J'ai un petit soucis avec iptables, je souhaiterai rediriger ce qui
arrive sur le port 200 sur eth0 vers le port 100 de la même machine.
Ceci n'est pas compliqué :
Le problème est que je souhaiterai que le port 100 ne soit plus
accessible directement. Si je fais naïvement :
iptables -i eth0 -p tcp --dport 100 -j REJECT
iptables bloque tout se qui arrive sur le port 100 mais aussi ce qui
a été redirigé.
Comment faire pour changer un port de façon transparente (l'ancien port
n'est plus visible) ?
le 15/09/2009 à 11:24, Pascal Hambourg a écrit dans le message <h8nmg7$19os$ :
Benoît, quel est le but la manoeuvre ? N'était-il pas possible de simplement modifier le port d'écoute du service concerné ?
Oui, bien sûr (c'est openssh). Jusqu'ici, ça me permettait d'accéder chez moi depuis ma boîte qui filtre en sorti et depuis les hôtels sur le port classique. Vu le nombre de tentatives par des machines compromises qui me remplissent mes logs, je souhaite dorénavant fermer le port 22.
Ensuite, la question en elle même, c'est plus pour comprendre comment ça fonctionne qu'un réel problème. Il y a bien longtemps que je n'ai pas joué avec iptables et vu que j'ai remis un Linux sur ma machine principale et que j'ai un peu de temps libre (vive les RTT !), j'en profite.
Avis perso : avec IPv6 qui approche, il faudrait commencer à se désintoxiquer du NAT et de ses facilités, car il n'y a pas de NAT pour IPv6 dans netfilter/iptables et ça n'a pas l'air d'être dans les intentions des développeurs de l'ajouter.
On y est pas encore en IPv6. Je jouais avec il y a déjà quelques années lorsque j'étais chez Nerim (2002 il me semble) et je n'ai pas l'impression que les choses aient beaucoup évoluées depuis ; ce n'est pas le pseudo IPv6 de Free qui va me faire changer d'avis.
-- Benoit Izac
Bonjour,
le 15/09/2009 à 11:24, Pascal Hambourg a écrit dans le message
<h8nmg7$19os$1@saria.nerim.net> :
Benoît, quel est le but la manoeuvre ? N'était-il pas possible de
simplement modifier le port d'écoute du service concerné ?
Oui, bien sûr (c'est openssh). Jusqu'ici, ça me permettait d'accéder
chez moi depuis ma boîte qui filtre en sorti et depuis les hôtels sur le
port classique. Vu le nombre de tentatives par des machines compromises
qui me remplissent mes logs, je souhaite dorénavant fermer le port 22.
Ensuite, la question en elle même, c'est plus pour comprendre comment ça
fonctionne qu'un réel problème. Il y a bien longtemps que je n'ai pas
joué avec iptables et vu que j'ai remis un Linux sur ma machine
principale et que j'ai un peu de temps libre (vive les RTT !), j'en
profite.
Avis perso : avec IPv6 qui approche, il faudrait commencer à se
désintoxiquer du NAT et de ses facilités, car il n'y a pas de NAT pour
IPv6 dans netfilter/iptables et ça n'a pas l'air d'être dans les
intentions des développeurs de l'ajouter.
On y est pas encore en IPv6. Je jouais avec il y a déjà quelques années
lorsque j'étais chez Nerim (2002 il me semble) et je n'ai pas
l'impression que les choses aient beaucoup évoluées depuis ; ce n'est
pas le pseudo IPv6 de Free qui va me faire changer d'avis.
le 15/09/2009 à 11:24, Pascal Hambourg a écrit dans le message <h8nmg7$19os$ :
Benoît, quel est le but la manoeuvre ? N'était-il pas possible de simplement modifier le port d'écoute du service concerné ?
