En effet:
si on a une IPSet de type hash:ip,port, il faut utiliser dans la règle
iptables, deux flags comme src,dst qui s'interprètent comme suit:
src,dst signifie qu'il faut prendre le premier paramètre (ici une
adresse IP) en utilisant la Source et le deuxième paramètre (ici un
numéro de port
Bonjour,
Le lundi 27 novembre 2023, Olivier a écrit...
> ipset create Foo hash:net,iface
> ipset add Foo 192.168.1.0/24,eth1.101
>
> iptables -A FORWARD -m set match-set Foo src,XXX
>
> Par quoi remplacer XXX si on veut que la règle s'applique si le pa
idem avec une une IPSet de type hash:ip,port
Le lun. 27 nov. 2023 à 16:19, Olivier a écrit :
>
> Hello,
>
> Comment utiliser (sur Bullseye) une IPSet de type hash:net,iface dans
> une règle iptables ?
> Avez-vous un exemple ?
>
> ipset create Foo hash:net,iface
> i
Hello,
Comment utiliser (sur Bullseye) une IPSet de type hash:net,iface dans
une règle iptables ?
Avez-vous un exemple ?
ipset create Foo hash:net,iface
ipset add Foo 192.168.1.0/24,eth1.101
iptables -A FORWARD -m set match-set Foo src,XXX
Par quoi remplacer XXX si on veut que la
NoSpam a écrit :
>
> Le 03/07/2023 à 15:12, BERTRAND Joël a écrit :
>> NoSpam a écrit :
>>> Ils n'arrivent jamais plus loin que mangle INPUT qui est avant la table
>>> nat et filter
>> D'accord. Mais dans ce cas, pourquoi sngrep les intercepte ?
> Tout
Le 03/07/2023 à 15:12, BERTRAND Joël a écrit :
NoSpam a écrit :
Ils n'arrivent jamais plus loin que mangle INPUT qui est avant la table
nat et filter
D'accord. Mais dans ce cas, pourquoi sngrep les intercepte ?
Tout comme iptables et tcpdump, les paquets sont capturés dès leur
NoSpam a écrit :
> Ils n'arrivent jamais plus loin que mangle INPUT qui est avant la table
> nat et filter
D'accord. Mais dans ce cas, pourquoi sngrep les intercepte ?
JB
Ils n'arrivent jamais plus loin que mangle INPUT qui est avant la table
nat et filter
Le 03/07/2023 à 15:00, BERTRAND Joël a écrit :
Thomas Trupel a écrit :
C'est un comportement normal à mes yeux.
L'ajout d'une règle avec la target TRACE devrait te confirmer que les
paquets sont bloqués par
Thomas Trupel a écrit :
> C'est un comportement normal à mes yeux.
>
> L'ajout d'une règle avec la target TRACE devrait te confirmer que les
> paquets sont bloqués par le firewall.
J'obtiens ceci :
2023-07-03T14:37:45.868470+02:00 rayleigh kernel: [705875.038988] TRACE:
raw:PREROUTING:policy:2
Thomas Trupel a écrit :
> C'est un comportement normal à mes yeux.
>
> L'ajout d'une règle avec la target TRACE devrait te confirmer que les
> paquets sont bloqués par le firewall.
Dans le cas de SIP, ils sont tout de même récupérés par sngrep :
[ ] 359 INVITE 100@1.1.1.1
/udp closed ndmp
MAC Address: 50:46:5D:72:EF:A2 (Asustek Computer)
Nmap done: 1 IP address (1 host up) scanned in 5.81 seconds
legendre#
Lorsque j'utilisais iptables-legacy, je n'ai jamais observé cela. Par
ailleurs, ça n'explique pas que des paquets à destination d'un port
fermé aboutissent
(no-response)
PORT STATE SERVICE
53/udpopen domain
123/udp open ntp
1/udp closed ndmp
MAC Address: 50:46:5D:72:EF:A2 (Asustek Computer)
Nmap done: 1 IP address (1 host up) scanned in 5.81 seconds
legendre#
Lorsque j'utilisais iptables-legacy, je n'ai jamais observé cela. Par
Bonjour Joël,
As-tu essayé d'approfondir l'analyse avec la target TRACE ?
|iptables -t raw -A PREROUTING -p udp --dport 5060 -j TRACE Par
ailleurs, tcpdump semble indiquer que le serveur reçoit un paquet sur le
port TCP/5060 et non UDP/5060. Cordialement, Thomas |
On 7/3/23 12:41, BERTRAND
Bonjour à tous,
Je suis en train de configurer (péniblement) un serveur asterisk qui
est dans un DMZ. Tout le flux entrant sur l'IP publique est naté vers ce
serveur, protégé par un firewall iptables et fail2ban. Il s'agit
d'iptables et non d'iptables-legacy.
