Le 14/09/2010 23:41, giggz a écrit :
Le 14/09/2010 15:46, Pascal Hambourg a écrit :
Pascal Hambourg a écrit :
giggz a écrit :
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
Utile pour un routeur seulement.
Oups, j'ai confondu avec router-solicitation. Ok.
-A
giggzounet a écrit :
Y a des règles pour définir les limites avec -m limit --limit ? ou alors
c'est au pif ?
Non, ce n'est pas au pif. Elles doivent être adaptées aux capacités de
la machine, du réseau...
Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux
variables
Le 15/09/2010 16:31, Pascal Hambourg a écrit :
giggzounet a écrit :
Y a des règles pour définir les limites avec -m limit --limit ? ou alors
c'est au pif ?
Non, ce n'est pas au pif. Elles doivent être adaptées aux capacités de
la machine, du réseau...
je vouslais dire: j'en teste une
Pascal Hambourg a écrit :
giggz a écrit :
Le 11/09/2010 12:48, Pascal Hambourg a écrit :
[...]
Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil.
ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
Euh, là ça devient un peu trop restrictif. Je pensais
giggz a écrit :
pour l'instant j'ai ça:
-A INPUT -i eth1 -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type
Pascal Hambourg a écrit :
giggz a écrit :
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
Utile pour un routeur seulement.
Oups, j'ai confondu avec router-solicitation. Ok.
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
Ok. Il faut
Le 14/09/2010 15:46, Pascal Hambourg a écrit :
Pascal Hambourg a écrit :
giggz a écrit :
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
Utile pour un routeur seulement.
Oups, j'ai confondu avec router-solicitation. Ok.
-A INPUT -i eth1 -p icmpv6 --icmpv6-type
Pascal Hambourg a écrit :
giggz a écrit :
ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
[...]
bon apparemment ça l'air de bien fonctionner avec les règles que vous
m'avez donné. merci bcp!
Même en IPv6 ? Si les types ICMPv6 NDP sont bloqués, j'ai un doute.
giggz a écrit :
entre temps j'ai un doute sur un autre point. Pour limiter les ip qui se
connectent sur le port 80, je tente de restreindre au max: tous nos
ordinateurs ont des ip commençant par 139.11.215.* . comme on est par
énormément j'ai mis:
139.11.215.0/24
ça a l'air de marcher
Le 11/09/2010 00:21, Serge Cavailles a écrit :
Bonjour,
Je me permets d'intervenir, j'adore me faire reprendre par Pascal. ;)
Le Friday 10 September 2010 22:25:20 giggz, vous avez écrit :
*filter
:INPUT ACCEPT [0:0]
La politique par défaut devrait être DROP.
alors là ya un truc que
giggz a écrit :
Le 11/09/2010 00:21, Serge Cavailles a écrit :
La politique par _defaut_ s'applique en fin de chaîne aux paquets restants
(comprendre qui n'auront pas été acceptés par une règle).
Pas seulement acceptés. La politique par défaut est appliquée aux
paquets qui atteignent la fin
giggz a écrit :
Le 10/09/2010 20:11, Pascal Hambourg a écrit :
eth0:2 n'est pas une interface mais un alias IP, une façon obsolète
d'affecter une adresse IP supplémentaire à l'interface eth0.
oui. d'ailleurs je suppose que je ne peux pas faire:
-A Firewall-1-INPUT -i eth0:2 -s
Le 11/09/2010 10:54, Pascal Hambourg a écrit :
giggz a écrit :
Le 11/09/2010 00:21, Serge Cavailles a écrit :
La politique par _defaut_ s'applique en fin de chaîne aux paquets restants
(comprendre qui n'auront pas été acceptés par une règle).
Pas seulement acceptés. La politique par
giggz a écrit :
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
bon ben l'internet sur les noeuds marche!
en gros j'ajoute ces lignes qd je veux avoir internet sur les noeuds.
sinon je les vire.
Tu peux
Le 11/09/2010 12:48, Pascal Hambourg a écrit :
giggz a écrit :
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
bon ben l'internet sur les noeuds marche!
en gros j'ajoute ces lignes qd je veux avoir
giggz a écrit :
Le 11/09/2010 12:48, Pascal Hambourg a écrit :
[...]
Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil.
ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
Euh, là ça devient un peu trop restrictif. Je pensais plutôt à autoriser
les types
giggz a écrit :
ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
[...]
bon apparemment ça l'air de bien fonctionner avec les règles que vous
m'avez donné. merci bcp!
Même en IPv6 ? Si les types ICMPv6 NDP sont bloqués, j'ai un doute.
--
Lisez la FAQ de la liste
Bonjour,
suite à des problèmes avec la surcouche firewall apportée par
firestarter, je me décide à m'intéresser à iptables. Mais je suis un peu
perdu. Et la doc d'iptables est plus que conséquente. donc j'ai besoin
d'aide pour débuter. J'ai tenté ma chance sur la list de
netfilter...mais bon pas
Le Fri, 10 Sep 2010 09:00:02 +0200, giggzounet a écrit :
suite à des problèmes avec la surcouche firewall apportée par
firestarter, je me décide à m'intéresser à iptables. Mais je suis un peu
perdu. Et la doc d'iptables est plus que conséquente. donc j'ai besoin
d'aide pour débuter. J'ai
Le 10/09/2010 14:43, moi-meme a écrit :
Le Fri, 10 Sep 2010 09:00:02 +0200, giggzounet a écrit :
suite à des problèmes avec la surcouche firewall apportée par
firestarter, je me décide à m'intéresser à iptables. Mais je suis un peu
perdu. Et la doc d'iptables est plus que conséquente. donc
Salut,
giggzounet a écrit :
suite à des problèmes avec la surcouche firewall apportée par
firestarter, je me décide à m'intéresser à iptables.
Bravo !
J'ai tenté ma chance sur la list de
netfilter...mais bon pas eu de réponse...
J'ai vu cluster dans le sujet alors j'ai passé en me disant
Le 10/09/2010 15:39, Pascal Hambourg a écrit :
Salut,
giggzounet a écrit :
suite à des problèmes avec la surcouche firewall apportée par
firestarter, je me décide à m'intéresser à iptables.
Bravo !
merci. mais j'ai un de ces mal de tête maintenant!!!
J'ai tenté ma chance sur la list
giggzounet a écrit :
Le 10/09/2010 15:39, Pascal Hambourg a écrit :
giggzounet a écrit :
j'ai un cluster. les noeuds n'ont pas accès au net. Donc je monte un
parefeu sur le master node. Naturellement le master doit accepter tout
ce que vient des noeuds. Et j'aimerais que tout ce que vienne
Le 10/09/2010 20:11, Pascal Hambourg a écrit :
giggzounet a écrit :
Le 10/09/2010 15:39, Pascal Hambourg a écrit :
giggzounet a écrit :
j'ai un cluster. les noeuds n'ont pas accès au net. Donc je monte un
parefeu sur le master node. Naturellement le master doit accepter tout
ce que vient
Bonjour,
Je me permets d'intervenir, j'adore me faire reprendre par Pascal. ;)
Le Friday 10 September 2010 22:25:20 giggz, vous avez écrit :
*filter
:INPUT ACCEPT [0:0]
La politique par défaut devrait être DROP.
alors là ya un truc que je ne pige pas:
si c'est à DROP tout ce qui
25 matches
Mail list logo