Oui, bien sûr (c'est openssh). Jusqu'ici, ça me permettait d'accéder chez moi depuis ma boîte qui filtre en sorti et depuis les hôtels sur le port classique. Vu le nombre de tentatives par des machines compromises qui me remplissent mes logs, je souhaite dorénavant fermer le port 22.
Ensuite, la question en elle même, c'est plus pour comprendre comment ça fonctionne qu'un réel problème. Il y a bien longtemps que je n'ai pas joué avec iptables et vu que j'ai remis un Linux sur ma machine principale et que j'ai un peu de temps libre (vive les RTT !), j'en profite.
Avis perso : avec IPv6 qui approche, il faudrait commencer à se désintoxiquer du NAT et de ses facilités, car il n'y a pas de NAT pour IPv6 dans netfilter/iptables et ça n'a pas l'air d'être dans les intentions des développeurs de l'ajouter.
On y est pas encore en IPv6. Je jouais avec il y a déjà quelques années lorsque j'étais chez Nerim (2002 il me semble) et je n'ai pas l'impression que les choses aient beaucoup évoluées depuis ; ce n'est pas le pseudo IPv6 de Free qui va me faire changer d'avis.
-- Benoit Izac
Pascal Hambourg
Benoit Izac a écrit :
On y est pas encore en IPv6. Je jouais avec il y a déjà quelques années lorsque j'étais chez Nerim (2002 il me semble) et je n'ai pas l'impression que les choses aient beaucoup évoluées depuis ;
Mais avec la pénurie d'adresses IPv4 qui va se faire de plus en plus pressante, si on ne bascule pas vers l'IPv6 je crains qu'on se dirige vers un modèle de type Minitel 2.0 avec NAT à tous les étages (même chez les FAI) où seuls les services qui en ont les moyens pourront s'offrir des adresses publiques.
ce n'est pas le pseudo IPv6 de Free qui va me faire changer d'avis.
Qu'est-ce que tu lui reproches ?
Benoit Izac a écrit :
On y est pas encore en IPv6. Je jouais avec il y a déjà quelques années
lorsque j'étais chez Nerim (2002 il me semble) et je n'ai pas
l'impression que les choses aient beaucoup évoluées depuis ;
Mais avec la pénurie d'adresses IPv4 qui va se faire de plus en plus
pressante, si on ne bascule pas vers l'IPv6 je crains qu'on se dirige
vers un modèle de type Minitel 2.0 avec NAT à tous les étages (même chez
les FAI) où seuls les services qui en ont les moyens pourront s'offrir
des adresses publiques.
ce n'est pas le pseudo IPv6 de Free qui va me faire changer d'avis.
On y est pas encore en IPv6. Je jouais avec il y a déjà quelques années lorsque j'étais chez Nerim (2002 il me semble) et je n'ai pas l'impression que les choses aient beaucoup évoluées depuis ;
Mais avec la pénurie d'adresses IPv4 qui va se faire de plus en plus pressante, si on ne bascule pas vers l'IPv6 je crains qu'on se dirige vers un modèle de type Minitel 2.0 avec NAT à tous les étages (même chez les FAI) où seuls les services qui en ont les moyens pourront s'offrir des adresses publiques.
ce n'est pas le pseudo IPv6 de Free qui va me faire changer d'avis.
Qu'est-ce que tu lui reproches ?
Benoit Izac
Bonjour,
le 15/09/2009 à 15:18, Pascal Hambourg a écrit dans le message <h8o47h$1duk$ :
ce n'est pas le pseudo IPv6 de Free qui va me faire changer d'avis.
Qu'est-ce que tu lui reproches ?
À ce que j'ai pu tester lorsqu'il est arrivé : - d'avoir un /64 donc non routable et de devoir ainsi bricoler pour permettre au machines derrière mon routeur d'utiliser IPv6. Or c'est justement ça qui m'intéresse : pouvoir enfin ne plus utiliser le NAT - de devoir créer le tunnel à la main (FBv4 NG) - de ne pas avoir la délégation sur les reverses
Soit suffisamment pour que je n'ai pas l'intention de l'utiliser dans l'état actuel. D'ailleurs les personne utilisant des *BSD ne peuvent même pas faire les bidouilles que Linux permet.
