Jul 10 01:03:59 steph kernel: IN= OUT=eth0 SRC.236.46.215 DST!3.91.2.137 LENv TOS=0x00 PREC=0x00 TTLd ID=0 DF PROTO=UDP SPT3 DPT3 LENV
iptables -A INPUT -p udp -i eth0 --dport 123 --sport 123 -m state --state NEW -j ACCEPT
Je suis loin d'être expert en la matière... mais le paquet logué et la
Jul 10 01:03:59 steph kernel: IN= OUT=eth0 SRC.236.46.215 DST!3.91.2.137 LENv TOS=0x00 PREC=0x00 TTLd ID=0 DF PROTO=UDP SPT3 DPT3 LENV
iptables -A INPUT -p udp -i eth0 --dport 123 --sport 123 -m state --state NEW -j ACCEPT
Je suis loin d'être expert en la matière... mais le paquet logué et la
Jul 10 01:03:59 steph kernel: IN= OUT=eth0 SRC.236.46.215 DST!3.91.2.137 LENv TOS=0x00 PREC=0x00 TTLd ID=0 DF PROTO=UDP SPT3 DPT3 LENV
iptables -A INPUT -p udp -i eth0 --dport 123 --sport 123 -m state --state NEW -j ACCEPT
Je suis loin d'être expert en la matière... mais le paquet logué et la
Je suis loin d'être expert en la matière... mais le paquet logué et la
règle ne me semble pas correspondre...
OUT=eth0 => paquet resortant vers eth0
-A INPUT => règle pour les paquets entrant
mais peut être me trompé-je.... ?
Je suis loin d'être expert en la matière... mais le paquet logué et la
règle ne me semble pas correspondre...
OUT=eth0 => paquet resortant vers eth0
-A INPUT => règle pour les paquets entrant
mais peut être me trompé-je.... ?
Je suis loin d'être expert en la matière... mais le paquet logué et la
règle ne me semble pas correspondre...
OUT=eth0 => paquet resortant vers eth0
-A INPUT => règle pour les paquets entrant
mais peut être me trompé-je.... ?
J'ai du récemment installer Iptable sur mon linux (à mon gfrand regret,
Ipchains n'était plus supporté)
et je dois dire que je ne comprends rien
! Par exemple, j'essaye de le régler pour que je puisse utiliser ntp,
mais je n'y arrive pas :
:~> /usr/sbin/ntpdate ntp.teaser.fr
10 Jul 01:05:06 ntpdate[12980]: sendto(213.91.2.137): Operation not permitted
Pendant le meme temps, dans les logs, je trouve des trucs du genre :
Jul 10 01:03:58 steph kernel: IN= OUT=eth0 SRC.236.46.215 DST!3.91.2.137 LENv TOS=0x00 PREC=0x00 TTLd ID=0 DF PROTO=UDP SPT3 DPT3 LENV
Je rajoute donc la règle :
iptables -A INPUT -p udp -i eth0 --dport 123 --sport 123
-m state --state NEW -j ACCEPT
Mais j'ai toujours la meme chose dans les logs :-( Ca me semble pourtant
correspondre aux paquets loggés ! Qu'ai-je loupé ?
J'ai du récemment installer Iptable sur mon linux (à mon gfrand regret,
Ipchains n'était plus supporté)
et je dois dire que je ne comprends rien
! Par exemple, j'essaye de le régler pour que je puisse utiliser ntp,
mais je n'y arrive pas :
root@steph:~> /usr/sbin/ntpdate ntp.teaser.fr
10 Jul 01:05:06 ntpdate[12980]: sendto(213.91.2.137): Operation not permitted
Pendant le meme temps, dans les logs, je trouve des trucs du genre :
Jul 10 01:03:58 steph kernel: IN= OUT=eth0 SRC.236.46.215 DST!3.91.2.137 LENv TOS=0x00 PREC=0x00 TTLd ID=0 DF PROTO=UDP SPT3 DPT3 LENV
Je rajoute donc la règle :
iptables -A INPUT -p udp -i eth0 --dport 123 --sport 123
-m state --state NEW -j ACCEPT
Mais j'ai toujours la meme chose dans les logs :-( Ca me semble pourtant
correspondre aux paquets loggés ! Qu'ai-je loupé ?
