTPUT ?
L'une autorise les
paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre
elles se situe en premier dans la série de règles.
Non, il suffit qu'une règle accepte le paquet pour qu'il soit accepté.
^^^
Typo 'o' (comme Oscar) à la place de '0' (zéro). Comment j'ai pu louper
ça...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
^^^ Typo 'o' (comme Oscar) à la place de '0' (zéro). Comment j'ai pu louper ça...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
