Forums Linux Autres OS Linux Debian

hping3 avec iptables

Le vendredi 23 Juillet 2010 à 16:40

Hugo Deprez Avatar par défaut

--0016e6d971082406b4048c0efd57
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

j'ai install� hping3 sur une lenny. Mon serveur est firewall� avec ipta=
bles,
j'autorise tout en sortie.
Par contre quand j'ex�cute la commande suivante :

$ sudo /usr/sbin/hping3 -V 192.168.0.1 -p 21
using eth0, addr: 192.168.0.2, MTU: 1500
HPING 192.168.0.1 (eth0 192.168.0.2): NO FLAGS are set, 40 headers + 0 data
bytes
[send_ip] sendto: Operation not permitted

Voici le log de l'iptables :

Jul 23 11:35:12 monhost kernel: [2990025.691301] [FW-DROP] IN= OUT=eth0
SRC=192.168.0.2 DST=192.168.0.1 LEN=40 TOS=0x00 PREC=0x00 TTL=6=
4
ID=8599 PROTO=TCP SPT=1655 DPT=21 WINDOW=512 RES=0x00 URGP=0 =
UID=0 GID=0

Le paquet est drop�. J'ai teste avec iptables d�sactiv� �a fonction=
ne.
Par contre quand j'active mes r�gles firewall et que je fais un iptables =
-t
filter -P OUTPUT ACCEPT, le paquet est toujours drop�.

Je ne connais pas trop le fonctionnement de Hping3, peut-�tre essaye-t-il=
de
faire quelque chose en particulier ?

Si vous avez des pistes je suis preneur.

Merci

--0016e6d971082406b4048c0efd57
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour, j'ai install� hping3 sur une lenny. Mon serveur e=
st firewall� avec iptables, j'autorise tout en sortie. Par contre =
quand j'ex�cute la commande suivante : $ sudo� /usr/sbin/hpi=
ng3 -V 192.168.0.1 -p 21 

using eth0, addr: 192.168.0.2, MTU: 1500 
HPING 192.168.0.1 (eth0 192.168.0.2): NO FLAGS are set, 40 headers + 0 data=
bytes 
[send_ip] sendto: Operation not permitted Voici le log de l'=
iptables : Jul 23 11:35:12 monhost kernel: [2990025.691301] [FW-DROP=
] IN= OUT=eth0 SRC=192.168.0.2 DST=192.168.0.1 LEN=40 TOS=0x=
00 PREC=0x00 TTL=64 
ID=8599 PROTO=TCP SPT=1655 DPT=21 WINDOW=512 RES=0x00 URGP=0 =
UID=0 GID=0 Le paquet est drop�. J'ai teste avec iptab=
les d�sactiv� �a fonctionne. Par contre quand j'active mes r=
�gles firewall et que je fais un iptables -t filter -P OUTPUT ACCEPT, le =
paquet est toujours drop�. 
 Je ne connais pas trop le fonctionnement de Hping3, peut-�tre essaye-=
t-il de faire quelque chose en particulier ? Si vous avez des pi=
stes je suis preneur. Merci 

--0016e6d971082406b4048c0efd57--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/AANLkTik+ekw9WaTYZcBTvjYeCaswYB7fZMFdJNWfVWem@mail.gmail.com

Vos réponses

Trier par : date / pertinence

Pascal Hambourg Avatar par défaut

Le 23/07/2010 à 17:50 #22387791

Salut,

Hugo Deprez a écrit :

j'ai installé hping3 sur une lenny. Mon serveur est firewallé avec iptables,
j'autorise tout en sortie.
Par contre quand j'exécute la commande suivante :

$ sudo /usr/sbin/hping3 -V 192.168.0.1 -p 21
using eth0, addr: 192.168.0.2, MTU: 1500
HPING 192.168.0.1 (eth0 192.168.0.2): NO FLAGS are set, 40 headers + 0 data
bytes
[send_ip] sendto: Operation not permitted

Voici le log de l'iptables :

Jul 23 11:35:12 monhost kernel: [2990025.691301] [FW-DROP] IN= OUT=eth0
SRC2.168.0.2 DST2.168.0.1 LEN@ TOS=0x00 PREC=0x00 TTLd
ID99 PROTO=TCP SPT55 DPT! WINDOWQ2 RES=0x00 URGP=0 UID=0 GID=0

Visiblement cette commande envoie un paquet TCP sans aucu flag
(notamment SYN), donc le suivi de connexion de netfilter le classe
probablement dans l'état INVALID. Il faudrait regarder s'il n'y a pas
une règle iptables dans OUTPUT ou une chaîne utilisateur appelée depuis
là qui bloque les paquets sortants dans l'état INVALID (ce qui serait
assez logique quand on fait du filtrage à état puisqu'une éventuelle
réponse reçue serait forcément classée INVALID elle aussi et bloquée).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

-1 Répondre en citant

Hugo Deprez Avatar par défaut

Le 23/07/2010 à 18:00 #22387781

--0015175df034ea95a8048c101d4f
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

merci pour la réponse, j'ai une règle de type ACCEPT source any destina tion
any.
Elle semble fonctionnelle, et je pensais qu'elle prendrait le dessus sur le s
autres règles déjà présentes. Ce ne serait pas le cas ?

voici ma table OUTPUT :

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG
LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/NONE
LOGDROP tcp -- anywhere anywhere tcp
flags:SYN,RST/SYN,RST
LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN/FIN,SYN
LOGACCEPT all -- anywhere anywhere
LOGACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
LOGACCEPT tcp -- monserver.mondomaine.fr server2.mondomaine.fr tcp
dpt:8140
LOGACCEPT tcp -- monserver.mondomaine.fr server.mondomaine.fr tcp
dpt:ldap
[...]
LOGACCEPT all -- monserver.mondomaine.fr anywhere
LOGDROP all -- anywhere anywhere

Quel commande sur iptables permet de traiter/qualifier les paquets 'INVALID '
?

D'avance merci

Hugo

2010/7/23 Pascal Hambourg

Salut,

Hugo Deprez a écrit :

j'ai installé hping3 sur une lenny. Mon serveur est firewallé avec
iptables,
j'autorise tout en sortie.
Par contre quand j'exécute la commande suivante :

$ sudo /usr/sbin/hping3 -V 192.168.0.1 -p 21
using eth0, addr: 192.168.0.2, MTU: 1500
HPING 192.168.0.1 (eth0 192.168.0.2): NO FLAGS are set, 40 headers + 0
data
bytes
[send_ip] sendto: Operation not permitted

Voici le log de l'iptables :

Jul 23 11:35:12 monhost kernel: [2990025.691301] [FW-DROP] IN= OUT=e th0
SRC2.168.0.2 DST2.168.0.1 LEN@ TOS=0x00 PREC=0x00 TTL d
ID�99 PROTO=TCP SPT55 DPT! WINDOWQ2 RES=0x00 URGP =0 UID=0 GID=0

Visiblement cette commande envoie un paquet TCP sans aucu flag (notamment
SYN), donc le suivi de connexion de netfilter le classe probablement dans
l'état INVALID. Il faudrait regarder s'il n'y a pas une règle iptable s dans
OUTPUT ou une chaîne utilisateur appelée depuis là qui bloque les p aquets
sortants dans l'état INVALID (ce qui serait assez logique quand on fait du
filtrage à état puisqu'une éventuelle réponse reçue serait forc ément classée
INVALID elle aussi et bloquée).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

--0015175df034ea95a8048c101d4f
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour, voici ma table OUTPUT : Chain OUTPUT (policy ACCEPT) targ et prot opt source de stination LOGDROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RS T,PSH,ACK,URG/FIN,PSH,URG 
LOGDROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG /FIN,SYN,RST,PSH,ACK,URG LOGDROP tcp -- anywhere anywhere tcp f lags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG 
LOGDROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG /NONE LOGDROP tcp -- anywhere anywhere tcp flags:SYN,RST/SYN,R ST LOGDROP tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN 
LOGACCEPT all -- anywhere anyw here LOGACCEPT tcp -- LOGDROP all -- anywhere anywhere 
Hugo Deprez a écrit :<div class="im"> 
 
j'ai installé hping3 sur une lenny. Mon serveur est firewallé avec iptables, 
j'autorise tout en sortie. 
Par contre quand j'exécute la commande suivante : 
 
$ sudo /usr/sbin/hping3 -V 192.168.0.1 -p 21 
using eth0, addr: 192.168.0.2, MTU: 1500 
HPING 192.168.0.1 (eth0 192.168.0.2): NO FLAGS are set, 40 headers + 0 data 
bytes 
[send_ip] sendto: Operation not permitted 
 