J'ai du récemment installer Iptable sur mon linux (à mon gfrand regret,
Ipchains n'était plus supporté)
et je dois dire que je ne comprends rien
! Par exemple, j'essaye de le régler pour que je puisse utiliser ntp,
mais je n'y arrive pas :
:~> /usr/sbin/ntpdate ntp.teaser.fr
10 Jul 01:05:06 ntpdate[12980]: sendto(213.91.2.137): Operation not permitted
Pendant le meme temps, dans les logs, je trouve des trucs du genre :
Jul 10 01:03:58 steph kernel: IN= OUT=eth0 SRC.236.46.215 DST!3.91.2.137 LENv TOS=0x00 PREC=0x00 TTLd ID=0 DF PROTO=UDP SPT3 DPT3 LENV
Je rajoute donc la règle :
iptables -A INPUT -p udp -i eth0 --dport 123 --sport 123
-m state --state NEW -j ACCEPT
Mais j'ai toujours la meme chose dans les logs :-( Ca me semble pourtant
correspondre aux paquets loggés ! Qu'ai-je loupé ?
V'la aut'chose. C'est quoi votre Linux qui ne supporte plus ipchains ?
Et la doc de Netfilter, vous l'avez lue ? Elle explique très bien, alors
que je me rappelle qu'à la première lecture du man d'iptables je n'avais
rien compris.
:~> /usr/sbin/ntpdate ntp.teaser.fr
10 Jul 01:05:06 ntpdate[12980]: sendto(213.91.2.137): Operation not permitted
Il doit y avoir un règle iptables qui bloque ces paquets en sortie. Ce
serait pas mal d'indiquer vos règles, ainsi que les politiques par
défaut des chaînes. Un jeu de règles est un ensemble cohérent, une règle
n'est efficace que par rapport au reste.
Jul 10 01:03:58 steph kernel: IN= OUT=eth0 SRC.236.46.215 DST!3.91.2.137 LENv TOS=0x00 PREC=0x00 TTLd ID=0 DF PROTO=UDP SPT3 DPT3 LENV
Et d'où viennent ces logs ? Ce sont les paquets qui sont bloqués ?
Je rajoute donc la règle :
iptables -A INPUT -p udp -i eth0 --dport 123 --sport 123
-m state --state NEW -j ACCEPT
Mais j'ai toujours la meme chose dans les logs :-( Ca me semble pourtant
correspondre aux paquets loggés ! Qu'ai-je loupé ?
Vous avez créé cette règle dans la chaîne INPUT qui, comme son nom
l'indique,
Pour autoriser cette communication en utilisant les états de connexion,
il faudrait les deux règles spécifiques suivantes pour les paquets émis
et reçus respectivement :
iptables -A OUTPUT -o eth0 -p udp --sport 123 --dport 123
-m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 123 --dport 123
-m state --state ESTABLISHED -j ACCEPT
Sinon, il y a une autre possibilité : comme moi vous faites confiance à
ce qui sort de votre machine et vous autorisez tout en sortie.
V'la aut'chose. C'est quoi votre Linux qui ne supporte plus ipchains ?
Et la doc de Netfilter, vous l'avez lue ? Elle explique très bien, alors
que je me rappelle qu'à la première lecture du man d'iptables je n'avais
rien compris.
root@steph:~> /usr/sbin/ntpdate ntp.teaser.fr
10 Jul 01:05:06 ntpdate[12980]: sendto(213.91.2.137): Operation not permitted
Il doit y avoir un règle iptables qui bloque ces paquets en sortie. Ce
serait pas mal d'indiquer vos règles, ainsi que les politiques par
défaut des chaînes. Un jeu de règles est un ensemble cohérent, une règle
n'est efficace que par rapport au reste.