-- Benoit Izac
Bonjour,
le 15/09/2009 à 15:18, Pascal Hambourg a écrit dans le message
<h8o47h$1duk$1@saria.nerim.net> :
ce n'est pas le pseudo IPv6 de Free qui va me faire changer d'avis.
Qu'est-ce que tu lui reproches ?
À ce que j'ai pu tester lorsqu'il est arrivé :
- d'avoir un /64 donc non routable et de devoir ainsi bricoler pour
permettre au machines derrière mon routeur d'utiliser IPv6. Or c'est
justement ça qui m'intéresse : pouvoir enfin ne plus utiliser le NAT
- de devoir créer le tunnel à la main (FBv4 NG)
- de ne pas avoir la délégation sur les reverses
Soit suffisamment pour que je n'ai pas l'intention de l'utiliser dans
l'état actuel. D'ailleurs les personne utilisant des *BSD ne peuvent
même pas faire les bidouilles que Linux permet.
le 15/09/2009 à 15:18, Pascal Hambourg a écrit dans le message <h8o47h$1duk$ :
ce n'est pas le pseudo IPv6 de Free qui va me faire changer d'avis.
Qu'est-ce que tu lui reproches ?
À ce que j'ai pu tester lorsqu'il est arrivé : - d'avoir un /64 donc non routable et de devoir ainsi bricoler pour permettre au machines derrière mon routeur d'utiliser IPv6. Or c'est justement ça qui m'intéresse : pouvoir enfin ne plus utiliser le NAT - de devoir créer le tunnel à la main (FBv4 NG) - de ne pas avoir la délégation sur les reverses
Soit suffisamment pour que je n'ai pas l'intention de l'utiliser dans l'état actuel. D'ailleurs les personne utilisant des *BSD ne peuvent même pas faire les bidouilles que Linux permet.
-- Benoit Izac
Pascal Hambourg
Benoit Izac a écrit :
ce n'est pas le pseudo IPv6 de Free qui va me faire changer d'avis.
Qu'est-ce que tu lui reproches ?
À ce que j'ai pu tester lorsqu'il est arrivé : - d'avoir un /64 donc non routable et de devoir ainsi bricoler pour permettre au machines derrière mon routeur d'utiliser IPv6.
Le /64 est global donc forcément routable. Je suppose que tu voulais dire que l'utilisateur n'a pas la maîtrise de son routage sur son LAN.
Note : depuis le changement de préfixe IPv6 de Free, le /64 routé vers chaque connexion Freebox est devenu un /60, mais seul un /64 est routé sur le LAN par la Freebox. Le reste est apparemment inutilisable. Rageant, non ?
- de devoir créer le tunnel à la main (FBv4 NG)
Non dégroupé ? Si tu gères le tunnel sur ton routeur alors tu as la maîtrise du routage du préfixe. Tu ne peux pas reprocher les deux à la fois.
- de ne pas avoir la délégation sur les reverses
Les reproches classiques du geek, en somme. C'est vrai que ça manque de finition et c'est dommage car il était prévisible que l'IPv6 intéresserait en priorité les geeks.
Benoit Izac a écrit :
ce n'est pas le pseudo IPv6 de Free qui va me faire changer d'avis.
Qu'est-ce que tu lui reproches ?
À ce que j'ai pu tester lorsqu'il est arrivé :
- d'avoir un /64 donc non routable et de devoir ainsi bricoler pour
permettre au machines derrière mon routeur d'utiliser IPv6.
Le /64 est global donc forcément routable. Je suppose que tu voulais
dire que l'utilisateur n'a pas la maîtrise de son routage sur son LAN.