Cette
Le 28/06/2023 à 13:05, Michel Verdier a écrit :
Le 28 juin 2023 didier gaumet a écrit :
[...]
mais de ce que j'avais cru comprendre, il y a des frontends (tables xtables
ou tables nft) à des backends (netfilter ou nft).
Le backend nft serait une version révisée du backend netfilter, par la
Bonjour,
Si j'en crois /usr/share/doc/iptables/README.Debian , il convient de ne
pas mélanger sur un même système iptables-nft et iptables-legacy sous
peine d'avoir un comportement imprévisible :-(
"man iptables-legacy" et man "iprables-nft" fournissent des informations
u geste. Par ailleurs, la syntaxe iptables fonctionne
> toujours pour les nftables (raison pour laquelle on se retrouve avec
> iptables-legacy et iptables). Il n'y a donc aucune raison valable à ce
> que les deux mécanismes cohabitent. À l'extrême limite, ce genre de
> chose est une bidou
Le 28 juin 2023 didier gaumet a écrit :
> Le 28/06/2023 à 08:32, Michel Verdier a écrit :
>
>> Plutôt qu'une doc redhat (un comble sur cette liste) il faut utiliser la
>> source :
>> https://wiki.nftables.org/wiki-nftables/index.php/What_is_nftables%3F
>
> La plupart du temps, tu as raison, c'est
netfilter, il n'y aurait pas de distingo entre
iptables-legacy et iptables-nft vu que ce serait la même chose (des
tables iptables attaquant un backend netfilter)
Enfin, j'ai peut-être rien pigé, hein :-)
Michel Verdier a écrit :
> Et d'ailleurs pourquoi mixer les outils ?
Pourquoi ? Mais parce que fail2ban dans sa configuration par défaut
s'est mis à utiliser nftables alors qu'il est tout à fait possible
d'utiliser un firewall iptables (xtables) par ailleurs. J'ai d'ailleurs
modifié
Le 27 juin 2023 BERTRAND Joël a écrit :
> NoSpam a écrit :
>> Bonsoir
>>
>> https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#using_iptables_nft
>
> Merci.
>
> Mais ça ne répond pas
C' est ce que j' ai compris
--
Daniel Huhardeaux
Le 27 juin 2023 à 20:52, à 20:52, "BERTRAND Joël" a
écrit:
>NoSpam a écrit :
>> Bonsoir
>>
>>
>https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#
NoSpam a écrit :
> Bonsoir
>
> https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#using_iptables_nft
Merci.
Mais ça ne répond pas trop à ma question sauf s'il faut comprendre
entre les lignes que les paquet
Bonsoir
https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#using_iptables_nft
peut aider à comprendre. Perso j'ai basculer sur nftables.
Le 27/06/2023 à 18:46, BERTRAND Joël a écrit :
Bonsoir à tous,
J'ai toujours
Bonsoir à tous,
J'ai toujours écrit mes firewalls à la main. Aujourd'hui, un script
charge au démarrage le contenu de /var/lib/iptables/active au travers de
iptables (nf_tables).
Or iptables-legacy est toujours disponible.
J'avoue avoir un peu de mal à comprendre
Bonsoir,
iptables-translate permet de générer les règles au format iptables
https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_to_nftables
Le 23/11/2022 à 19:51, Hugues Larrive a écrit :
--- Original Message ---
Le mercredi 23 novembre 2022 à 18:58, Frederic
l'Île-de-France :-(
>
Je suis également intéressé mais trop loin (600 Km).
Il est vrai que la documentation sur nftables est encore rare sur le web malgré
8 ans d'existence ce qui nuit grandement à l'abandon de la couche de
compatibilité iptables. Donc la mise en ligne d'une présentation en fra
n atelier iptables / netfilter le samedi 3 décembre,
> > > en île de France proche Paris par une association du Libre :
> > > http://www.agendadulibre.org/events/26305
>
> On Wednesday 23 November 2022 13:32:26 NoSpam wrote :
> > Pour information, iptables a été abando
> > Une information d'un atelier iptables / netfilter le samedi 3 décembre,
> > en île de France proche Paris par une association du Libre :
> > http://www.agendadulibre.org/events/26305
On Wednesday 23 November 2022 13:32:26 NoSpam wrote :
> Pour information, iptables a ét
Bonjour
Le 23/11/2022 à 11:14, ajh-valmer a écrit :
Hello,
Une information d'un atelier iptables / netfilter le samedi 3 décembre,
en île de France proche Paris par une association du Libre :
http://www.agendadulibre.org/events/26305
Pour information, iptables a été abandonné au profit de
Hello,
Une information d'un atelier iptables / netfilter le samedi 3 décembre,
en île de France proche Paris par une association du Libre :
http://www.agendadulibre.org/events/26305
Bonne journée.