Voici le log de l'iptables : 
 
Jul 23 11:35:12 monhost kernel: [2990025.691301] [FW-DROP] IN= OUT=eth0 
SRC2.168.0.2 DST2.168.0.1 LEN@ TOS=0x00 PREC=0x00 TTL=6 4 
ID�99 PROTO=TCP SPT55 DPT! WINDOWQ2 RES=0x00 URGP=0 UID=0 GID=0 
</blockquote>
 </div>
Visiblement cette commande envoie un paquet TCP sans aucu flag (notamment S YN), donc le suivi de connexion de netfilter le classe probablement dans l& #39;état INVALID. Il faudrait regarder s'il n'y a pas une règle iptables dans OUTPUT ou une chaîne utilisateur appelée depuis là qui bloque les paquets sortants dans l'état INVALID (ce qui serait assez logique quand on fait du filtrage à état puisqu'une éventuelle r éponse reçue serait forcément classée INVALID elle aussi et bloqu ée). 

 
 
-- 
Lisez la FAQ de la liste avant de poser une question : 
 
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe " 
vers En cas de soucis, contactez EN ANGLAIS Archive: 
</blockquote></div> 

--0015175df034ea95a8048c101d4f--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

-1 Répondre en citant

Pascal Hambourg Avatar par défaut

Le 23/07/2010 à 18:20 #22387871

Hugo Deprez a écrit :

merci pour la réponse, j'ai une règle de type ACCEPT source any destination
any.
Elle semble fonctionnelle, et je pensais qu'elle prendrait le dessus sur les
autres règles déjà présentes. Ce ne serait pas le cas ?

voici ma table OUTPUT :

Note : je trouve que le format de sortie d'iptables -L n'est pas très
lisible, je préfère celui d'iptables-save.

LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG

Note : ces deux règles pourraient être fusionnées en
flags:FIN,SYN,RST,ACK,URG/FIN,SYN,RST,ACK,URG

LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/NONE

C'est cette règle qui attrape le paquet TCP sans flag émis par hping3.
Il n'est donc pas bloqué sur son état de suivi de connexion comme je
l'avais d'abord pensé mais sur la valeur de ses flags TCP.

Accessoirement, quel est le but d'envoyer un paquet TCP sans flag, qui
sera forcément écarté par le destinataire ? Ne faudrait-il pas fournir à
hping3 les options pour émettre un paquet valide ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

-1 Répondre en citant

Cornichon Avatar par défaut

Le 23/07/2010 à 18:50 #22387971

--0015175df0346466d4048c107740
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le 23 juillet 2010 18:15, Pascal Hambourg écrit :

Hugo Deprez a écrit :

merci pour la réponse, j'ai une règle de type ACCEPT source any
destination
any.
Elle semble fonctionnelle, et je pensais qu'elle prendrait le dessus sur
les
autres règles déjà présentes. Ce ne serait pas le cas ?

voici ma table OUTPUT :

Note : je trouve que le format de sortie d'iptables -L n'est pas très
lisible, je préfère celui d'iptables-save.

LOGDROP tcp -- anywhere anywhere tcp

flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG

Note : ces deux règles pourraient être fusionnées en
flags:FIN,SYN,RST,ACK,URG/FIN,SYN,RST,ACK,URG

LOGDROP tcp -- anywhere anywhere tcp

flags:FIN,SYN,RST,PSH,ACK,URG/NONE

C'est cette règle qui attrape le paquet TCP sans flag émis par hping3 . Il
n'est donc pas bloqué sur son état de suivi de connexion comme je l'a vais
d'abord pensé mais sur la valeur de ses flags TCP.

Effectivement.
Si tu ne veux pas t'émbêter, il peut être judicieux de n'effectuer ce genre
de filtrage qu'en entrée. Mais en cas de scan nmap par exemple, tu auras des
retours dropés.

Accessoirement, quel est le but d'envoyer un paquet TCP sans flag, qui se ra
forcément écarté par le destinataire ? Ne faudrait-il pas fournir à hping3
les options pour émettre un paquet valide ?

Windows répond parfois à ce genre de paquets.

