Bonjour à tous,
Après avoir mis à jour iptables (en version 1.3.6), certains mo dules
fonctionnent à nouveau, comme connbytes.
Mais c'est comme d'hab, ca marche tellement bien, qu'on en veut toujours
plus ;)
J'ai absolument besoin de controler le nombre de connexions par IP.
Pour cela il y a iplimit
(http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO- 3.html)
mais j'aimerais savoir s'il n'y avait pas un moyen sans passer par le
patch d'iptables ?
Bonjour à tous,
Après avoir mis à jour iptables (en version 1.3.6), certains mo dules
fonctionnent à nouveau, comme connbytes.
Mais c'est comme d'hab, ca marche tellement bien, qu'on en veut toujours
plus ;)
J'ai absolument besoin de controler le nombre de connexions par IP.
Pour cela il y a iplimit
(http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO- 3.html)
mais j'aimerais savoir s'il n'y avait pas un moyen sans passer par le
patch d'iptables ?
Bonjour à tous,
Après avoir mis à jour iptables (en version 1.3.6), certains mo dules
fonctionnent à nouveau, comme connbytes.
Mais c'est comme d'hab, ca marche tellement bien, qu'on en veut toujours
plus ;)
J'ai absolument besoin de controler le nombre de connexions par IP.
Pour cela il y a iplimit
(http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO- 3.html)
mais j'aimerais savoir s'il n'y avait pas un moyen sans passer par le
patch d'iptables ?
J'ai absolument besoin de controler le nombre de connexions par IP.
Pour cela il y a iplimit
(http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html)
mais j'aimerais savoir s'il n'y avait pas un moyen sans passer par le
patch d'iptables ?
(qui a raté son permis pour la 3 eme fois aujourd'hui...) ;)
J'ai absolument besoin de controler le nombre de connexions par IP.
Pour cela il y a iplimit
(http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html)
mais j'aimerais savoir s'il n'y avait pas un moyen sans passer par le
patch d'iptables ?
(qui a raté son permis pour la 3 eme fois aujourd'hui...) ;)
J'ai absolument besoin de controler le nombre de connexions par IP.
Pour cela il y a iplimit
(http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html)
mais j'aimerais savoir s'il n'y avait pas un moyen sans passer par le
patch d'iptables ?
(qui a raté son permis pour la 3 eme fois aujourd'hui...) ;)
> J'ai absolument besoin de controler le nombre de connexions par IP.
L'ennui, c'est que comme son prédécesseur connlimit n'est toujours pa s
inclus dans le noyau standard... Pire, il n'est même plus inclus dans l e
patch-o-matic-ng, il faut le récupérer avec ./runme --download. Et la
correspondance "recent" ne permet de compter que des événements comme
les demandes de connexion, et pas les connexions encore établies.
> (qui a raté son permis pour la 3 eme fois aujourd'hui...) ;)
Courage, j'ai réussi à la 4ème tentative. ;-)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact .org
> J'ai absolument besoin de controler le nombre de connexions par IP.
L'ennui, c'est que comme son prédécesseur connlimit n'est toujours pa s
inclus dans le noyau standard... Pire, il n'est même plus inclus dans l e
patch-o-matic-ng, il faut le récupérer avec ./runme --download. Et la
correspondance "recent" ne permet de compter que des événements comme
les demandes de connexion, et pas les connexions encore établies.
> (qui a raté son permis pour la 3 eme fois aujourd'hui...) ;)
Courage, j'ai réussi à la 4ème tentative. ;-)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian .org
> J'ai absolument besoin de controler le nombre de connexions par IP.
L'ennui, c'est que comme son prédécesseur connlimit n'est toujours pa s
inclus dans le noyau standard... Pire, il n'est même plus inclus dans l e
patch-o-matic-ng, il faut le récupérer avec ./runme --download. Et la
correspondance "recent" ne permet de compter que des événements comme
les demandes de connexion, et pas les connexions encore établies.
> (qui a raté son permis pour la 3 eme fois aujourd'hui...) ;)
Courage, j'ai réussi à la 4ème tentative. ;-)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact .org
Salut,
Benjamin RIOU a écrit :
>
>J'ai absolument besoin de controler le nombre de connexions par IP.