- Mail original -
> De: "JUPIN Alain"
> À: "Liste Debian"
> Envoyé: Jeudi 21 Avril 2022 09:26:49
> Objet: Firewall iptables qui ne bloque pas le port 53
> Bonjour,
> Je vous soumet un petit problème ... sur une install Debian 11, j'ai
>
).
Voici donc les règles de mon firewall
# Politique par defaut
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
ip6tables -t filter -P INPUT DROP
ip6tables -t filter -P FORWARD DROP
ip6tables -t filter -P
,
Je cherche le moyen de lancer un truc du genre à la fin de mon script
iptables, mais ça ne veux pas.
gnome-terminal -e 'tail -f /var/log/syslog' &
L'un de vous à une idée ou une autre solution pour ouvrir un terminal
après le passage des règles ?
--
david martin
>Avec tmux je fais un truc dans le genre pour mettre a jour les aliases
> >postfix:
>
> ># split with 10 lines
> >test -n "$TMUX_PANE" && tmux split-window -l 10 ssh "root@${SERV}" tail
> -f /var/log/messages /var/log/maillog
> ># update postfix aliases
> >ssh "root@${SERV}" "postalias $FILE &&
L'intérêt est de lancer un terminal après et non avant, et d'avoir un
terminal qui s'ouvre sur mon tail !
Que ce soit pour des logs applicatifs ou iptables c'est l'idée.
Le mer. 5 mai 2021 à 12:05, Bernard Schoenacker
a écrit :
>
> - Mail original -
>
> > De: "
Le 05 May 2021 a 12:05:45 +0200, Bernard Schoenacker a écrit :
Bonjour David,
>
> > Bonjour,
>
> > Je cherche le moyen de lancer un truc du genre à la fin de mon script
> > iptables, mais ça ne veux pas.
>
> > gnome-terminal -e 'tail -f /var/log/syslog' &am
- Mail original -
> De: "David Martin"
> À: "debian-user-french@lists.debian.org French"
>
> Envoyé: Mercredi 5 Mai 2021 10:55:36
> Objet: [HS] iptables et fork tail syslog
> Bonjour,
> Je cherche le moyen de lancer un truc du genre à la
Bonjour,
Le 05/05/2021 à 10:55, David Martin a écrit :
> Bonjour,
>
> Je cherche le moyen de lancer un truc du genre à la fin de mon script
> iptables, mais ça ne veux pas.
>
> gnome-terminal -e 'tail -f /var/log/syslog' &
>
> L'un de vous à une idée ou une a
Bonjour,
Je cherche le moyen de lancer un truc du genre à la fin de mon script
iptables, mais ça ne veux pas.
gnome-terminal -e 'tail -f /var/log/syslog' &
L'un de vous à une idée ou une autre solution pour ouvrir un terminal après
le passage des règles ?
--
david martin
Merci à tous pour les réponses. La réécriture avec nftables m'obligera à
repenser mes règles iptables, au fond ce n'est pas plus mal.
François
>> Comment appréhender la phrase : " Iptables n'est plus qu'une façade ? "
>> Je dois crépir ou décrépir mes configurations Iptables ?
> Depuis Debian Buster, iptables (+ip6tables+arptables+ebtables) utilise
> nftables comme back-end.
> C'est le module kerne
Sun, 7 Jun 2020 14:23:20 +0200
G2PC écrivait :
>
> > nftables est le nouveau standard de contrôle du trafic réseau.
> > Sur une Debian Testing, iptables n'est plus qu'une façade pour nftables.
> > C'est le cas depuis Debian Buster (stable actuelle).
>
> Co
> nftables est le nouveau standard de contrôle du traffic réseau.
> Sur une Debian Testing, iptables n'est plus qu'une façade pour nftables.
> C'est le cas depuis Debian Buster (stable actuelle).
Comment appréhender la phrase : " Iptables n'est plus qu'une façade ? "
Je dois
Wed, 27 May 2020 18:00:41 +0200
Francois Meyer écrivait :
> Bonjour à tous
>
> Je vois que iptables est "remplacé" par nftables.