Note : depuis le changement de préfixe IPv6 de Free, le /64 routé vers
chaque connexion Freebox est devenu un /60, mais seul un /64 est routé
sur le LAN par la Freebox. Le reste est apparemment inutilisable.
Rageant, non ?
- de devoir créer le tunnel à la main (FBv4 NG)
Non dégroupé ? Si tu gères le tunnel sur ton routeur alors tu as la
maîtrise du routage du préfixe. Tu ne peux pas reprocher les deux à la fois.
- de ne pas avoir la délégation sur les reverses
Les reproches classiques du geek, en somme. C'est vrai que ça manque de
finition et c'est dommage car il était prévisible que l'IPv6
intéresserait en priorité les geeks.
ce n'est pas le pseudo IPv6 de Free qui va me faire changer d'avis.
Qu'est-ce que tu lui reproches ?
À ce que j'ai pu tester lorsqu'il est arrivé : - d'avoir un /64 donc non routable et de devoir ainsi bricoler pour permettre au machines derrière mon routeur d'utiliser IPv6.
Le /64 est global donc forcément routable. Je suppose que tu voulais dire que l'utilisateur n'a pas la maîtrise de son routage sur son LAN.
Note : depuis le changement de préfixe IPv6 de Free, le /64 routé vers chaque connexion Freebox est devenu un /60, mais seul un /64 est routé sur le LAN par la Freebox. Le reste est apparemment inutilisable. Rageant, non ?
- de devoir créer le tunnel à la main (FBv4 NG)
Non dégroupé ? Si tu gères le tunnel sur ton routeur alors tu as la maîtrise du routage du préfixe. Tu ne peux pas reprocher les deux à la fois.
- de ne pas avoir la délégation sur les reverses
Les reproches classiques du geek, en somme. C'est vrai que ça manque de finition et c'est dommage car il était prévisible que l'IPv6 intéresserait en priorité les geeks.
Benoit Izac
Bonjour,
le 15/09/2009 à 17:24, Pascal Hambourg a écrit dans le message <h8objb$1g90$ :
- de devoir créer le tunnel à la main (FBv4 NG)
Non dégroupé ? Si tu gères le tunnel sur ton routeur alors tu as la maîtrise du routage du préfixe. Tu ne peux pas reprocher les deux à la fois.
Oui, non dégroupé (je voulais écrire ND en lieu et place de NG). J'ai effectivement un /60 et j'ai réussi à faire fonctionner les machines derrières. Sauf que Free n'a pas commencé par ça (c'était bien un /64 au départ). De plus le endpoint à changé comme par magie.
Si je souhaite utiliser IPv6, ce n'est pas pour avoir un truc qui fonctionne pendant six mois et puis ne fonctionne plus en raison d'un changement de Free. IPv4 me convient ; à part le NAT, IPv6 ne m'apporte rien voir m'en enlève puisqu'il y a bien moins de serveurs en IPv6 qu'en IPv4 et la plupart de ceux qui sont en IPv6 le sont aussi en IPv4.
- de ne pas avoir la délégation sur les reverses
Les reproches classiques du geek, en somme. C'est vrai que ça manque de finition et c'est dommage car il était prévisible que l'IPv6 intéresserait en priorité les geeks.
Donc si les geeks n'y sont pas encore, j'aimerais bien savoir quand la totalité de la planète sera en IPv6. Je pense que l'on peut prendre les paris que se ne sera pas avant plus d'une dizaine d'années.
-- Benoit Izac
Bonjour,
le 15/09/2009 à 17:24, Pascal Hambourg a écrit dans le message
<h8objb$1g90$1@saria.nerim.net> :
- de devoir créer le tunnel à la main (FBv4 NG)
Non dégroupé ? Si tu gères le tunnel sur ton routeur alors tu as la
maîtrise du routage du préfixe. Tu ne peux pas reprocher les deux à la
fois.
