Si jamais vous avez une expérience différente chez eux (noyau
recompilable) ou alors si vous avez un autre firewall qui puisse
fonctionner sur cette config, je suis preneur.
3 ports en entrée !
Si jamais vous avez une expérience différente chez eux (noyau
recompilable) ou alors si vous avez un autre firewall qui puisse
fonctionner sur cette config, je suis preneur.
3 ports en entrée !
Si jamais vous avez une expérience différente chez eux (noyau
recompilable) ou alors si vous avez un autre firewall qui puisse
fonctionner sur cette config, je suis preneur.
3 ports en entrée !
Le Fri, Jan 23, 2009 at 04:57:21PM +0100, David BERCOT ecrivait :
>
> Pour uname -a, j'ai :
> Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon
> Nov 17 18:41:14 MSK 2008 i686 GNU/Linux
La version Linux ressemble à une version OpenVZ.
Regardes cette page surtout le dernier paragraphe :
http://wiki.openvz.org/Setting_up_an_iptables_firewall#Setting_up_a_firew all_that_allows_per-container_configuration
1and1 a "oublié" les modules qui vont bien au niveau de l'hote
pour pouvoir avoir une conf fw au niveau des containers.
Le Fri, Jan 23, 2009 at 04:57:21PM +0100, David BERCOT ecrivait :
>
> Pour uname -a, j'ai :
> Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon
> Nov 17 18:41:14 MSK 2008 i686 GNU/Linux
La version Linux ressemble à une version OpenVZ.
Regardes cette page surtout le dernier paragraphe :
http://wiki.openvz.org/Setting_up_an_iptables_firewall#Setting_up_a_firew all_that_allows_per-container_configuration
1and1 a "oublié" les modules qui vont bien au niveau de l'hote
pour pouvoir avoir une conf fw au niveau des containers.
Le Fri, Jan 23, 2009 at 04:57:21PM +0100, David BERCOT ecrivait :
>
> Pour uname -a, j'ai :
> Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon
> Nov 17 18:41:14 MSK 2008 i686 GNU/Linux
La version Linux ressemble à une version OpenVZ.
Regardes cette page surtout le dernier paragraphe :
http://wiki.openvz.org/Setting_up_an_iptables_firewall#Setting_up_a_firew all_that_allows_per-container_configuration
1and1 a "oublié" les modules qui vont bien au niveau de l'hote
pour pouvoir avoir une conf fw au niveau des containers.
David BERCOT a écrit :
>
> En effet, c'est de la virtualisation.
J'avais bien compris (VPS), mais peux-tu savoir quel type de
virtualisation ça utilise ?
> Pour uname -a, j'ai :
> Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon
> Nov 17 18:41:14 MSK 2008 i686 GNU/Linux
Purée que c'est vieux ! Presqu'autant que le noyau inclus dans sarge ,
l'ancienne Debian stable, sachant que l'actuelle stable est en fin de
vie...
> Et sinon, /proc/config.gz n'existe pas !
>
> Ca a l'air fermé, hein ?
On va essayer autrement. /proc est monté, au moins ? Si oui,
qu'affiche cat /proc/net/ip_tables_names
cat /proc/net/ip_tables_matches
cat /proc/net/ip_tables_targets
David BERCOT a écrit :
>
> En effet, c'est de la virtualisation.
J'avais bien compris (VPS), mais peux-tu savoir quel type de
virtualisation ça utilise ?
> Pour uname -a, j'ai :
> Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon
> Nov 17 18:41:14 MSK 2008 i686 GNU/Linux
Purée que c'est vieux ! Presqu'autant que le noyau inclus dans sarge ,
l'ancienne Debian stable, sachant que l'actuelle stable est en fin de
vie...
> Et sinon, /proc/config.gz n'existe pas !
>
> Ca a l'air fermé, hein ?
On va essayer autrement. /proc est monté, au moins ? Si oui,
qu'affiche cat /proc/net/ip_tables_names
cat /proc/net/ip_tables_matches
cat /proc/net/ip_tables_targets
David BERCOT a écrit :
>
> En effet, c'est de la virtualisation.
J'avais bien compris (VPS), mais peux-tu savoir quel type de
virtualisation ça utilise ?
> Pour uname -a, j'ai :
> Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon
> Nov 17 18:41:14 MSK 2008 i686 GNU/Linux
Purée que c'est vieux ! Presqu'autant que le noyau inclus dans sarge ,
l'ancienne Debian stable, sachant que l'actuelle stable est en fin de
vie...
> Et sinon, /proc/config.gz n'existe pas !
>
> Ca a l'air fermé, hein ?
