J'ai quelques questions à propos de la config de iptables.
C'est pas qu'il manque de la doc, au contraire, mais je ne comprends pas
tout.
Déjà, dans plein de sites je vois une manière d'écrire les script avec
des trucs du genre :
iptables -A INPUT ...
iptables -A INPUT ...
iptables -A INPUT ...
...
mais j'ai l'habitude de rempomper une config existante où je place dans
/etc/sysconfig/iptables une syntaxe de ce genre :
*filter
:INPUT DROP [0:0]
...
-A INPUT ...
-A INPUT ...
...
COMMIT
Ce fichier est chargé via le /etc/init.d/iptables de fedora qui contient
ce truc :
$IPTABLES-restore $OPT $IPTABLES_DATA
J'ai vaguement le sentiment que la première syntaxe ne s'utilise pas en
tant qu'option, mais j'ai en fait rien capté.
Y a-t-il une syntaxe meilleure que l'autre, une façon différente de les
utiliser, bref pourquoi cette différence ?
La 2ème question concerne l'activation des logs.
J'ai trouvé un exemple
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP
et tenté d'insérer ces 3 lignes avec puis sans le "iptables" dans mon
fichier, mais ça veux pas, au lancement du service j'ai une erreur
B"a"d" "a"r"g"u"m"e"n"t" "'-N"'". Comment corriger ça ?
En fait je crois que je n'ai pas compris ce concept de "chain" dans
iptables. Vous auriez une référence claire à me faire lire ?
Mille merci d'avance :)
--
Nicolas - MICHEL at bluewin point ch
AIM : michelnicolas
On Fri, 2 Nov 2007 18:33:04 +0100, Nicolas-MICHEL'_remove_'@bluewin.ch (Nicolas MICHEL) wrote:
C'est parce que le LPR n'est pas du tcp, Si.
que c'est pas le dport 515 Ca pourrait aussi être du 9100
-- Nina
Nicolas-MICHEL'_remove_'
Nina Popravka wrote:
On Fri, 2 Nov 2007 18:33:04 +0100, Nicolas-MICHEL'_remove_'@bluewin.ch (Nicolas MICHEL) wrote:
C'est parce que le LPR n'est pas du tcp, Si.
que c'est pas le dport 515 Ca pourrait aussi être du 9100
C'est à dire que j'ai testé à peu près tout, y compris le fowrard de tout ce qui vient de mon serveur d'impression vers l'ip de l'imprimante. Donc si ça avait été le mauvais port, en les forwardant tous ça aurait dû passer.
Je ne connais pas grand-chose aux protocoles d'impression, mais je me dit que ça doit venir de l'uri ou du nom de la queue qui spécifierait le nom de la passerelle plutôt que le nom de l'imprimante ... Un truc genre socket://passerelle:9100 ou encore lpd://passerelle/print
Ou alors c'est une couille dans iptables. J'ai actuellement ceci :
# cat /etc/sysconfig/iptables | grep -vE "^#" |grep -vE "^$" *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp -s 130.223.212.0/23 -j ACCEPT COMMIT *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A PREROUTING -i eth0 -p tcp --dport 515 -j DNAT --to-destination 130.223.212.54 -A PREROUTING -i eth0 -p tcp --dport 9100 -j DNAT --to-destination 130.223.212.54 -A POSTROUTING -o eth0 -j MASQUERADE COMMIT
Une idée ?
Mille merci d'avance :) -- Nicolas - MICHEL at bluewin point ch AIM : michelnicolas
Nina Popravka <Nina@nospam.invalid> wrote:
On Fri, 2 Nov 2007 18:33:04 +0100, Nicolas-MICHEL'_remove_'@bluewin.ch
(Nicolas MICHEL) wrote:
C'est parce que le LPR n'est pas du tcp,
Si.
que c'est pas le dport 515
Ca pourrait aussi être du 9100
C'est à dire que j'ai testé à peu près tout, y compris le fowrard de
tout ce qui vient de mon serveur d'impression vers l'ip de l'imprimante.
Donc si ça avait été le mauvais port, en les forwardant tous ça aurait
dû passer.
Je ne connais pas grand-chose aux protocoles d'impression, mais je me
dit que ça doit venir de l'uri ou du nom de la queue qui spécifierait le
nom de la passerelle plutôt que le nom de l'imprimante ... Un truc genre
socket://passerelle:9100
ou encore
lpd://passerelle/print
Ou alors c'est une couille dans iptables.
J'ai actuellement ceci :
# cat /etc/sysconfig/iptables |
grep -vE "^#" |grep -vE "^$"
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp -s 130.223.212.0/23 -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp --dport 515 -j DNAT --to-destination
130.223.212.54
-A PREROUTING -i eth0 -p tcp --dport 9100 -j DNAT --to-destination
130.223.212.54
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
Une idée ?
Mille merci d'avance :)
--
Nicolas - MICHEL at bluewin point ch
AIM : michelnicolas
On Fri, 2 Nov 2007 18:33:04 +0100, Nicolas-MICHEL'_remove_'@bluewin.ch (Nicolas MICHEL) wrote:
C'est parce que le LPR n'est pas du tcp, Si.
que c'est pas le dport 515 Ca pourrait aussi être du 9100
C'est à dire que j'ai testé à peu près tout, y compris le fowrard de tout ce qui vient de mon serveur d'impression vers l'ip de l'imprimante. Donc si ça avait été le mauvais port, en les forwardant tous ça aurait dû passer.
Je ne connais pas grand-chose aux protocoles d'impression, mais je me dit que ça doit venir de l'uri ou du nom de la queue qui spécifierait le nom de la passerelle plutôt que le nom de l'imprimante ... Un truc genre socket://passerelle:9100 ou encore lpd://passerelle/print
Ou alors c'est une couille dans iptables. J'ai actuellement ceci :
# cat /etc/sysconfig/iptables | grep -vE "^#" |grep -vE "^$" *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp -s 130.223.212.0/23 -j ACCEPT COMMIT *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A PREROUTING -i eth0 -p tcp --dport 515 -j DNAT --to-destination 130.223.212.54 -A PREROUTING -i eth0 -p tcp --dport 9100 -j DNAT --to-destination 130.223.212.54 -A POSTROUTING -o eth0 -j MASQUERADE COMMIT
Une idée ?
Mille merci d'avance :) -- Nicolas - MICHEL at bluewin point ch AIM : michelnicolas
