Comment est censé se comporter iptables quand on DROP tout par défaut,
et que toutes les règles ne concernent que les paquets en IPv4?
En fait c'est suite à mon post sur les "XMLSocket & Java".
J'ai autorisé les INPUT sur le port 18000 mais avec iptable, est-ce que
je dois passer un coup de ip6tables maintenant?
Est ce que les paquets v6 seront DROPPéS?
Merci d'avance.
--
Miroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nicolas George
R12y wrote in message :
Comment est censé se comporter iptables quand on DROP tout par défaut, et que toutes les règles ne concernent que les paquets en IPv4?
Les règles iptables sont totalement indépendantes entre IPv6 et IPv4. D'ailleurs, il y a un paquet de règles qui sont possibles en IPv4 mais pas implémentées en IPv6, et ça fait groumpfer.
R12y wrote in message
<pan.2005.06.15.22.40.27.805981@etu.univ-orleans.fr>:
Comment est censé se comporter iptables quand on DROP tout par défaut,
et que toutes les règles ne concernent que les paquets en IPv4?
Les règles iptables sont totalement indépendantes entre IPv6 et IPv4.
D'ailleurs, il y a un paquet de règles qui sont possibles en IPv4 mais pas
implémentées en IPv6, et ça fait groumpfer.
Comment est censé se comporter iptables quand on DROP tout par défaut, et que toutes les règles ne concernent que les paquets en IPv4?
Les règles iptables sont totalement indépendantes entre IPv6 et IPv4. D'ailleurs, il y a un paquet de règles qui sont possibles en IPv4 mais pas implémentées en IPv6, et ça fait groumpfer.
Julien Salgado
Rakotomandimby (R12y) Mihamina a écrit :
[ article supersedes ]
Bonjour,
Salut,
Comment est censé se comporter iptables quand on DROP tout par défaut, et que toutes les règles ne concernent que les paquets en IPv4?
iptables est juste un outil qui permet de configurer les tables Netfilter de la couche IPv4. Donc, quand on DROP tout iptables ce comporte bien ;))) Par contre, si tu DROP tout tu peux avoir de gros problème sur le comportement de ta couche IPv4. De plus, cela ne concerne que IPv4, les autres protocoles de niveau 3 (IPv6, X25, DecNET, IPX, ARP, Appletalk,...) ne sont pas affectés et modifiés.
En fait c'est suite à mon post sur les "XMLSocket & Java".
J'ai autorisé les INPUT sur le port 18000 mais avec iptable, est-ce que je dois passer un coup de ip6tables maintenant?
Si ton programmes fait un bind en IPv4 et IPv6, si tu veux qu'il réponde en ipv6 il faut qu'il soit autorisé
Est ce que les paquets v6 seront DROPPéS?
Non, si tu veux qu'il le soit il faut le faire explicitement. De plus, pour info il n'y a pas (encore) de suivi session en IPv6. donc les règles sont beaucoup moins précises.
Merci d'avance.
-- Julien
Rakotomandimby (R12y) Mihamina a écrit :
[ article supersedes ]
Bonjour,
Salut,
Comment est censé se comporter iptables quand on DROP tout par défaut,
et que toutes les règles ne concernent que les paquets en IPv4?
iptables est juste un outil qui permet de configurer les tables
Netfilter de la couche IPv4. Donc, quand on DROP tout iptables ce
comporte bien ;))) Par contre, si tu DROP tout tu peux avoir de gros
problème sur le comportement de ta couche IPv4. De plus, cela ne
concerne que IPv4, les autres protocoles de niveau 3 (IPv6, X25, DecNET,
IPX, ARP, Appletalk,...) ne sont pas affectés et modifiés.
En fait c'est suite à mon post sur les "XMLSocket & Java".
J'ai autorisé les INPUT sur le port 18000 mais avec iptable, est-ce que
je dois passer un coup de ip6tables maintenant?
Si ton programmes fait un bind en IPv4 et IPv6, si tu veux qu'il réponde
en ipv6 il faut qu'il soit autorisé
Est ce que les paquets v6 seront DROPPéS?
Non, si tu veux qu'il le soit il faut le faire explicitement.
De plus, pour info il n'y a pas (encore) de suivi session en IPv6. donc
les règles sont beaucoup moins précises.