On va essayer autrement. /proc est monté, au moins ? Si oui,
qu'affiche cat /proc/net/ip_tables_names
cat /proc/net/ip_tables_matches
cat /proc/net/ip_tables_targets
Le 23 janvier 2009 16:54, David BERCOT a écrit :
> Si jamais vous avez une expérience différente chez eux (noyau
> recompilable) ou alors si vous avez un autre firewall qui puisse
> fonctionner sur cette config, je suis preneur.
Non pas mieux, désolé.
Pour le firewall, mes besoins sont limités : je veux tout bloquer sa uf
> 3 ports en entrée !
Si ce n'est que ça ce n'est pas forcément la peine de mettre en place
l'artillerie lourde. Les règles iptables sont largement faisable à la
main sauf utiliser de conntrack particulier et liés au noyau.
Quels sont les trois protocoles ? SSH (j'imagine), .... et .... ?
Le 23 janvier 2009 16:54, David BERCOT <debian@bercot.org> a écrit :
> Si jamais vous avez une expérience différente chez eux (noyau
> recompilable) ou alors si vous avez un autre firewall qui puisse
> fonctionner sur cette config, je suis preneur.
Non pas mieux, désolé.
Pour le firewall, mes besoins sont limités : je veux tout bloquer sa uf
> 3 ports en entrée !
Si ce n'est que ça ce n'est pas forcément la peine de mettre en place
l'artillerie lourde. Les règles iptables sont largement faisable à la
main sauf utiliser de conntrack particulier et liés au noyau.
Quels sont les trois protocoles ? SSH (j'imagine), .... et .... ?
Le 23 janvier 2009 16:54, David BERCOT a écrit :
> Si jamais vous avez une expérience différente chez eux (noyau
> recompilable) ou alors si vous avez un autre firewall qui puisse
> fonctionner sur cette config, je suis preneur.
Non pas mieux, désolé.
Pour le firewall, mes besoins sont limités : je veux tout bloquer sa uf
> 3 ports en entrée !
Si ce n'est que ça ce n'est pas forcément la peine de mettre en place
l'artillerie lourde. Les règles iptables sont largement faisable à la
main sauf utiliser de conntrack particulier et liés au noyau.
Quels sont les trois protocoles ? SSH (j'imagine), .... et .... ?
# cat /proc/net/ip_tables_names
mangle
filter
nat
# cat /proc/net/ip_tables_matches
length
ttl
tcpmss
tos
multiport
limit
state
tcp
udp
icmp
# cat /proc/net/ip_tables_targets
TCPMSS
REJECT
DNAT
SNAT
# cat /proc/net/ip_tables_names
mangle
filter
nat
# cat /proc/net/ip_tables_matches
length
ttl
tcpmss
tos
multiport
limit
state
tcp
udp
icmp
# cat /proc/net/ip_tables_targets
TCPMSS
REJECT
DNAT
SNAT
# cat /proc/net/ip_tables_names
mangle
filter
nat
# cat /proc/net/ip_tables_matches
length
ttl
tcpmss
tos
multiport
limit
state
tcp
udp
icmp
# cat /proc/net/ip_tables_targets
TCPMSS
REJECT
DNAT
SNAT
David BERCOT a écrit :
>
> # cat /proc/net/ip_tables_names
> mangle
> filter
> nat
> # cat /proc/net/ip_tables_matches
> length
> ttl
> tcpmss
> tos
> multiport
> limit
> state
> tcp
> udp
> icmp
> # cat /proc/net/ip_tables_targets
> TCPMSS
> REJECT
> DNAT
> SNAT
Bon, y a pas tout, mais le minimum est présent. Il faudrait regarder
quelle règle générée par shorewall provoque l'erreur en suivant les
instructions de la page que tu cites dans ton premier message. Il
manque la cible LOG, ça pourrait venir de là .
David BERCOT a écrit :
>
> # cat /proc/net/ip_tables_names
> mangle
> filter
> nat
> # cat /proc/net/ip_tables_matches
> length
> ttl
> tcpmss
> tos
> multiport
> limit
> state
> tcp
> udp
> icmp
> # cat /proc/net/ip_tables_targets
> TCPMSS
> REJECT
> DNAT
> SNAT
Bon, y a pas tout, mais le minimum est présent. Il faudrait regarder
quelle règle générée par shorewall provoque l'erreur en suivant les
instructions de la page que tu cites dans ton premier message. Il
manque la cible LOG, ça pourrait venir de là .
David BERCOT a écrit :
>
> # cat /proc/net/ip_tables_names
> mangle
> filter
> nat
> # cat /proc/net/ip_tables_matches
> length
> ttl
> tcpmss
> tos
> multiport
> limit
> state
> tcp
> udp
> icmp
> # cat /proc/net/ip_tables_targets
> TCPMSS
> REJECT
> DNAT
> SNAT
Bon, y a pas tout, mais le minimum est présent. Il faudrait regarder
quelle règle générée par shorewall provoque l'erreur en suivant les
instructions de la page que tu cites dans ton premier message. Il
manque la cible LOG, ça pourrait venir de là .
