Shorewall, iptables et noyau ?

Le
David BERCOT
Bonjour,

Je viens de souscrire récemment à un serveur privé. Cette so=
lution
semble très intéressante car on peut avoir totalement la main sur=
la
machine (choix de l'OS, accès SSH, etc), à un détail pr=
ès : le
noyau !
Ceci pourrait sembler secondaire à première vue, mais apparemment=
, ce
n'est pas le cas. Je m'explique.

J'ai donc commencé par changer les sources.list / preferences et fait
un dist-upgrade de l'OS. Puis, j'ai installé tous mes programmes :
messagerie, serveur Web, etc Au noyau près, je suis donc up-to-date
sur Debian Sid (je sais, je pourrais rester en stable, mais j'aime bien
Sid ;-))).
Puis j'installe mon firewall : shorewall. Et là, ça se complique.=
Après
l'avoir paramétré, je le démarre et j'obtiens :
"iptables: No chain/target/match by that name"

Si je regarde la documentation de Shorewall, il semble que cela vienne
du noyau (configuration particulière) :
http://www.shorewall.net/troubleshoot.htm#Start-shell

Est-ce le bon diagnostic ? Auriez-vous une solution à me proposer ?

Je ne vous cache pas que j'aime bien shorewall car je le trouve très
simple à comprendre et à configurer. Toutefois, si c'est absolume=
nt
nécessaire, je suis OK pour évoluer ;-)

Merci d'avance.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Charles Plessy
Le #18462351
Le Fri, Jan 23, 2009 at 09:57:53AM +0100, David BERCOT a écrit :

Je ne vous cache pas que j'aime bien shorewall car je le trouve très
simple à comprendre et à configurer. Toutefois, si c'est absolument
nécessaire, je suis OK pour évoluer ;-)



Bonjour David,

Beaucoup plus simple que shorewall, mais probablement pas aussi flexible,
arno-iptables-firewall est un paquet qui a fait mon bonheur. (Et réglé mes
problèmes de trou noir MTU aux sujets des quels je me lamentais de temps en
temps sur cette liste ; apparament ils étaient causés par mon incompétence
vis-à-vis d'un pare-feu ausi complet que Shorewall.)

Amicalement,

--
Charles

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Grégory Bulot
Le #18462521
David BERCOT +0100
Bonjour,

Je viens de souscrire récemment à un serveur privé. Cette solution
semble très intéressante car on peut avoir totalement la main s ur la
machine (choix de l'OS, accès SSH, etc...), à un détail pr ès : le
noyau !
Ceci pourrait sembler secondaire à première vue, mais apparemme nt, ce
n'est pas le cas. Je m'explique.


[...]
Après l'avoir paramétré, je le démarre et j'obtiens :
"iptables: No chain/target/match by that name"



- peut être un module non chargé ? (ip_conntrack, ip_limit, ....)
- après j'ai plus "bête", j'ai essayé un truc une fois et j' avais ce
message car je m'entétais a utiliser 'drop' au lieu de 'DROP' (majuscu le
miniscule)


--

Cordialement
Grégory BULOT

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
mess-mate
Le #18462631
Charles Plessy wrote:
Le Fri, Jan 23, 2009 at 09:57:53AM +0100, David BERCOT a écrit :

Je ne vous cache pas que j'aime bien shorewall car je le trouve très
simple à comprendre et à configurer. Toutefois, si c'est absolument
nécessaire, je suis OK pour évoluer ;-)







Le lien dit tout à ce sujet.
C'est donc le noyau dans lequel il faut cocher lors de la config et
ensuite le compiler voir
REJECT target support (see kernel.htm Mais si tu n'as pas le choix du noyau est-il possible de le recompiler ?
Normalement tu dois avoir un fichier .config qui réside dans le /boot ou
dans /usr/src/linux.