Comment est censé se comporter iptables quand on DROP tout par défaut, et que toutes les règles ne concernent que les paquets en IPv4?
iptables est juste un outil qui permet de configurer les tables Netfilter de la couche IPv4. Donc, quand on DROP tout iptables ce comporte bien ;))) Par contre, si tu DROP tout tu peux avoir de gros problème sur le comportement de ta couche IPv4. De plus, cela ne concerne que IPv4, les autres protocoles de niveau 3 (IPv6, X25, DecNET, IPX, ARP, Appletalk,...) ne sont pas affectés et modifiés.
En fait c'est suite à mon post sur les "XMLSocket & Java".
J'ai autorisé les INPUT sur le port 18000 mais avec iptable, est-ce que je dois passer un coup de ip6tables maintenant?
Si ton programmes fait un bind en IPv4 et IPv6, si tu veux qu'il réponde en ipv6 il faut qu'il soit autorisé
Est ce que les paquets v6 seront DROPPéS?
Non, si tu veux qu'il le soit il faut le faire explicitement. De plus, pour info il n'y a pas (encore) de suivi session en IPv6. donc les règles sont beaucoup moins précises.
Merci d'avance.
-- Julien
Rakotomandimby (R12y) Mihamina
Nicolas George <nicolas$ :
il y a un paquet de règles qui sont possibles en IPv4 mais pas implémentées en IPv6
Chez moi, c'est pire:
# modprobe ip6_tables # ip6tables-save # ip6tables -L ip6tables v1.2.11: can't initialize ip6tables table `filter': Table does not exist (do you need to insmod?)
Et j'ai le même message d'erreur quelque soit la règle que je veux "appender". Même un flush me retourne le même message.
Là, j'avoue que j'ai l'impression que pour l'instant ils n'ont rédigé qu'un seul message d'erreur qu'ils balancent à chaque coup ;-P
Parceque si j'avais un message différent avec une tentative différente, je pourrait essayer de déduire.... mais avec un seul message,...
Quelqu'un a une piste?
J'ai un noyau 2.6.8-2 packagé de chez Debian on peut dire que c'est une Sarge (parceque je n'ai pas upgradé depuis la sortie de Sarge, et je suis en "testing" dans mon sources.list)
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Nicolas George <nicolas$george@salle-s.org> :
il y a un paquet de règles qui sont possibles en IPv4 mais
pas implémentées en IPv6
Chez moi, c'est pire:
# modprobe ip6_tables
# ip6tables-save
# ip6tables -L
ip6tables v1.2.11: can't initialize ip6tables table `filter':
Table does not exist (do you need to insmod?)
Et j'ai le même message d'erreur quelque soit la règle que je veux
"appender". Même un flush me retourne le même message.
Là, j'avoue que j'ai l'impression que pour l'instant ils n'ont rédigé
qu'un seul message d'erreur qu'ils balancent à chaque coup ;-P
Parceque si j'avais un message différent avec une tentative différente,
je pourrait essayer de déduire.... mais avec un seul message,...
Quelqu'un a une piste?
J'ai un noyau 2.6.8-2 packagé de chez Debian on peut dire que c'est une
Sarge (parceque je n'ai pas upgradé depuis la sortie de Sarge, et je suis
en "testing" dans mon sources.list)
--
Miroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
il y a un paquet de règles qui sont possibles en IPv4 mais pas implémentées en IPv6
Chez moi, c'est pire:
# modprobe ip6_tables # ip6tables-save # ip6tables -L ip6tables v1.2.11: can't initialize ip6tables table `filter': Table does not exist (do you need to insmod?)
Et j'ai le même message d'erreur quelque soit la règle que je veux "appender". Même un flush me retourne le même message.
Là, j'avoue que j'ai l'impression que pour l'instant ils n'ont rédigé qu'un seul message d'erreur qu'ils balancent à chaque coup ;-P
Parceque si j'avais un message différent avec une tentative différente, je pourrait essayer de déduire.... mais avec un seul message,...
Quelqu'un a une piste?
J'ai un noyau 2.6.8-2 packagé de chez Debian on peut dire que c'est une Sarge (parceque je n'ai pas upgradé depuis la sortie de Sarge, et je suis en "testing" dans mon sources.list)
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)