Oui, non dégroupé (je voulais écrire ND en lieu et place de NG). J'ai
effectivement un /60 et j'ai réussi à faire fonctionner les machines
derrières. Sauf que Free n'a pas commencé par ça (c'était bien un /64 au
départ). De plus le endpoint à changé comme par magie.
Si je souhaite utiliser IPv6, ce n'est pas pour avoir un truc qui
fonctionne pendant six mois et puis ne fonctionne plus en raison d'un
changement de Free. IPv4 me convient ; à part le NAT, IPv6 ne m'apporte
rien voir m'en enlève puisqu'il y a bien moins de serveurs en IPv6 qu'en
IPv4 et la plupart de ceux qui sont en IPv6 le sont aussi en IPv4.
- de ne pas avoir la délégation sur les reverses
Les reproches classiques du geek, en somme. C'est vrai que ça manque
de finition et c'est dommage car il était prévisible que l'IPv6
intéresserait en priorité les geeks.
Donc si les geeks n'y sont pas encore, j'aimerais bien savoir quand la
totalité de la planète sera en IPv6. Je pense que l'on peut prendre les
paris que se ne sera pas avant plus d'une dizaine d'années.
le 15/09/2009 à 17:24, Pascal Hambourg a écrit dans le message <h8objb$1g90$ :
- de devoir créer le tunnel à la main (FBv4 NG)
Non dégroupé ? Si tu gères le tunnel sur ton routeur alors tu as la maîtrise du routage du préfixe. Tu ne peux pas reprocher les deux à la fois.
Oui, non dégroupé (je voulais écrire ND en lieu et place de NG). J'ai effectivement un /60 et j'ai réussi à faire fonctionner les machines derrières. Sauf que Free n'a pas commencé par ça (c'était bien un /64 au départ). De plus le endpoint à changé comme par magie.
Si je souhaite utiliser IPv6, ce n'est pas pour avoir un truc qui fonctionne pendant six mois et puis ne fonctionne plus en raison d'un changement de Free. IPv4 me convient ; à part le NAT, IPv6 ne m'apporte rien voir m'en enlève puisqu'il y a bien moins de serveurs en IPv6 qu'en IPv4 et la plupart de ceux qui sont en IPv6 le sont aussi en IPv4.
- de ne pas avoir la délégation sur les reverses
Les reproches classiques du geek, en somme. C'est vrai que ça manque de finition et c'est dommage car il était prévisible que l'IPv6 intéresserait en priorité les geeks.
Donc si les geeks n'y sont pas encore, j'aimerais bien savoir quand la totalité de la planète sera en IPv6. Je pense que l'on peut prendre les paris que se ne sera pas avant plus d'une dizaine d'années.
-- Benoit Izac
Fabien LE LEZ
On Tue, 15 Sep 2009 18:12:37 +0200, Benoit Izac :
Donc si les geeks n'y sont pas encore, j'aimerais bien savoir quand la totalité de la planète sera en IPv6
Je m'intéresserai à IPv6 dès que la pénurie d'adresses IPv4 me posera effectivement un problème. Et j'ai l'impression que quasiment tout le monde fait pareil.
On Tue, 15 Sep 2009 18:12:37 +0200, Benoit Izac :
Donc si les geeks n'y sont pas encore, j'aimerais bien savoir quand la
totalité de la planète sera en IPv6
Je m'intéresserai à IPv6 dès que la pénurie d'adresses IPv4 me posera
effectivement un problème. Et j'ai l'impression que quasiment tout le
monde fait pareil.
Donc si les geeks n'y sont pas encore, j'aimerais bien savoir quand la totalité de la planète sera en IPv6
Je m'intéresserai à IPv6 dès que la pénurie d'adresses IPv4 me posera effectivement un problème. Et j'ai l'impression que quasiment tout le monde fait pareil.
Nicolas George
Fabien LE LEZ wrote in message :
Je m'intéresserai à IPv6 dès que la pénurie d'adresses IPv4 me posera effectivement un problème.