Pascal Hambourg a écrit :
Il faudrait regarder
quelle règle générée par shorewall provoque l'erreur en suivant les
instructions de la page que tu cites dans ton premier message. Il
manque la cible LOG, ça pourrait venir de là.
Voilà ce que ça donne quand je tente de lancer shorewall :
# shorewall start
On peut tirer quelque chose de ça ? Y a-t-il une log quelque part ?
Pascal Hambourg <pascal.mail@plouf.fr.eu.org> a écrit :
Il faudrait regarder
quelle règle générée par shorewall provoque l'erreur en suivant les
instructions de la page que tu cites dans ton premier message. Il
manque la cible LOG, ça pourrait venir de là.
Voilà ce que ça donne quand je tente de lancer shorewall :
# shorewall start
On peut tirer quelque chose de ça ? Y a-t-il une log quelque part ?
Pascal Hambourg a écrit :
Il faudrait regarder
quelle règle générée par shorewall provoque l'erreur en suivant les
instructions de la page que tu cites dans ton premier message. Il
manque la cible LOG, ça pourrait venir de là.
Voilà ce que ça donne quand je tente de lancer shorewall :
# shorewall start
On peut tirer quelque chose de ça ? Y a-t-il une log quelque part ?
>> Il faudrait regarder
>> quelle règle générée par shorewall provoque l'erre ur en suivant
>> les instructions de la page que tu cites dans ton premier message.
>> Il manque la cible LOG, ça pourrait venir de là .
Non, je suggérais de faire ce qui est décrit là :
<http://www.shorewall.net/troubleshoot.htm#Start-shell>.
Soit ajouter l'option "-vv" pour augmenter la "verbosité"
shorewall -vv [re]start
>> Il faudrait regarder
>> quelle règle générée par shorewall provoque l'erre ur en suivant
>> les instructions de la page que tu cites dans ton premier message.
>> Il manque la cible LOG, ça pourrait venir de là .
Non, je suggérais de faire ce qui est décrit là :
<http://www.shorewall.net/troubleshoot.htm#Start-shell>.
Soit ajouter l'option "-vv" pour augmenter la "verbosité"
shorewall -vv [re]start
>> Il faudrait regarder
>> quelle règle générée par shorewall provoque l'erre ur en suivant
>> les instructions de la page que tu cites dans ton premier message.
>> Il manque la cible LOG, ça pourrait venir de là .
Non, je suggérais de faire ce qui est décrit là :
<http://www.shorewall.net/troubleshoot.htm#Start-shell>.
Soit ajouter l'option "-vv" pour augmenter la "verbosité"
shorewall -vv [re]start
iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
Il me reste toutefois un souci. Je souhaite utiliser sslh (merci
Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local.
Si je fais uniquement :
iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT
ça ne marche pas !!!
iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
Il me reste toutefois un souci. Je souhaite utiliser sslh (merci
Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local.
Si je fais uniquement :
iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT
ça ne marche pas !!!
iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
Il me reste toutefois un souci. Je souhaite utiliser sslh (merci
Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local.
Si je fais uniquement :
iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT
ça ne marche pas !!!
David BERCOT a écrit :
>
> iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
L'option -s est trop restrictive, les paquets émis sur l'interface d e
loopback peuvent avoir n'importe quelle adresse source locale. Cela
inclut la plage 127.0.0.0/8 et toutes les adresses configurées sur
les interfaces de la machine.
> Il me reste toutefois un souci. Je souhaite utiliser sslh (merci
> Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local.
> Si je fais uniquement :
> iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT
> ça ne marche pas !!!
C'est censé marcher comment au niveau réseau, sslh ?
David BERCOT a écrit :
>
> iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
L'option -s est trop restrictive, les paquets émis sur l'interface d e
loopback peuvent avoir n'importe quelle adresse source locale. Cela
inclut la plage 127.0.0.0/8 et toutes les adresses configurées sur
les interfaces de la machine.
> Il me reste toutefois un souci. Je souhaite utiliser sslh (merci
> Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local.
> Si je fais uniquement :
> iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT
> ça ne marche pas !!!
C'est censé marcher comment au niveau réseau, sslh ?
David BERCOT a écrit :
>
> iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
L'option -s est trop restrictive, les paquets émis sur l'interface d e
loopback peuvent avoir n'importe quelle adresse source locale. Cela
inclut la plage 127.0.0.0/8 et toutes les adresses configurées sur
les interfaces de la machine.
> Il me reste toutefois un souci. Je souhaite utiliser sslh (merci
> Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local.
> Si je fais uniquement :
> iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT
> ça ne marche pas !!!
C'est censé marcher comment au niveau réseau, sslh ?