Dans le cadre de la mise en place d'un serveur de rebond (sous Debian
Squeeze) dans le but d'=C3=A9tablir des connexsions SSH vers diff=C3=A9rent=
es machines
virtuelles, il est n=C3=A9cessaire de faire de la QoS et donc de modifier g=
r=C3=A2ce =C3=A0
iptables la valeur du champ TOS se situant dans l'en t=C3=AAte IP.
(Dans le cas contraire, les connexions telnet ou SSH sont syst=C3=A9matique=
ment
rejet=C3=A9es par les =C3=A9quipements du r=C3=A9seau).
Voici la commande que j'ajoute dans le fichier "/etc/iptables.up.rules" :
iptables -t mangle -A OUTPUT -p tcp --dport 22 -j TOS --set-tos 120
Pour autant, les paquets continuent =C3=A0 =C3=AAtre rejet=C3=A9s car ils n=
e sont pas
marqu=C3=A9s correctement ...
Bonjour,<br><br>Dans le cadre de la mise en place d'un serveur de rebon=
d
(sous Debian Squeeze) dans le but d'=C3=A9tablir des connexsions SSH v=
ers=20
diff=C3=A9rentes machines virtuelles, il est n=C3=A9cessaire de faire de la=
QoS et
donc de modifier gr=C3=A2ce =C3=A0 iptables la valeur du champ TOS se situ=
ant=20
dans l'en t=C3=AAte IP.<br>
(Dans le cas contraire, les connexions telnet ou SSH sont syst=C3=A9matique=
ment rejet=C3=A9es par les =C3=A9quipements du r=C3=A9seau).<br>Voici la co=
mmande que j'ajoute dans le fichier "/etc/iptables.up.rules" =
:<br><br>iptables -t mangle -A OUTPUT -p tcp --dport 22 -j TOS --set-tos 12=
0<br>
<br>Pour autant, les paquets continuent =C3=A0 =C3=AAtre rejet=C3=A9s car i=
ls ne sont pas marqu=C3=A9s correctement ...<br><br>Par avance, merci.<br c=
lear=3D"all"><br>-- <br>Philippe Gayot<br>
--0016368340d8c3409a04ae75f229--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAGmaZOtwFL1qt=jZjZhC110GmpKLKTJBkjJL0vyXkLyZbpSrbA@mail.gmail.com
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Stephane Bortzmeyer
On Tue, Oct 04, 2011 at 11:44:54AM +0200, Philippe Gayot wrote a message of 62 lines which said:
(Dans le cas contraire, les connexions telnet ou SSH sont systématiquement rejetées par les équipements du réseau).
Très bizarre. Pourquoi avez-vous configuré ces équipements ainsi ?
iptables -t mangle -A OUTPUT -p tcp --dport 22 -j TOS --set-tos 120
Le terme de TOS est normalement abandonné depuis 1998, au profit de DSCP... Pour iptables, on devrait utiliser normalement --set-dscp
Pour autant, les paquets continuent à être rejetés car ils ne sont pas marqués correctement ...
Vous avez vérifié avec tcpdump ou wireshark ? Pour moi, ça marche.
Sans la règle :
21:11:37.334653 IP (tos 0x10, ttl 64, id 58765, offset 0, flags [DF], proto TCP (6), length 60) 192.168.2.1.34376 > 209.85.148.99.22: ...
Avec la règle :
21:10:26.083260 IP (tos 0x78, ttl 64, id 52439, offset 0, flags [DF], proto TCP (6), length 60) 192.168.2.1.39798 > 209.85.148.103.22: ...
Avec 0x78 = 120
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
On Tue, Oct 04, 2011 at 11:44:54AM +0200,
Philippe Gayot <phgayot@gmail.com> wrote
a message of 62 lines which said:
(Dans le cas contraire, les connexions telnet ou SSH sont
systématiquement rejetées par les équipements du réseau).
Très bizarre. Pourquoi avez-vous configuré ces équipements ainsi ?
iptables -t mangle -A OUTPUT -p tcp --dport 22 -j TOS --set-tos 120
Le terme de TOS est normalement abandonné depuis 1998, au profit de
DSCP... Pour iptables, on devrait utiliser normalement --set-dscp
Pour autant, les paquets continuent à être rejetés car ils ne sont
pas marqués correctement ...
Vous avez vérifié avec tcpdump ou wireshark ? Pour moi, ça marche.
Sans la règle :
21:11:37.334653 IP (tos 0x10, ttl 64, id 58765, offset 0, flags [DF], proto TCP (6), length 60)
192.168.2.1.34376 > 209.85.148.99.22: ...
Avec la règle :
21:10:26.083260 IP (tos 0x78, ttl 64, id 52439, offset 0, flags [DF], proto TCP (6), length 60)
192.168.2.1.39798 > 209.85.148.103.22: ...
Avec 0x78 = 120
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20111004191231.GC10294@sources.org