--
mess-mate
------------
May you do Good Magic with Perl. -- Larry Wall's blessing

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
David BERCOT
Le #18463531
Re-bonjour,

Le Fri, 23 Jan 2009 10:27:53 +0100,
mess-mate
Charles Plessy wrote:
> Le Fri, Jan 23, 2009 at 09:57:53AM +0100, David BERCOT a écrit :
>
>> Je ne vous cache pas que j'aime bien shorewall car je le trouve
>> très simple à comprendre et à configurer. Toutefois, si c'est
>> absolument nécessaire, je suis OK pour évoluer ;-)
>
Le lien dit tout à ce sujet.
C'est donc le noyau dans lequel il faut cocher lors de la config et
ensuite le compiler voir
REJECT target support (see kernel.htm
du noyau est-il possible de le recompiler ? Normalement tu dois avoir
un fichier .config qui réside dans le /boot ou dans /usr/src/linux.



Justement, le problème est là : je n'ai aucun contrôle sur l e noyau !!!
Et je n'ai rien, ni dans /boot, ni dans /usr/src/linux !!!
Même un lsmod me donne une ligne vide (d'ailleurs, je ne sais pas trop
comment ça fonctionne leur système virtualisé et j'aimerais bien
quelques infos dessus ;-))).
Bizarrement, je peux installer tout comme je le souhaite, mais là...

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Kevin Hinault
Le #18463521
--0016361e7db2b6117d0461243bd3
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le 23 janvier 2009 11:45, David BERCOT

Justement, le problème est là : je n'ai aucun contrôle sur le noyau !!!
Et je n'ai rien, ni dans /boot, ni dans /usr/src/linux !!!
Même un lsmod me donne une ligne vide (d'ailleurs, je ne sais pas trop
comment ça fonctionne leur système virtualisé et j'aimerais bien
quelques infos dessus ;-))).
Bizarrement, je peux installer tout comme je le souhaite, mais là...




Bonjour,

Ta configuration ressemble fortement à celle d'un Kimsufi. Il faut savoir
que les distrib OVH ont toutes les modules intégrés au noyau pour "am éliorer
les performances" selon eux. Je pense que tu dois utiliser les RPS OVH non ?


Tu dois pouvoir néanmoins recompiler le noyau avec les modules que tu
désires, ils fournissent normalement le config et leurs sources quelque p art
sur leur ftp (ftp://ftp.ovh.net/made-in-ovh/) . En tout cas pour les kim
c'est possible, si tu es bien sur un RPS ca doit aussi être faisable.

Kévin

--0016361e7db2b6117d0461243bd3
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<br>Justement, le problème est là : je n&#39;ai aucun contrôle sur le noyau !!!<br>
Et je n&#39;ai rien, ni dans /boot, ni dans /usr/src/linux !!!<br>
Même un lsmod me donne une ligne vide (d&#39;ailleurs, je ne sais pas tro p<br>
comment ça fonctionne leur système virtualisé et j&#39;aimerais bien< br>
quelques infos dessus ;-))).<br>
Bizarrement, je peux installer tout comme je le souhaite, mais là...<br>
<font color="#888888"><br>
<br>Kévin<br clear="all"></div></div><br>

--0016361e7db2b6117d0461243bd3--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Le #18463751
Salut,

David BERCOT a écrit :

Je viens de souscrire récemment à un serveur privé. Cette solution
semble très intéressante car on peut avoir totalement la main sur la
machine (choix de l'OS, accès SSH, etc...), à un détail près : le
noyau !



Pourquoi ? C'est une forme de virtualisation avec un même noyau commun à
toutes les instances ?

Puis j'installe mon firewall : shorewall. Et là, ça se complique. Après
l'avoir paramétré, je le démarre et j'obtiens :
"iptables: No chain/target/match by that name"

Si je regarde la documentation de Shorewall, il semble que cela vienne
du noyau (configuration particulière) :



Qu'affiche uname -a ? Que contient /proc/config.gz s'il existe ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
David BERCOT
Le #18466091
Le Fri, 23 Jan 2009 12:14:08 +0100,
Pascal Hambourg
Salut,

David BERCOT a écrit :
>
> Je viens de souscrire récemment à un serveur privé. Cett e solution
> semble très intéressante car on peut avoir totalement la main sur la
> machine (choix de l'OS, accès SSH, etc...), à un détail près : le
> noyau !

Pourquoi ? C'est une forme de virtualisation avec un même noyau
commun à toutes les instances ?



En effet, c'est de la virtualisation.