Pour ce qui est des paquets invalides, voici un exemple:
iptables -t filter -A INPUT -m state --state INVALID -j DROP

--0015175df0346466d4048c107740
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Hugo Deprez a écrit :<div class="im"> 
 
merci pour la réponse, j'ai une règle de type ACCEPT source any des tination 
any. 
Elle semble fonctionnelle, et je pensais qu'elle prendrait le dessus su r les 
autres règles déjà présentes. Ce ne serait pas le cas ? 
 
voici ma table OUTPUT : 
</blockquote>
 </div>
Note : je trouve que le format de sortie d'iptables -L n'est pas tr ès lisible, je préfère celui d'iptables-save.
<div class="im"> 
 
LOGDROP tcp -- anywhere anywhere tcp 
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG 
LOGDROP tcp -- anywhere anywhere tcp 
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG 
</blockquote>
 </div>
Note : ces deux règles pourraient être fusionnées en flags:FIN,SYN,RS T,ACK,URG/FIN,SYN,RST,ACK,URG<div class="im"> 
 
LOGDROP tcp -- anywhere anywhere tcp 
flags:FIN,SYN,RST,PSH,ACK,URG/NONE 
</blockquote>
 </div>
C'est cette règle qui attrape le paquet TCP sans flag émis par hpin g3. Il n'est donc pas bloqué sur son état de suivi de connexion com me je l'avais d'abord pensé mais sur la valeur de ses flags TCP. </blockquote>

 
Accessoirement, quel est le but d'envoyer un paquet TCP sans flag, qui sera forcément écarté par le destinataire ? Ne faudrait-il pas fourni r à hping3 les options pour émettre un paquet valide ?<div class="im" > </div>

</div>

--0015175df0346466d4048c107740--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

-1 Répondre en citant

Hugo Deprez Avatar par défaut

Le 26/07/2010 à 10:00 #22396521

--0015174c33fa63467f048c45b6a9
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

merci pour votre réponse ! je comprends mieux.

Je ne connais pas encore très bien hping, je trouve ça un peu étrange comme
comportement. Je vais étudier le man page.

Par contre ce que je ne saisis pas c'est pourquoi iptables, malgré ma r ègle
:

-A OUTPUT -s 192.16.0.1/32 -j LOGACCEPT

il applique la règle

-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOGDROP

Es-ce que c'est le fait que cette dernière soit avant la règle LOGACCEP T ?

D'avance merci,

2010/7/23 Cornichon

Le 23 juillet 2010 18:15, Pascal Hambourg écrit :

Hugo Deprez a écrit :

merci pour la réponse, j'ai une règle de type ACCEPT source any
destination
any.
Elle semble fonctionnelle, et je pensais qu'elle prendrait le dessus su r
les
autres règles déjà présentes. Ce ne serait pas le cas ?

voici ma table OUTPUT :

Note : je trouve que le format de sortie d'iptables -L n'est pas très
lisible, je préfère celui d'iptables-save.

LOGDROP tcp -- anywhere anywhere tcp

flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
LOGDROP tcp -- anywhere anywhere tcp
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG

Note : ces deux règles pourraient être fusionnées en
flags:FIN,SYN,RST,ACK,URG/FIN,SYN,RST,ACK,URG

LOGDROP tcp -- anywhere anywhere tcp

flags:FIN,SYN,RST,PSH,ACK,URG/NONE

C'est cette règle qui attrape le paquet TCP sans flag émis par hping 3. Il
n'est donc pas bloqué sur son état de suivi de connexion comme je l' avais
d'abord pensé mais sur la valeur de ses flags TCP.

Effectivement.
Si tu ne veux pas t'émbêter, il peut être judicieux de n'effectuer ce genre
de filtrage qu'en entrée. Mais en cas de scan nmap par exemple, tu aura s des
retours dropés.

Accessoirement, quel est le but d'envoyer un paquet TCP sans flag, qui
sera forcément écarté par le destinataire ? Ne faudrait-il pas fou rnir à
hping3 les options pour émettre un paquet valide ?

Windows répond parfois à ce genre de paquets.

Pour ce qui est des paquets invalides, voici un exemple:
iptables -t filter -A INPUT -m state --state INVALID -j DROP

--0015174c33fa63467f048c45b6a9
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,
Hugo Deprez a écrit :<div> 
 
merci pour la réponse, j'ai une règle de type ACCEPT source any des tination 
any. 
Elle semble fonctionnelle, et je pensais qu'elle prendrait le dessus su r les 
autres règles déjà présentes. Ce ne serait pas le cas ? 
 
voici ma table OUTPUT : 
</blockquote>
 </div>
Note : je trouve que le format de sortie d'iptables -L n'est pas tr ès lisible, je préfère celui d'iptables-save.

<div> 
 
LOGDROP tcp -- anywhere anywhere tcp 
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG 
LOGDROP tcp -- anywhere anywhere tcp 
flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG 
</blockquote>
 </div>
Note : ces deux règles pourraient être fusionnées en flags:FIN,SYN,RS T,ACK,URG/FIN,SYN,RST,ACK,URG<div> 
 
LOGDROP tcp -- anywhere anywhere tcp 
flags:FIN,SYN,RST,PSH,ACK,URG/NONE 
</blockquote>
 </div>
C'est cette règle qui attrape le paquet TCP sans flag émis par hpin g3. Il n'est donc pas bloqué sur son état de suivi de connexion com me je l'avais d'abord pensé mais sur la valeur de ses flags TCP. </blockquote>

 
Accessoirement, quel est le but d'envoyer un paquet TCP sans flag, qui sera forcément écarté par le destinataire ? Ne faudrait-il pas fourni r à hping3 les options pour émettre un paquet valide ?<div> </div>

 </div>

</div>
</blockquote></div> 

--0015174c33fa63467f048c45b6a9--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/AANLkTim=

-1 Répondre en citant

Pascal Hambourg Avatar par défaut

Le 27/07/2010 à 00:00 #22401281

Hugo Deprez a écrit :

Par contre ce que je ne saisis pas c'est pourquoi iptables, malgré ma règle

-A OUTPUT -s 192.16.0.1/32 -j LOGACCEPT

il applique la règle

-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOGDROP

Es-ce que c'est le fait que cette dernière soit avant la règle LOGACCEPT ?

Oui, l'ordre des règles compte.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

-1 Répondre en citant

Frederic MASSOT Avatar par défaut

Le 27/07/2010 à 02:50 #22401831

Hugo Deprez a écrit :

Par contre ce que je ne saisis pas c'est pourquoi iptables, malgré ma règle

-A OUTPUT -s 192.16.0.1/32 -j LOGACCEPT

il applique la règle

-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOGDROP

Es-ce que c'est le fait que cette dernière soit avant la règle LOGACCEPT ?

Tu peux utiliser la commande "iptables -L -v" pour voir les compteurs
associés aux règles. Cela te permettra de connaître les règles qui sont
utilisées.

--
============================================= | FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto: |
==========================Þbian=GNU/Linux==
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

-1 Répondre en citant

Hugo Deprez Avatar par défaut

Le 30/07/2010 à 14:20 #22420331

--00032555b6461e5982048c99dc97
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Merci à vous pour toutes ces informations utiles.

Hugo

2010/7/27 Frederic MASSOT

Hugo Deprez a écrit :

Par contre ce que je ne saisis pas c'est pourquoi iptables, malgré m a
règle

-A OUTPUT -s 192.16.0.1/32 -j LOGACCEPT

il applique la règle

-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j
LOGDROP

Es-ce que c'est le fait que cette dernière soit avant la règle LOGA CCEPT
?

Tu peux utiliser la commande "iptables -L -v" pour voir les compteurs
associés aux règles. Cela te permettra de connaître les règles qu i sont
utilisées.

--
======================== ======================
| FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto: |
======================== ==�bian=GNU/Linux===

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

--00032555b6461e5982048c99dc97
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Merci à vous pour toutes ces informations utiles.
 
Par contre ce que je ne saisis pas c'est pourquoi iptables, malgré ma règle 
 
-A OUTPUT -s 
il applique la règle 
 
-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOGDROP 
 
Es-ce que c'est le fait que cette dernière soit avant la règle LOGA CCEPT ? 
</blockquote></blockquote>
 </div>
Tu peux utiliser la commande "iptables -L -v" pour voir les compt eurs associés aux règles. Cela te permettra de connaître les règles qui sont utilisées. 
 
 
-- 
========================= ===================== 
| FRÉDÉRIC MASSOT | 
| | mailto: ========================= =�bian=GNU/Linux===<div class="im"> 
 
-- 
Lisez la FAQ de la liste avant de poser une question : 
 
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe " 
vers En cas de soucis, contactez EN ANGLAIS Archive: 
</blockquote></div> 

--00032555b6461e5982048c99dc97--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/AANLkTinE=X9cbZz4yXqYcf__m_f-v2L+

-1 Répondre en citant

Publicité

Poster une réponse