Tu as combien de machines chez toi ? Et combien d'adresses IPv4 ?
Fabien LE LEZ wrote in message
<7agva59l8g5up2rpenh1esrbgjms124udc@4ax.com>:
Je m'intéresserai à IPv6 dès que la pénurie d'adresses IPv4 me posera
effectivement un problème.
Tu as combien de machines chez toi ? Et combien d'adresses IPv4 ?
Une à trois chez moi suivant les moments, et une quinzaine au bureau. Une adresse IPv4 dans chaque cas.
Dans ce cas, tu souffres déjà de la pénurie d'adresses IPv4.
Fabien LE LEZ
On 15 Sep 2009 17:07:24 GMT, Nicolas George <nicolas$:
Une à trois chez moi suivant les moments, et une quinzaine au bureau. Une adresse IPv4 dans chaque cas.
Dans ce cas, tu souffres déjà de la pénurie d'adresses IPv4.
Pourquoi ? Le NAT n'est peut-être pas une solution élégante, mais elle fonctionne bien, et me convient parfaitement.
Si je pouvais avoir autant d'adresses IP que je veux (Ce qui est d'ailleurs peut-être possible -- je crois que c'est prévu dans le formulaire d'abonnement à Nerim), ça ne m'arrangerait pas spécialement.
D'ailleurs, au bureau, la plupart des machines sont derrière un proxy Squid, et n'ont donc pas d'accès à Internet. Leur donner une adresse IP routable aurait encore moins de sens.
Indépendamment de tout ça, je viens de commander un serveur dédié chez un hébergeur. Trois adresses IP lui ont été assignées par défaut, et je n'ai pas la moindre idée de ce à quoi deux d'entre elles vont pouvoir servir.
On 15 Sep 2009 17:07:24 GMT, Nicolas George
<nicolas$george@salle-s.org>:
Une à trois chez moi suivant les moments, et une quinzaine au bureau.
Une adresse IPv4 dans chaque cas.
Dans ce cas, tu souffres déjà de la pénurie d'adresses IPv4.
Pourquoi ? Le NAT n'est peut-être pas une solution élégante, mais elle
fonctionne bien, et me convient parfaitement.
Si je pouvais avoir autant d'adresses IP que je veux (Ce qui est
d'ailleurs peut-être possible -- je crois que c'est prévu dans le
formulaire d'abonnement à Nerim), ça ne m'arrangerait pas
spécialement.
D'ailleurs, au bureau, la plupart des machines sont derrière un proxy
Squid, et n'ont donc pas d'accès à Internet. Leur donner une adresse
IP routable aurait encore moins de sens.
Indépendamment de tout ça, je viens de commander un serveur dédié chez
un hébergeur. Trois adresses IP lui ont été assignées par défaut, et
je n'ai pas la moindre idée de ce à quoi deux d'entre elles vont
pouvoir servir.
On 15 Sep 2009 17:07:24 GMT, Nicolas George <nicolas$:
Une à trois chez moi suivant les moments, et une quinzaine au bureau. Une adresse IPv4 dans chaque cas.
Dans ce cas, tu souffres déjà de la pénurie d'adresses IPv4.
Pourquoi ? Le NAT n'est peut-être pas une solution élégante, mais elle fonctionne bien, et me convient parfaitement.
Si je pouvais avoir autant d'adresses IP que je veux (Ce qui est d'ailleurs peut-être possible -- je crois que c'est prévu dans le formulaire d'abonnement à Nerim), ça ne m'arrangerait pas spécialement.
D'ailleurs, au bureau, la plupart des machines sont derrière un proxy Squid, et n'ont donc pas d'accès à Internet. Leur donner une adresse IP routable aurait encore moins de sens.
Indépendamment de tout ça, je viens de commander un serveur dédié chez un hébergeur. Trois adresses IP lui ont été assignées par défaut, et je n'ai pas la moindre idée de ce à quoi deux d'entre elles vont pouvoir servir.