> Puis j'installe mon firewall : shorewall. Et là, ça se compli que.
> Après l'avoir paramétré, je le démarre et j'obtiens :
> "iptables: No chain/target/match by that name"
>
> Si je regarde la documentation de Shorewall, il semble que cela
> vienne du noyau (configuration particulière) :

Qu'affiche uname -a ? Que contient /proc/config.gz s'il existe ?



Pour uname -a, j'ai :
Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon
Nov 17 18:41:14 MSK 2008 i686 GNU/Linux

Et sinon, /proc/config.gz n'existe pas !

Ca a l'air fermé, hein ?

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
David BERCOT
Le #18466081
Le Fri, 23 Jan 2009 11:55:55 +0100,
Kevin Hinault
Le 23 janvier 2009 11:45, David BERCOT >
> Justement, le problème est là : je n'ai aucun contrôle s ur le
> noyau !!! Et je n'ai rien, ni dans /boot, ni dans /usr/src/linux !!!
> Même un lsmod me donne une ligne vide (d'ailleurs, je ne sais pas
> trop comment ça fonctionne leur système virtualisé et j' aimerais
> bien quelques infos dessus ;-))).
> Bizarrement, je peux installer tout comme je le souhaite, mais là. ..
>
Bonjour,

Ta configuration ressemble fortement à celle d'un Kimsufi. Il faut
savoir que les distrib OVH ont toutes les modules intégrés au n oyau
pour "améliorer les performances" selon eux. Je pense que tu dois
utiliser les RPS OVH non ?



Eh non, raté ;-) Ca faisait partie des prétendants, mais finaleme nt, je
suis resté chez 1and1 !

Tu dois pouvoir néanmoins recompiler le noyau avec les modules que tu
désires, ils fournissent normalement le config et leurs sources
quelque part sur leur ftp (ftp://ftp.ovh.net/made-in-ovh/) . En tout
cas pour les kim c'est possible, si tu es bien sur un RPS ca doit
aussi être faisable.



Mhum, chez 1and1, apparemment, le noyau n'est pas modifiable (ni
remplaçable ni recompilable)...
Si jamais vous avez une expérience différente chez eux (noyau
recompilable) ou alors si vous avez un autre firewall qui puisse
fonctionner sur cette config, je suis preneur.
Pour le firewall, mes besoins sont limités : je veux tout bloquer sauf
3 ports en entrée !

Merci d'avance.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
David Cure
Le #18466371
--AAsCVVzXF7rH55eG
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le Fri, Jan 23, 2009 at 04:57:21PM +0100, David BERCOT ecrivait :

Pour uname -a, j'ai :
Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon
Nov 17 18:41:14 MSK 2008 i686 GNU/Linux



La version Linux ressemble à une version OpenVZ.
Regardes cette page surtout le dernier paragraphe :
http://wiki.openvz.org/Setting_up_an_iptables_firewall#Setting_up_a_firewal l_that_allows_per-container_configuration

1and1 a "oublié" les modules qui vont bien au niveau de l'hote
pour pouvoir avoir une conf fw au niveau des containers.

David.

--
Chronique, Articles, Projets "libre" -> http://www.cure.nom.fr/
Association FINIX : Finistere *nix -> http://www.Finix.EU.Org/
"Le temps n'est pas important, seule la vie est importante" L5E

--AAsCVVzXF7rH55eG
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFJee3Cx5Qtjcby22cRAr0BAJwL5hy3rE6dYdmgPy/3uo6wxldR8gCgpzfo
Kzb79ey1YZfzfGEg8mewVr4 =ziCW
-----END PGP SIGNATURE-----

--AAsCVVzXF7rH55eG--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Le #18466511
David BERCOT a écrit :

En effet, c'est de la virtualisation.



J'avais bien compris (VPS), mais peux-tu savoir quel type de
virtualisation ça utilise ?

Pour uname -a, j'ai :
Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon
Nov 17 18:41:14 MSK 2008 i686 GNU/Linux



Purée que c'est vieux ! Presqu'autant que le noyau inclus dans sarge,
l'ancienne Debian stable, sachant que l'actuelle stable est en fin de vie...

Et sinon, /proc/config.gz n'existe pas !

Ca a l'air fermé, hein ?



On va essayer autrement. /proc est monté, au moins ? Si oui, qu'affiche
cat /proc/net/ip_tables_names
cat /proc/net/ip_tables_matches
cat /proc/net/ip_tables_targets

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme