C'est un peu large comme accès, je mettrais plutôt du genre (exemple sur
une chaine FORWARD à compléter selon besoins ):
iptables -A FORWARD -i $fai -o $lan -p icmp -m state --state RELATED
--icmp-type source-quench -j ACCEPT
C'est un peu large comme accès, je mettrais plutôt du genre (exemple sur
une chaine FORWARD à compléter selon besoins ):
iptables -A FORWARD -i $fai -o $lan -p icmp -m state --state RELATED
--icmp-type source-quench -j ACCEPT
C'est un peu large comme accès, je mettrais plutôt du genre (exemple sur
une chaine FORWARD à compléter selon besoins ):
iptables -A FORWARD -i $fai -o $lan -p icmp -m state --state RELATED
--icmp-type source-quench -j ACCEPT
Samuel a écrit :C'est un peu large comme accès, je mettrais plutôt du genre (exemple sur
une chaine FORWARD à compléter selon besoins ):
iptables -A FORWARD -i $fai -o $lan -p icmp -m state --state RELATED
--icmp-type source-quench -j ACCEPT
Ce type ICMP est obsolète est considéré comme dangereux car il peut
facilement être détourné pour provoquer un déni de service.
Samuel a écrit :
C'est un peu large comme accès, je mettrais plutôt du genre (exemple sur
une chaine FORWARD à compléter selon besoins ):
iptables -A FORWARD -i $fai -o $lan -p icmp -m state --state RELATED
--icmp-type source-quench -j ACCEPT
Ce type ICMP est obsolète est considéré comme dangereux car il peut
facilement être détourné pour provoquer un déni de service.
Samuel a écrit :C'est un peu large comme accès, je mettrais plutôt du genre (exemple sur
une chaine FORWARD à compléter selon besoins ):
iptables -A FORWARD -i $fai -o $lan -p icmp -m state --state RELATED
--icmp-type source-quench -j ACCEPT
Ce type ICMP est obsolète est considéré comme dangereux car il peut
facilement être détourné pour provoquer un déni de service.
Philippe Gras a écrit :
ça fait un mois environ que j'ai des trucs comme ça avec netstat -antp :
-------------------------------------------------------------------------- ---------------------------------
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:36852 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:53921 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:56058 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:16231 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:30945 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 186.2.161.165:1675 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:58255 SYN_RECV -
-------------------------------------------------------------------------- ---------------------------------
D'après ce que je comprends, la requête aboutit sur un port lambda
et demande quelque chose sur celui de MySQL.
Non. Les demandes de connexion TCP (SYN) sont en provenance d'un port
distant quelconque (comme souvent) et à destination du port local 3306
(mysql).Le service tourne sur un socket
Cette phrase ne veut rien dire.il n'y a rien dans la colonne du PID.
La connexion n'est pas encore établie, donc il n'y a pas lieu de
l'associer à un processus.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Philippe Gras a écrit :
ça fait un mois environ que j'ai des trucs comme ça avec netstat -antp :
-------------------------------------------------------------------------- ---------------------------------
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:36852 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:53921 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:56058 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:16231 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:30945 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 186.2.161.165:1675 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:58255 SYN_RECV -
-------------------------------------------------------------------------- ---------------------------------
D'après ce que je comprends, la requête aboutit sur un port lambda
et demande quelque chose sur celui de MySQL.
Non. Les demandes de connexion TCP (SYN) sont en provenance d'un port
distant quelconque (comme souvent) et à destination du port local 3306
(mysql).
Le service tourne sur un socket
Cette phrase ne veut rien dire.
il n'y a rien dans la colonne du PID.
La connexion n'est pas encore établie, donc il n'y a pas lieu de
l'associer à un processus.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/5586C7BF.20302@plouf.fr.eu.org
Philippe Gras a écrit :
ça fait un mois environ que j'ai des trucs comme ça avec netstat -antp :
-------------------------------------------------------------------------- ---------------------------------
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:36852 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:53921 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:56058 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:16231 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:30945 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 186.2.161.165:1675 SYN_RECV -
tcp 0 0 X.XXX.XXX.XX:3306 174.36.59.12:58255 SYN_RECV -
-------------------------------------------------------------------------- ---------------------------------
D'après ce que je comprends, la requête aboutit sur un port lambda
et demande quelque chose sur celui de MySQL.
Non. Les demandes de connexion TCP (SYN) sont en provenance d'un port
distant quelconque (comme souvent) et à destination du port local 3306
(mysql).Le service tourne sur un socket
Cette phrase ne veut rien dire.il n'y a rien dans la colonne du PID.
La connexion n'est pas encore établie, donc il n'y a pas lieu de
l'associer à un processus.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Le samedi 20 juin 2015, Philippe Gras a écrit...Whouah ! Génial. Donc, je peux dropper tout le monde à lexception de
lIP de mon serveur, de son IP locale (127.0.0.1) et de la plage IP
sur laquelle mon FAI menvoie ?
Je ne comprends pas trop ce que tu veux dire. Mais :
- Si le serveur sql et le serveur ouèbe (Nginx) sont sur la même
machine, tu mets le bind-address de mysql sur 127.0.0.1, et tu donnes
les grant de tes utilisateurs de tes sites ouèbe sur
Et tu peux dropper tout le monde. Ce qui ne devrait même pas, en
théorie, être nécessaire puisque l'accès n'est pas autorisé. Mais qui
va soulager le serveur sql.
Le samedi 20 juin 2015, Philippe Gras a écrit...
Whouah ! Génial. Donc, je peux dropper tout le monde à lexception de
lIP de mon serveur, de son IP locale (127.0.0.1) et de la plage IP
sur laquelle mon FAI menvoie ?
Je ne comprends pas trop ce que tu veux dire. Mais :
- Si le serveur sql et le serveur ouèbe (Nginx) sont sur la même
machine, tu mets le bind-address de mysql sur 127.0.0.1, et tu donnes
les grant de tes utilisateurs de tes sites ouèbe sur leUser@localhost.
Et tu peux dropper tout le monde. Ce qui ne devrait même pas, en
théorie, être nécessaire puisque l'accès n'est pas autorisé. Mais qui
va soulager le serveur sql.
Le samedi 20 juin 2015, Philippe Gras a écrit...Whouah ! Génial. Donc, je peux dropper tout le monde à lexception de
lIP de mon serveur, de son IP locale (127.0.0.1) et de la plage IP
sur laquelle mon FAI menvoie ?
Je ne comprends pas trop ce que tu veux dire. Mais :
- Si le serveur sql et le serveur ouèbe (Nginx) sont sur la même
machine, tu mets le bind-address de mysql sur 127.0.0.1, et tu donnes
les grant de tes utilisateurs de tes sites ouèbe sur
Et tu peux dropper tout le monde. Ce qui ne devrait même pas, en
théorie, être nécessaire puisque l'accès n'est pas autorisé. Mais qui
va soulager le serveur sql.
Samuel a écrit :
C'est un peu large comme accès, je mettrais plutôt du genre (exemple sur
une chaine FORWARD à compléter selon besoins ):
iptables -A FORWARD -i $fai -o $lan -p icmp -m state --state RELATED
--icmp-type source-quench -j ACCEPT
Ce type ICMP est obsolète est considéré comme dangereux car il peut
facilement être détourné pour provoquer un déni de service.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Samuel a écrit :
C'est un peu large comme accès, je mettrais plutôt du genre (exemple sur
une chaine FORWARD à compléter selon besoins ):
iptables -A FORWARD -i $fai -o $lan -p icmp -m state --state RELATED
--icmp-type source-quench -j ACCEPT
Ce type ICMP est obsolète est considéré comme dangereux car il peut
facilement être détourné pour provoquer un déni de service.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/5586C99E.4010901@plouf.fr.eu.org
Samuel a écrit :
C'est un peu large comme accès, je mettrais plutôt du genre (exemple sur
une chaine FORWARD à compléter selon besoins ):
iptables -A FORWARD -i $fai -o $lan -p icmp -m state --state RELATED
--icmp-type source-quench -j ACCEPT
Ce type ICMP est obsolète est considéré comme dangereux car il peut
facilement être détourné pour provoquer un déni de service.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/