automatiser le chargement de ip_conntrack_ftp et ip_nat_ftp

HEHO a écrit, le 06.09.2006 13:26 :

bonjour,
afin d'accéder à un serveur ftp en mode actif
je dois charger par modproble les modules :
ip_conntrack_ftp et ip_nat_ftp

y aurait-il un moyen d'automatiser ce chargement ?

bonjour,
décidement...
dans les archives de la liste il y avait cette solution :
rajouter les modprobe(s) dans le script d'initialisation de iptables.
et ça marche.

à plus.
hého


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le mer 06 sep 2006 13:26:52 CEST, HEHO <he.ho@laposte.net> a écrit :

bonjour,
afin d'accéder à un serveur ftp en mode actif
je dois charger par modproble les modules :
ip_conntrack_ftp et ip_nat_ftp

y aurait-il un moyen d'automatiser ce chargement ?
peut-être au moment du chargement de ip_conntrack ?

j'ai chercher mais je m'y perd un peu ...
merci pour vos idées et/ou pistes.

en les citant dans ton fichier /etc/modules ?

Fred.

Salut,

HEHO a écrit :

je dois charger par modproble les modules :
ip_conntrack_ftp et ip_nat_ftp

y aurait-il un moyen d'automatiser ce chargement ?

Au chargement du système ou des règles iptables ?
Dans le premier cas, la méthode la plus simple consiste à ajouter le nom
des modules ip_conntrack_ftp et ip_nat_ftp dans /etc/modules. Concernant
leurs éventuelles options ("ports=x,y..." pour faire du FTP sur des
ports non standard, il faut impérativement que les deux modules aient
les mêmes), on peut simplement les ajouter à la suite du nom du module
sur la même ligne.

dans les archives de la liste il y avait cette solution :
rajouter les modprobe(s) dans le script d'initialisation de iptables.
et ça marche.

Tu parles du script /etc/init.d/iptables du paquet iptables ou d'un
script personnalisé ? L'utilisation du premier était déconseillée dans
woody, et il n'existe plus dans sarge.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Frédéric BOITEUX a écrit, le 06.09.2006 14:17 :

Le mer 06 sep 2006 13:26:52 CEST, HEHO <he.ho@laposte.net> a écrit :

afin d'accéder à un serveur ftp en mode actif
je dois charger par modproble les modules :
ip_conntrack_ftp et ip_nat_ftp
y aurait-il un moyen d'automatiser ce chargement ?

en les citant dans ton fichier /etc/modules ?
Fred.

bonjour,
merci de répondre.
pour /etc/modules je croyais que ces modules dépendant de
ip_conntrack (cf lsmod) leur chargement echouerait au démarrage si ip_conntrack n'était pas
lui-même chargé ou bien le chargerait également mais mettrai le "boxon". mais peut-être me
trompe-je? bref, je n'ai pas essayé.
******
lsmod
ip_nat_ftp 3008 0
ip_conntrack_ftp 7196 1 ip_nat_ftp
ip_nat 15892 3 ip_nat_ftp,ipt_MASQUERADE,iptable_nat
ip_conntrack 48792 6
ip_nat_ftp,ip_conntrack_ftp,ipt_MASQUERADE,xt_state,iptable_nat,ip_nat
******
la solution que j'ai trouvé dans un post de la liste de 2002 ( "Autoload du module
ip_conntrack_ftp" réponse de frederic massot ) me convient.

à plus.
hého


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

bonjour,
Pascal Hambourg a écrit, le 06.09.2006 16:07 :

HEHO a écrit :

je dois charger par modproble les modules :
ip_conntrack_ftp et ip_nat_ftp

y aurait-il un moyen d'automatiser ce chargement ?

Au chargement du système
[...] la plus simple consiste à ajouter le nom
des modules ip_conntrack_ftp et ip_nat_ftp dans /etc/modules. Concernant
leurs éventuelles options ("ports=x,y..." pour faire du FTP sur des
ports non standard, il faut impérativement que les deux modules aient
les mêmes), on peut simplement les ajouter à la suite du nom du module
sur la même ligne.

bah je me disais que c'était pas terrible (cf ma réponse à frédéric)
et je n'ai pas d'option de ports.

dans les archives de la liste il y avait cette solution :
rajouter les modprobe(s) dans le script d'initialisation de iptables.
et ça marche.

Tu parles du script /etc/init.d/iptables du paquet iptables ou d'un
script personnalisé ?

[...]

bonjour,
je parlais du script de :
http://people.via.ecp.fr/~alexis/formation-linux/firewall.html
que j'ai mis comme spécifié dans la page dans :
/etc/network/if-pre-up.d/iptables-start

c'est pas bien le modprobe à cet endroit?

à plus.
hého


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le mer 06 sep 2006 16:15:05 CEST, HEHO <he.ho@laposte.net> a écrit :

Frédéric BOITEUX a écrit, le 06.09.2006 14:17 :

> Le mer 06 sep 2006 13:26:52 CEST, HEHO <he.ho@laposte.net> a écrit :
>> afin d'accéder à un serveur ftp en mode actif
>> je dois charger par modproble les modules :
>> ip_conntrack_ftp et ip_nat_ftp
>> y aurait-il un moyen d'automatiser ce chargement ?
>
> en les citant dans ton fichier /etc/modules ?
> Fred.
bonjour,
merci de répondre.
pour /etc/modules je croyais que ces modules dépendant de
ip_conntrack (cf lsmod) leur chargement echouerait au démarrage si ip_c onntrack n'était pas
lui-même chargé ou bien le chargerait également mais mettrai le "bo xon". mais peut-être me
trompe-je? bref, je n'ai pas essayé.

Tu as sans doute raison. Dans ce cas, il s'agit plutôt d'une dépendance
de chargement. cela s'écrit dans modutils/XXX ou modprobe.d/XXX, et
sa syntaxe dépend de la série de ton noyau (2.4 / 2.6)...

Fred.

HEHO a écrit :

Au chargement du système [...] la plus simple consiste à ajouter le nom
des modules ip_conntrack_ftp et ip_nat_ftp dans /etc/modules.

bah je me disais que c'était pas terrible (cf ma réponse à frédéric)

Tu parles des dépendances ? Sur toutes les Debian que j'ai utilisées,
soit depuis potato, le chargement d'un module par /etc/modules, modprobe
ou iptables a toujours entraîné le chargement automatique des éventuels
modules dont il dépend. Seule exception que j'ai constatée : ip_nat_ftp
ne chargeait pas ip_conntrack_ftp avec le noyau 2.4.18. En fait il
n'était pas marqué comme dépendance bien que nécessaire. Ça a été
corrigé sur les noyaux récents.

[...]

je parlais du script de :
http://people.via.ecp.fr/~alexis/formation-linux/firewall.html
que j'ai mis comme spécifié dans la page dans :
/etc/network/if-pre-up.d/iptables-start

c'est pas bien le modprobe à cet endroit?

Non, je ne trouve pas. En fait je trouve carrément que c'est
/etc/network/if-pre-up.d/ qui n'est pas un endroit approprié pour un tel
script. En effet ce script est exécuté lors de l'activation de chaque
interface gérée par ifupdown, soit une fois pour lo, une fois pour eth0,
une fois pour eth1... C'est complètement inutile car ce script ne tient
pas compte de l'interface pour l'activation de laquelle il est exécuté.
A chaque fois il efface et recrée aveuglément toutes les règles.

D'autre part, il y a un détail que je trouve peu cohérent dans cette
page : l'activation du routage (ip_forward) lors du démarrage de
l'interface de loopback dans /etc/network/interfaces, alors qu'il y a
/etc/network/options ou /etc/syslog.conf pour ça.

Ma vision d'un script iptables est la suivante. Elle se décompose en
deux approches différentes au choix.

1) Un unique script monolithique exécuté une fois pour toutes au
démarrage du système grâce à un lien symbolique placé dans /etc/rcS.d/,
qui :
- initialise les politiques par défaut,
- efface les règles et chaînes préexistantes,
- crée toutes les règles pour toutes les interfaces d'un coup,
- modifie les paramètres réseau du noyau dans /proc/sys/net/ si
nécessaire et s'il n'était pas possible de le faire dans
/etc/sysctl.conf (par exemple parce qu'un paramètre n'existait pas
encore à ce stade, le module correspondant n'étant pas encore chargé).

Cette méthode est adaptée à une configuration réseau statique où les
interfaces sont permanentes et leurs configurations IP sont fixes, par
exemple seulement des interfaces ethernet statiques, pas de DHCP ni PPP.
Des modules Netfilter peuvent éventellement être chargés par ce script,
ou par /etc/modules.conf.

2) Un ensemble modulaire comprenant plusieurs scripts.

2a) Un script d'initialisation exécuté une fois pour toutes au démarrage
du système, comme dans l'approche précédente, mais qui n'effectue que
des tâches indépendantes des interfaces, c'est-à-dire :
- initialise les politiques par défaut,
- efface les règles et chaînes préexistantes,
- crée toutes les règles ne dépendant pas des interfaces,
- modifie les paramètres réseau du noyau dans /proc/sys/net/
indépendants des interfaces.

2b) Un ou plusieurs scripts spécifiques exécutés quand une interface est
activée ou désactivée, tenant compte du nom de l'interface, de ses
caractéristiques, dont le rôle est de créer et supprimer les règles
spécifiques à chaque interface. Ceux liés aux interfaces gérées par
ifupdown peuvent être placés dans /etc/network/if-pre-up.d/ et ses
voisins, ou appelés par des options de type pre-up placées dans
/etc/network/interfaces. Pour les interfaces PPP, ces scripts sont
typiquement placés dans /etc/ppp/ip-up.d/ et /etc/ppp/ip-down.d/.

Cette méthode est adaptée à une configuration réseau dynamique où les
interfaces peuvent être créées et supprimées à la volée (PPP) ou leurs
adresses peuvent être variables (DHCP).

Enfin, on peut combiner les deux approches : les règles des interfaces
permanentes (ethernet) sont créés par le script de démarrage, et les
règles des interfaces dynamiques (PPP) sont créées et effacées par des
scripts spécifiques. C'est la méthode que j'ai appliquée pour ma
passerelle qui a une deux interfaces ethernet statiques, une interface
PPP dynamique pour la connexion internet et un nombre variable
d'interfaces PPP pour le serveur PPTP.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Frédéric BOITEUX a écrit, le 06.09.2006 16:39 :

Le mer 06 sep 2006 16:15:05 CEST, HEHO <he.ho@laposte.net> a écrit :

pour /etc/modules je croyais que ces modules dépendant de
ip_conntrack (cf lsmod) leur chargement echouerait au démarrage si ip_conntrack n'était pas
lui-même chargé ou bien le chargerait également mais mettrai le "boxon". mais peut-être me
trompe-je? bref, je n'ai pas essayé.

Tu as sans doute raison. Dans ce cas, il s'agit plutôt d'une dépendance
de chargement. cela s'écrit dans modutils/XXX ou modprobe.d/XXX, et
sa syntaxe dépend de la série de ton noyau (2.4 / 2.6)...
Fred.

re,
ah ok. d'après ce que dit pascal pas de problème de dépendance de chargement pour
ip_conntrack_ftp et ip_nat_ftp, je suis en etch 2.6.16-2-686
. bon bon bon, je vais repotasser tout ça au calme.
merci en tout cas.
à plus.
hého


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Pascal Hambourg a écrit, le 06.09.2006 17:53 :

HEHO a écrit :

je parlais du script de :
http://people.via.ecp.fr/~alexis/formation-linux/firewall.html
que j'ai mis comme spécifié dans la page dans :
/etc/network/if-pre-up.d/iptables-start

c'est pas bien le modprobe à cet endroit?

Non, je ne trouve pas. En fait je trouve carrément que c'est
/etc/network/if-pre-up.d/ qui n'est pas un endroit approprié pour un tel
script. En effet ce script est exécuté lors de l'activation de chaque
interface gérée par ifupdown, soit une fois pour lo, une fois pour eth0,
une fois pour eth1... C'est complètement inutile car ce script ne tient
pas compte de l'interface pour l'activation de laquelle il est exécuté..
A chaque fois il efface et recrée aveuglément toutes les règles.

D'autre part, il y a un détail que je trouve peu cohérent dans cette
page : l'activation du routage (ip_forward) lors du démarrage de
l'interface de loopback dans /etc/network/interfaces, alors qu'il y a
/etc/network/options ou /etc/syslog.conf pour ça.

Ma vision d'un script iptables est la suivante. Elle se décompose en
deux approches différentes au choix.

1) Un unique script monolithique exécuté une fois pour toutes au
démarrage du système grâce à un lien symbolique placé dans /etc/rcS.d/,
qui :
- initialise les politiques par défaut,
- efface les règles et chaînes préexistantes,
- crée toutes les règles pour toutes les interfaces d'un coup,
- modifie les paramètres réseau du noyau dans /proc/sys/net/ si
nécessaire et s'il n'était pas possible de le faire dans
/etc/sysctl.conf (par exemple parce qu'un paramètre n'existait pas
encore à ce stade, le module correspondant n'étant pas encore chargé).

Cette méthode est adaptée à une configuration réseau statique où les
interfaces sont permanentes et leurs configurations IP sont fixes, par
exemple seulement des interfaces ethernet statiques, pas de DHCP ni PPP.
Des modules Netfilter peuvent éventellement être chargés par ce script,
ou par /etc/modules.conf.

2) Un ensemble modulaire comprenant plusieurs scripts.

2a) Un script d'initialisation exécuté une fois pour toutes au démarrage
du système, comme dans l'approche précédente, mais qui n'effectue que
des tâches indépendantes des interfaces, c'est-à-dire :
- initialise les politiques par défaut,
- efface les règles et chaînes préexistantes,
- crée toutes les règles ne dépendant pas des interfaces,
- modifie les paramètres réseau du noyau dans /proc/sys/net/
indépendants des interfaces.

2b) Un ou plusieurs scripts spécifiques exécutés quand une interface est
activée ou désactivée, tenant compte du nom de l'interface, de ses
caractéristiques, dont le rôle est de créer et supprimer les règles
spécifiques à chaque interface. Ceux liés aux interfaces gérées par
ifupdown peuvent être placés dans /etc/network/if-pre-up.d/ et ses
voisins, ou appelés par des options de type pre-up placées dans
/etc/network/interfaces. Pour les interfaces PPP, ces scripts sont
typiquement placés dans /etc/ppp/ip-up.d/ et /etc/ppp/ip-down.d/.

Cette méthode est adaptée à une configuration réseau dynamique où les
interfaces peuvent être créées et supprimées à la volée (PPP) ou leurs
adresses peuvent être variables (DHCP).

Enfin, on peut combiner les deux approches : les règles des interfaces
permanentes (ethernet) sont créés par le script de démarrage, et les
règles des interfaces dynamiques (PPP) sont créées et effacées par des
scripts spécifiques. C'est la méthode que j'ai appliquée pour ma
passerelle qui a une deux interfaces ethernet statiques, une interface
PPP dynamique pour la connexion internet et un nombre variable
d'interfaces PPP pour le serveur PPTP.

re et merci de ces explications détaillées.
je vais étudier ça au calme en fonction de ma config :
pc portable avec une pcmcia ethernet + une pcmcia wifi avec soit l'une soit l'autre soit les
deux dans leurs logements et soit l'une soit l'autre soit aucune connectée à internet , ça
dépend des pièces ;)
à plus
hého.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org