Jul 10 01:03:58 steph kernel: IN= OUT=eth0 SRC.236.46.215 DST!3.91.2.137 LENv TOS=0x00 PREC=0x00 TTLd ID=0 DF PROTO=UDP SPT3 DPT3 LENV
Et d'où viennent ces logs ? Ce sont les paquets qui sont bloqués ?
Je rajoute donc la règle :
iptables -A INPUT -p udp -i eth0 --dport 123 --sport 123
-m state --state NEW -j ACCEPT
Mais j'ai toujours la meme chose dans les logs :-( Ca me semble pourtant
correspondre aux paquets loggés ! Qu'ai-je loupé ?
Vous avez créé cette règle dans la chaîne INPUT qui, comme son nom
l'indique,
Pour autoriser cette communication en utilisant les états de connexion,
il faudrait les deux règles spécifiques suivantes pour les paquets émis
et reçus respectivement :
iptables -A OUTPUT -o eth0 -p udp --sport 123 --dport 123
-m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 123 --dport 123
-m state --state ESTABLISHED -j ACCEPT
Sinon, il y a une autre possibilité : comme moi vous faites confiance à
ce qui sort de votre machine et vous autorisez tout en sortie.
V'la aut'chose. C'est quoi votre Linux qui ne supporte plus ipchains ?
Et la doc de Netfilter, vous l'avez lue ? Elle explique très bien, alors
que je me rappelle qu'à la première lecture du man d'iptables je n'avais
rien compris.
:~> /usr/sbin/ntpdate ntp.teaser.fr
10 Jul 01:05:06 ntpdate[12980]: sendto(213.91.2.137): Operation not permitted
Il doit y avoir un règle iptables qui bloque ces paquets en sortie. Ce
serait pas mal d'indiquer vos règles, ainsi que les politiques par
défaut des chaînes. Un jeu de règles est un ensemble cohérent, une règle
n'est efficace que par rapport au reste.
Jul 10 01:03:58 steph kernel: IN= OUT=eth0 SRC.236.46.215 DST!3.91.2.137 LENv TOS=0x00 PREC=0x00 TTLd ID=0 DF PROTO=UDP SPT3 DPT3 LENV
Et d'où viennent ces logs ? Ce sont les paquets qui sont bloqués ?
Je rajoute donc la règle :
iptables -A INPUT -p udp -i eth0 --dport 123 --sport 123
-m state --state NEW -j ACCEPT
Mais j'ai toujours la meme chose dans les logs :-( Ca me semble pourtant
correspondre aux paquets loggés ! Qu'ai-je loupé ?
Vous avez créé cette règle dans la chaîne INPUT qui, comme son nom
l'indique,
Pour autoriser cette communication en utilisant les états de connexion,
il faudrait les deux règles spécifiques suivantes pour les paquets émis
et reçus respectivement :
iptables -A OUTPUT -o eth0 -p udp --sport 123 --dport 123
-m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 123 --dport 123
-m state --state ESTABLISHED -j ACCEPT
Sinon, il y a une autre possibilité : comme moi vous faites confiance à
ce qui sort de votre machine et vous autorisez tout en sortie.
"Annie D." a écrit sur fr.comp.reseaux.ip :V'la aut'chose. C'est quoi votre Linux qui ne supporte plus ipchains ?
C'est la 2.4.26. Il y a effectivement une option a activer lors de la
compilation du noyau, je l'avais rapidement trouvé sur Google, mais je
n'ai jamais réussi à la trouver ni dans menuconfig ni dans xconfig !
Et la doc de Netfilter, vous l'avez lue ?
Je suppose qu'il fallait lire là "iptables".
Bien sur que j'ai la doc !
Ca fait plus de 3 mois que j'ai ce problème, donc j'ai eu le temps de la
lire ;-) Mais je n'y ai absolument rien compris...
Oui, bien sur, il y avait une règle qui bloquait le paquet :
iptables -A OUTPUT -j DROP
iptables -A INPUT -j DROP
Je n'ai pas vraiment compris cette histoire de NEW et de ESTABLISHED (en
fait, je n'avais déjà rien compris en lisant les docs) mais le fait est
que là, ça marche impeccable !
"Annie D." <annie.demur@free.fr> a écrit sur fr.comp.reseaux.ip :
V'la aut'chose. C'est quoi votre Linux qui ne supporte plus ipchains ?
C'est la 2.4.26. Il y a effectivement une option a activer lors de la
compilation du noyau, je l'avais rapidement trouvé sur Google, mais je
n'ai jamais réussi à la trouver ni dans menuconfig ni dans xconfig !
Et la doc de Netfilter, vous l'avez lue ?
Je suppose qu'il fallait lire là "iptables".
Bien sur que j'ai la doc !
Ca fait plus de 3 mois que j'ai ce problème, donc j'ai eu le temps de la
lire ;-) Mais je n'y ai absolument rien compris...
Oui, bien sur, il y avait une règle qui bloquait le paquet :
iptables -A OUTPUT -j DROP
iptables -A INPUT -j DROP
Je n'ai pas vraiment compris cette histoire de NEW et de ESTABLISHED (en
fait, je n'avais déjà rien compris en lisant les docs) mais le fait est
que là, ça marche impeccable !
"Annie D." a écrit sur fr.comp.reseaux.ip :V'la aut'chose. C'est quoi votre Linux qui ne supporte plus ipchains ?
C'est la 2.4.26. Il y a effectivement une option a activer lors de la
compilation du noyau, je l'avais rapidement trouvé sur Google, mais je
n'ai jamais réussi à la trouver ni dans menuconfig ni dans xconfig !
Et la doc de Netfilter, vous l'avez lue ?
Je suppose qu'il fallait lire là "iptables".
Bien sur que j'ai la doc !
Ca fait plus de 3 mois que j'ai ce problème, donc j'ai eu le temps de la
lire ;-) Mais je n'y ai absolument rien compris...
Oui, bien sur, il y avait une règle qui bloquait le paquet :
iptables -A OUTPUT -j DROP
iptables -A INPUT -j DROP
Je n'ai pas vraiment compris cette histoire de NEW et de ESTABLISHED (en
fait, je n'avais déjà rien compris en lisant les docs) mais le fait est
que là, ça marche impeccable !
C'est l'option CONFIG_IP_NF_COMPAT_IPCHAINS à mettre à 'm' (module).
Bien sur que j'ai la doc !
Laquelle ?
AMA, les indispensables sont le Packet-filtering-howto et l'excellent
"iptables tutorial" d'Oskar Andreasson que je garde toujours à portée de
main. Plus le NAT-howto pour ceux qui veulent mettre en place un routeur
NAT.
Et, bien entendu, une connaissance de la famille des protocoles IP est
indispensable pour savoir ce qu'on fait.
Ca fait plus de 3 mois que j'ai ce problème, donc j'ai eu le temps de la
lire ;-) Mais je n'y ai absolument rien compris...
Trois mois, ce n'est pas normal. Vous auriez pu venir plus tôt.
iptables -A OUTPUT -j DROP
iptables -A INPUT -j DROP
Elles sont placées où ces règles ? En fin de chaînes ?
Tant mieux si ce problème particulier est résolu, mais c'est ennuyeux
que vous n'ayez pas compris la gestion des états qui est décrit en long,
en large et en travers dans les différents documents que j'ai
mentionnés.
C'est aussi très ennuyeux que vous exploitiez un firewall
dont vous ne maîtrisez pas le fonctionnement. Ici, c'était dans le "bon"
sens : des paquets qu'on veut laisser passer sont bloqués. Mais gare si
ça arrivait dans le "mauvais" sens : des paquets qu'on veut bloquer
passent grâce à une règle trop permissive ou mal placée.
C'est l'option CONFIG_IP_NF_COMPAT_IPCHAINS à mettre à 'm' (module).
Bien sur que j'ai la doc !