>
> C'est pour un portable de travail sous testing. Mon ancien avait
> iptables et toutes les règles qui me vont bien.
>
> Je n'
Wed, 27 May 2020 18:00:41 +0200
Francois Meyer écrivait :
> Bonjour à tous
Bonjour François,
> Je vois que iptables est "remplacé" par nftables.
Je vois que ta quetion est restée sans réponse.
> C'est pour un portable de travail sous testing. Mon ancien avait
> iptable
Recherche de fainéant pour recommander Iptables / Netfilter au SILL
( Fainéant / Référent )
J'ai testé le dépôt du SILL hier, pour une recherche sur Iptables /
Firewall / pare-feu, car je cherchais un outil d'analyse de log, et, je
n'ai rien trouvé.
J'ai constaté que une seule réponse est
Bonjour à tous
Je vois que iptables est "remplacé" par nftables.
C'est pour un portable de travail sous testing. Mon ancien avait
iptables et toutes les règles qui me vont bien.
Je n'ai pas tellement envie d'apprendre une nouvelle syntaxe. Ne
ferais-je pas mieux d'installer ipta
Le 10/10/2019 à 19:58, G2PC a écrit :
Voilà, cette partie a été traitée.
J'ai également remplacé :
-A INPUT -p tcp --sport 49152:65534 --dport 49152:65534 -m state --state
ESTABLISHED,RELATED,NEW -j ACCEPT
par
-A INPUT -p tcp --sport 49152:65534 --dport 49152:65534 -m state --state
e protocole NDP qui
> reprend, entre autre, le rôle d'ARP en IPv4 et qui s'appuie sur de
> l'ICMPv6. Autant en IPv4 tu ne peux pas bloquer l'ARP avec iptables,
> autant en IPv6 c'est assez facile de se couper les pattes en bloquant
> NDP ou plutôt en oubliant de l'autoriser
> NDP re
reur : Connection interrompue après 20 secondes d'inactivité
Il faudrait vérifier le port source utilisé par le client pour la
connexion de données servant au listage. Attention : si le client est
derrière un dispositif NAT (routeur, box), ce dernier peut modifier le
port source à la
secondes d'inactivité
Erreur : Impossible de récupérer le contenu du dossier
Statut : Déconnecté du serveur
>> -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j
>> LOG_ACCEPT
>> -A INPUT -p tcp --sport 49152:65534 --dport 49152:65534 -m state
>> --state E
Le 24/09/2019 à 23:46, G2PC a écrit :
Par exemple, pour ProFTPD, il me semble avoir configuré correctement le
service, mais, le client FileZilla ne semble pas réussir à se connecter
lors de toutes ses tentatives.
Actuellement, j'arrive régulièrement à me connecter au client FTP, mais,
pas à
Merci à tous pour vos précédents retours concernant ICMP.
J'ai pu avancer, à mon niveau, avec les quelques règles Iptables suivantes.
Situation : Serveur VPS OVH - Apache2 MariaDB ProFTPd - Pas de serveur
de mail à proprement parler ( Un peu de Exim4 ici et de mutt / mailx par
la. )
J'ai tenté
le port ssh et tu verras la diminution drastique des tentatives
(iptables log les connexions vers mes ports exotiques).
Personnellement, en dehors des ports réputés figés, aucun service ne
tourne sur les ports traditionnels.
C'est peut-être du "sentiment de sécurité" mais ça n
Le 24/09/19 à 17:27, Daniel Huhardeaux a écrit :
> Modifier le port de connexion de services connus comme ssh +
> identification par clé suffit pour ne pas avoir à rajouter une couche.
En quoi changer le port améliorerait la sécurité ?
> Personnellement, en dehors des ports réputés figés,
mais, il va falloir que je
> vérifie, comment faire pour l'activer, et, pour vérifier son
activation.
>
>
> De mon côté, j'ai rajouté le Port Knocking par Iptables, que j'ai
placé
> tout à la fin de mon script, juste au dessus de COMMIT.
> Ça a l'ai
nes, mais
c'est pas laisser qq
connexions ouvertes sans y répondre qui charge la machine (installer fail2ban a
en revanche
un coût, faut analyser les logs et ajouter des règles iptables, c'est
négligeable mais
supérieur à ne rien faire, donc sans intérêt si les ban iptables ne sont pas
utilisés p
aire pour l'activer, et, pour vérifier son activation.