>
>Pour cela il y a iplimit
>(http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO -3.html)
Ouh, c'est vieux, ça ! iplimit a été remplacé par con nlimit en 2003.
>mais j'aimerais savoir s'il n'y avait pas un moyen sans passer par le
>patch d'iptables ?
L'ennui, c'est que comme son prédécesseur connlimit n'est toujo urs pas
inclus dans le noyau standard... Pire, il n'est même plus inclus dan s le
patch-o-matic-ng, il faut le récupérer avec ./runme --download. Et la
correspondance "recent" ne permet de compter que des événements comme
les demandes de connexion, et pas les connexions encore établies.
Salut,
Benjamin RIOU a écrit :
>
>J'ai absolument besoin de controler le nombre de connexions par IP.
>
>Pour cela il y a iplimit
>(http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO -3.html)
Ouh, c'est vieux, ça ! iplimit a été remplacé par con nlimit en 2003.
>mais j'aimerais savoir s'il n'y avait pas un moyen sans passer par le
>patch d'iptables ?
L'ennui, c'est que comme son prédécesseur connlimit n'est toujo urs pas
inclus dans le noyau standard... Pire, il n'est même plus inclus dan s le
patch-o-matic-ng, il faut le récupérer avec ./runme --download. Et la
correspondance "recent" ne permet de compter que des événements comme
les demandes de connexion, et pas les connexions encore établies.
Salut,
Benjamin RIOU a écrit :
>
>J'ai absolument besoin de controler le nombre de connexions par IP.
>
>Pour cela il y a iplimit
>(http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO -3.html)
Ouh, c'est vieux, ça ! iplimit a été remplacé par con nlimit en 2003.
>mais j'aimerais savoir s'il n'y avait pas un moyen sans passer par le
>patch d'iptables ?
L'ennui, c'est que comme son prédécesseur connlimit n'est toujo urs pas
inclus dans le noyau standard... Pire, il n'est même plus inclus dan s le
patch-o-matic-ng, il faut le récupérer avec ./runme --download. Et la
correspondance "recent" ne permet de compter que des événements comme
les demandes de connexion, et pas les connexions encore établies.
> Aurais tu un exemple pour mettre en evidence l'interet de compter le
nombre de connxions etablies plutot que le nombre de nouvelles connexions ?
Merci.
> Aurais tu un exemple pour mettre en evidence l'interet de compter le
nombre de connxions etablies plutot que le nombre de nouvelles connexions ?
Merci.
> Aurais tu un exemple pour mettre en evidence l'interet de compter le
nombre de connxions etablies plutot que le nombre de nouvelles connexions ?
Merci.
Salut !
Merci pour vos réponses.
>> J'ai absolument besoin de controler le nombre de connexions par IP.
>L'ennui, c'est que comme son prédécesseur connlimit n'est touj ours pas
>inclus dans le noyau standard... Pire, il n'est même plus inclus da ns le
>patch-o-matic-ng, il faut le récupérer avec ./runme --download . Et la
>correspondance "recent" ne permet de compter que des événement s comme
>les demandes de connexion, et pas les connexions encore établies.
recent ne veut pas entendre parler de moi :
iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent
--name overconnect --update --seconds 60 -j DROP
ceci passe.
iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent
--hitcount 200 --seconds 60 --set --name overconnect -j DROP
ceci me répond : argument incorrect.
Salut !
Merci pour vos réponses.
>> J'ai absolument besoin de controler le nombre de connexions par IP.
>L'ennui, c'est que comme son prédécesseur connlimit n'est touj ours pas
>inclus dans le noyau standard... Pire, il n'est même plus inclus da ns le
>patch-o-matic-ng, il faut le récupérer avec ./runme --download . Et la
>correspondance "recent" ne permet de compter que des événement s comme
>les demandes de connexion, et pas les connexions encore établies.
recent ne veut pas entendre parler de moi :
iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent
--name overconnect --update --seconds 60 -j DROP
ceci passe.
iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent
--hitcount 200 --seconds 60 --set --name overconnect -j DROP
ceci me répond : argument incorrect.
Salut !
Merci pour vos réponses.
>> J'ai absolument besoin de controler le nombre de connexions par IP.
>L'ennui, c'est que comme son prédécesseur connlimit n'est touj ours pas
>inclus dans le noyau standard... Pire, il n'est même plus inclus da ns le
>patch-o-matic-ng, il faut le récupérer avec ./runme --download . Et la
>correspondance "recent" ne permet de compter que des événement s comme
>les demandes de connexion, et pas les connexions encore établies.
recent ne veut pas entendre parler de moi :
iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent
--name overconnect --update --seconds 60 -j DROP
ceci passe.
iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent
--hitcount 200 --seconds 60 --set --name overconnect -j DROP
ceci me répond : argument incorrect.
>Aurais tu un exemple pour mettre en evidence l'interet de compter le
>nombre de connxions etablies plutot que le nombre de nouvelles connexion s
>?
>
>Merci.
>
iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent
--name overconnect --rcheck --seconds 60 -j DROP
iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent
--seconds 60 --hitcount 200 --name overconnect --update -j DROP
Passe maintenant.
Si j'ai bien compris :
Au bout de la 201 eme connexion l'espace de 60 secondes :
la premiere ligne passe ne rejette pas le paquet
la seconde ligne blackliste le paquet et le rejette
C'est quand même étonnant que connlimit soit dans le man, soit en
librairies, et ne fonctionne pas quand même
>Aurais tu un exemple pour mettre en evidence l'interet de compter le
>nombre de connxions etablies plutot que le nombre de nouvelles connexion s
>?
>
>Merci.
>
iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent
--name overconnect --rcheck --seconds 60 -j DROP
iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent
--seconds 60 --hitcount 200 --name overconnect --update -j DROP
Passe maintenant.
Si j'ai bien compris :
Au bout de la 201 eme connexion l'espace de 60 secondes :
la premiere ligne passe ne rejette pas le paquet
la seconde ligne blackliste le paquet et le rejette
C'est quand même étonnant que connlimit soit dans le man, soit en
librairies, et ne fonctionne pas quand même
>Aurais tu un exemple pour mettre en evidence l'interet de compter le
>nombre de connxions etablies plutot que le nombre de nouvelles connexion s
>?
>
>Merci.
>
iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent
--name overconnect --rcheck --seconds 60 -j DROP
iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent
--seconds 60 --hitcount 200 --name overconnect --update -j DROP
Passe maintenant.
Si j'ai bien compris :
Au bout de la 201 eme connexion l'espace de 60 secondes :
la premiere ligne passe ne rejette pas le paquet
la seconde ligne blackliste le paquet et le rejette
C'est quand même étonnant que connlimit soit dans le man, soit en
librairies, et ne fonctionne pas quand même
Oui, connlimit était l'idéal pour moi, mais il me répond continuellement :
iptables: No chain/target/match by that name
Bien que le fichier libipt_connlimit.ko est bien dans /lib/iptables/
Donc c'est parce que cela ne serait pas inclus au kernel ?
C'est étrange dans la mesure où :
iptables -m connlimit --help
répond correctement.
et que le module connlimit est présent dans le man d'iptables...
Oui, connlimit était l'idéal pour moi, mais il me répond continuellement :
iptables: No chain/target/match by that name
Bien que le fichier libipt_connlimit.ko est bien dans /lib/iptables/
Donc c'est parce que cela ne serait pas inclus au kernel ?
C'est étrange dans la mesure où :
iptables -m connlimit --help
répond correctement.
et que le module connlimit est présent dans le man d'iptables...
Oui, connlimit était l'idéal pour moi, mais il me répond continuellement :
iptables: No chain/target/match by that name
Bien que le fichier libipt_connlimit.ko est bien dans /lib/iptables/
Donc c'est parce que cela ne serait pas inclus au kernel ?
C'est étrange dans la mesure où :
iptables -m connlimit --help
répond correctement.
et que le module connlimit est présent dans le man d'iptables...
Aurais tu un exemple pour mettre en evidence l'interet de compter le
nombre de connxions etablies plutot que le nombre de nouvelles connexions ?
Aurais tu un exemple pour mettre en evidence l'interet de compter le
nombre de connxions etablies plutot que le nombre de nouvelles connexions ?
Aurais tu un exemple pour mettre en evidence l'interet de compter le
nombre de connxions etablies plutot que le nombre de nouvelles connexions ?
[Je coupe le passage sur la correspondance "recent", que je connais trè s
mal et qui me donne mal au crâne à chaque fois que je m'y frotte.]
Benjamin RIOU a écrit :
> Oui, connlimit était l'idéal pour moi, mais il me répond continue llement :
> iptables: No chain/target/match by that name
>
> Bien que le fichier libipt_connlimit.ko est bien dans /lib/iptables/
>
> Donc c'est parce que cela ne serait pas inclus au kernel ?
Voilà.
> C'est étrange dans la mesure où :
> iptables -m connlimit --help
> répond correctement.
C'est la bibliothèque libipt_connlimit d'iptables qui répond.
> et que le module connlimit est présent dans le man d'iptables...
Comme pour un grand nombre de cibles et de correspondances d'iptables,
il faut deux éléments :
- une bibliothèque libipt_truc.so située dans /lib/iptables/ et utili sée
par le programme iptables lors de la création d'une règle ;
- un module du noyau ipt_truc.[k]o ou xt_truc.ko situé dans
/lib/modules/<version>/kernel/net/... qui réalise effectivement la
fonction lorsqu'un paquet rencontre la règle. Notons que la fonction
peut être compilée en dur dans le noyau et non en module.
[Je coupe le passage sur la correspondance "recent", que je connais trè s
mal et qui me donne mal au crâne à chaque fois que je m'y frotte.]
Benjamin RIOU a écrit :
> Oui, connlimit était l'idéal pour moi, mais il me répond continue llement :
> iptables: No chain/target/match by that name
>
> Bien que le fichier libipt_connlimit.ko est bien dans /lib/iptables/
>
> Donc c'est parce que cela ne serait pas inclus au kernel ?
Voilà.
> C'est étrange dans la mesure où :
> iptables -m connlimit --help
> répond correctement.
C'est la bibliothèque libipt_connlimit d'iptables qui répond.
> et que le module connlimit est présent dans le man d'iptables...
Comme pour un grand nombre de cibles et de correspondances d'iptables,
il faut deux éléments :
- une bibliothèque libipt_truc.so située dans /lib/iptables/ et utili sée
par le programme iptables lors de la création d'une règle ;
- un module du noyau ipt_truc.[k]o ou xt_truc.ko situé dans
/lib/modules/<version>/kernel/net/... qui réalise effectivement la
fonction lorsqu'un paquet rencontre la règle. Notons que la fonction
peut être compilée en dur dans le noyau et non en module.
[Je coupe le passage sur la correspondance "recent", que je connais trè s
mal et qui me donne mal au crâne à chaque fois que je m'y frotte.]
Benjamin RIOU a écrit :
> Oui, connlimit était l'idéal pour moi, mais il me répond continue llement :
> iptables: No chain/target/match by that name
>
> Bien que le fichier libipt_connlimit.ko est bien dans /lib/iptables/
>
> Donc c'est parce que cela ne serait pas inclus au kernel ?
Voilà.
> C'est étrange dans la mesure où :
> iptables -m connlimit --help
> répond correctement.
C'est la bibliothèque libipt_connlimit d'iptables qui répond.
> et que le module connlimit est présent dans le man d'iptables...
Comme pour un grand nombre de cibles et de correspondances d'iptables,
il faut deux éléments :
- une bibliothèque libipt_truc.so située dans /lib/iptables/ et utili sée
par le programme iptables lors de la création d'une règle ;
- un module du noyau ipt_truc.[k]o ou xt_truc.ko situé dans
/lib/modules/<version>/kernel/net/... qui réalise effectivement la
fonction lorsqu'un paquet rencontre la règle. Notons que la fonction
peut être compilée en dur dans le noyau et non en module.