Laquelle ?
AMA, les indispensables sont le Packet-filtering-howto et l'excellent
"iptables tutorial" d'Oskar Andreasson que je garde toujours à portée de
main. Plus le NAT-howto pour ceux qui veulent mettre en place un routeur
NAT.
Et, bien entendu, une connaissance de la famille des protocoles IP est
indispensable pour savoir ce qu'on fait.
Ca fait plus de 3 mois que j'ai ce problème, donc j'ai eu le temps de la
lire ;-) Mais je n'y ai absolument rien compris...
Trois mois, ce n'est pas normal. Vous auriez pu venir plus tôt.
iptables -A OUTPUT -j DROP
iptables -A INPUT -j DROP
Elles sont placées où ces règles ? En fin de chaînes ?
Tant mieux si ce problème particulier est résolu, mais c'est ennuyeux
que vous n'ayez pas compris la gestion des états qui est décrit en long,
en large et en travers dans les différents documents que j'ai
mentionnés.
C'est aussi très ennuyeux que vous exploitiez un firewall
dont vous ne maîtrisez pas le fonctionnement. Ici, c'était dans le "bon"
sens : des paquets qu'on veut laisser passer sont bloqués. Mais gare si
ça arrivait dans le "mauvais" sens : des paquets qu'on veut bloquer
passent grâce à une règle trop permissive ou mal placée.
C'est l'option CONFIG_IP_NF_COMPAT_IPCHAINS à mettre à 'm' (module).
Bien sur que j'ai la doc !
Laquelle ?
AMA, les indispensables sont le Packet-filtering-howto et l'excellent
"iptables tutorial" d'Oskar Andreasson que je garde toujours à portée de
main. Plus le NAT-howto pour ceux qui veulent mettre en place un routeur
NAT.
Et, bien entendu, une connaissance de la famille des protocoles IP est
indispensable pour savoir ce qu'on fait.
Ca fait plus de 3 mois que j'ai ce problème, donc j'ai eu le temps de la
lire ;-) Mais je n'y ai absolument rien compris...
Trois mois, ce n'est pas normal. Vous auriez pu venir plus tôt.
iptables -A OUTPUT -j DROP
iptables -A INPUT -j DROP
Elles sont placées où ces règles ? En fin de chaînes ?
Tant mieux si ce problème particulier est résolu, mais c'est ennuyeux
que vous n'ayez pas compris la gestion des états qui est décrit en long,
en large et en travers dans les différents documents que j'ai
mentionnés.
C'est aussi très ennuyeux que vous exploitiez un firewall
dont vous ne maîtrisez pas le fonctionnement. Ici, c'était dans le "bon"
sens : des paquets qu'on veut laisser passer sont bloqués. Mais gare si
ça arrivait dans le "mauvais" sens : des paquets qu'on veut bloquer
passent grâce à une règle trop permissive ou mal placée.
Enfin, maintenant que j'y suis prèsque avec iptables, je
ne vais quand même pas revenir à ipchaines !
Et, bien entendu, une connaissance de la famille des protocoles IP est
indispensable pour savoir ce qu'on fait.
Quelle famille ? SMTP, POP3, etc... ou UDP, TCP, etc... ? Parce que la
différence entre UDP et RCP, je dois dire que j'ai jamais compris !
C'est grave ?...
Moi, mon principe est assez simple : je bloque tout, et quand je veux
utiliser un programme spécifique, je regarde dans les logs ce dont il a
besoin, et je débloque en conséquence. Comme ça, pas besoin de connaitre
la différence entre l'UDP et le TCP ;-)
En fait, marchait bien avec ipchains, mais plus avec iptables, parce que
les logs ne me disent pas ce que je dois mettre après --state, et c'est
bien là mon problème...
Cela dit, sur les grands lignes, je comprends bien que NEW sert pour
dire qu'on peut initier une connexion dans le sens indiqué, et que
ESTABLISHED veut dire qu'on peut répondre sur une connexion déjà ouverte
(donc ouverte à priori dans l'autre sens), et que dont il vaut mieux
éviter les NEW sur INPUT tant qu'on n'en a pas besoin. Mais mon
problème, c'est que quand j'utilise un programme dont je ne connais pas
la façon de dialoguer, je ne sais absolument pas quoi ouvrir (qui parle
en premier ? sur quel port ? etc...)
C'est aussi très ennuyeux que vous exploitiez un firewall
dont vous ne maîtrisez pas le fonctionnement.
Ca me semble pourtant mieux que de ne pas du tout utiliser de firewall,
non ?... ;-)
Enfin, maintenant que j'y suis prèsque avec iptables, je
ne vais quand même pas revenir à ipchaines !
Et, bien entendu, une connaissance de la famille des protocoles IP est
indispensable pour savoir ce qu'on fait.
Quelle famille ? SMTP, POP3, etc... ou UDP, TCP, etc... ? Parce que la
différence entre UDP et RCP, je dois dire que j'ai jamais compris !
C'est grave ?...
Moi, mon principe est assez simple : je bloque tout, et quand je veux
utiliser un programme spécifique, je regarde dans les logs ce dont il a
besoin, et je débloque en conséquence. Comme ça, pas besoin de connaitre
la différence entre l'UDP et le TCP ;-)
En fait, marchait bien avec ipchains, mais plus avec iptables, parce que
les logs ne me disent pas ce que je dois mettre après --state, et c'est
bien là mon problème...
Cela dit, sur les grands lignes, je comprends bien que NEW sert pour
dire qu'on peut initier une connexion dans le sens indiqué, et que
ESTABLISHED veut dire qu'on peut répondre sur une connexion déjà ouverte
(donc ouverte à priori dans l'autre sens), et que dont il vaut mieux
éviter les NEW sur INPUT tant qu'on n'en a pas besoin. Mais mon
problème, c'est que quand j'utilise un programme dont je ne connais pas
la façon de dialoguer, je ne sais absolument pas quoi ouvrir (qui parle
en premier ? sur quel port ? etc...)
C'est aussi très ennuyeux que vous exploitiez un firewall
dont vous ne maîtrisez pas le fonctionnement.
Ca me semble pourtant mieux que de ne pas du tout utiliser de firewall,
non ?... ;-)
Enfin, maintenant que j'y suis prèsque avec iptables, je
ne vais quand même pas revenir à ipchaines !
Et, bien entendu, une connaissance de la famille des protocoles IP est
indispensable pour savoir ce qu'on fait.
Quelle famille ? SMTP, POP3, etc... ou UDP, TCP, etc... ? Parce que la
différence entre UDP et RCP, je dois dire que j'ai jamais compris !
C'est grave ?...
Moi, mon principe est assez simple : je bloque tout, et quand je veux
utiliser un programme spécifique, je regarde dans les logs ce dont il a
besoin, et je débloque en conséquence. Comme ça, pas besoin de connaitre
la différence entre l'UDP et le TCP ;-)
En fait, marchait bien avec ipchains, mais plus avec iptables, parce que
les logs ne me disent pas ce que je dois mettre après --state, et c'est
bien là mon problème...
Cela dit, sur les grands lignes, je comprends bien que NEW sert pour
dire qu'on peut initier une connexion dans le sens indiqué, et que
ESTABLISHED veut dire qu'on peut répondre sur une connexion déjà ouverte
(donc ouverte à priori dans l'autre sens), et que dont il vaut mieux
éviter les NEW sur INPUT tant qu'on n'en a pas besoin. Mais mon
problème, c'est que quand j'utilise un programme dont je ne connais pas
la façon de dialoguer, je ne sais absolument pas quoi ouvrir (qui parle
en premier ? sur quel port ? etc...)
C'est aussi très ennuyeux que vous exploitiez un firewall
dont vous ne maîtrisez pas le fonctionnement.
Ca me semble pourtant mieux que de ne pas du tout utiliser de firewall,
non ?... ;-)