> >
> >
> > De mon côté, j'ai rajouté le Port Knocking par Iptables, que j'ai placé
> > tout à la fin de mon script, juste au dessus de COMMIT.
> > Ça a l'air fonctionnel, mais, j'ai l'impression que ça manque de
&g
. Autant en IPv4 tu ne peux pas bloquer l'ARP avec iptables,
Mais on peut assez souvent oublier d'autoriser le trafic DHCP. Par
chance (?), les clients DHCP comme dhclient injectent et capturent les
paquets directement sur l'interface réseau sans passer par la couche IP,
ce qui court-circuite
J'ai bien compris que le Port Knocking n'est pas réellement de la
sécurité mais surtout de l'obfuscation.
J'ai voulu le mettre en place tout de même.
Oui pour fail2ban, il est en place mais je dois renforcer les règles.
Le 21/09/2019 à 21:42, Daniel Huhardeaux a écrit :
> Oublie le port
activation.
De mon côté, j'ai rajouté le Port Knocking par Iptables, que j'ai placé
tout à la fin de mon script, juste au dessus de COMMIT.
Ça a l'air fonctionnel, mais, j'ai l'impression que ça manque de
réactivité, et, je me demande si je n'ai pas des règles qui pourraient
entrer en conflit
le Port Knocking par Iptables, que j'ai placé
tout à la fin de mon script, juste au dessus de COMMIT.
Ça a l'air fonctionnel, mais, j'ai l'impression que ça manque de
réactivité, et, je me demande si je n'ai pas des règles qui pourraient
entrer en conflit, comprendre, se répéter inutilement.
Le
Le 21/09/2019 à 12:39, G2PC a écrit :
# Mon serveur ne retrouve pas les deux lignes de configuration suivantes, que
je commente. A SUIVRE !
# sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_tcp_loose: Aucun
fichier ou dossier de ce type
# sysctl: cannot stat
Daniel Huhardeaux a écrit :
> Le 20/09/2019 à 18:57, G2PC a écrit :
>> Quel est le rôle de :
>> # This server is a GW for Intranet
>> $IPTABLES -t nat -A POSTROUTING -j MASQUERADE
>>
>> Le 18/09/2019 à 18:50, Daniel Huhardeaux a écrit :
>>> # This
Le 20/09/2019 à 18:57, G2PC a écrit :
Quel est le rôle de :
# This server is a GW for Intranet
$IPTABLES -t nat -A POSTROUTING -j MASQUERADE
Le 18/09/2019 à 18:50, Daniel Huhardeaux a écrit :
# This server is a GW for Intranet
$IPTABLES -t nat -A POSTROUTING -j MASQUERADE
Quel est le rôle de :
# This server is a GW for Intranet
$IPTABLES -t nat -A POSTROUTING -j MASQUERADE
Le 18/09/2019 à 18:50, Daniel Huhardeaux a écrit :
> # This server is a GW for Intranet
> $IPTABLES -t nat -A POSTROUTING -j MASQUERADE
Le 18/09/2019 à 18:12, G2PC a écrit :
Ok super, je vais faire comme tu le proposes.
Enregistrer le fichier regles-iptables-inactives doit permettre de
revenir rapidement en arrière en cas de blocage, je suppose.
Plus simple, faire un script comme
# Flush all
$IPTABLES -F
$IPTABLES -X
Ok super, je vais faire comme tu le proposes.
Enregistrer le fichier regles-iptables-inactives doit permettre de
revenir rapidement en arrière en cas de blocage, je suppose.
Ok pour * filter que je vais commenter.
Par contre, sur certains tutoriels, je lisais qu'il était conseillé
d'appliquer
Le 18/09/2019 à 17:41, G2PC a écrit :
Très bien je prend note, j'appliquerais après avoir flush :
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
Non !
Les flush, puis:
sudo iptables -A INPUT ACCEPT
sudo iptables -A FORWARD ACCEPT
sudo iptables
Très bien je prend note, j'appliquerais après avoir flush :
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
Si * filter est implicite, je n'ai donc pas à l'ajouter dans mon script
, on est bien d'accord sur ce point ?
Merci pour ses précisions.
Le
avant de flush, ton avis ?
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
Je le fais après le flush puis sauve les règles iptables dans un fichier
nommé inactive (c'est mon truc pour avoir quelque part zéro règles,
jamais utilisé) puis applique les
iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
Ensuite, pour le début du script, je mettrais :
# Début de la règle.
*filter
# Fermer tous les ports pour les connexions entrantes.
# REJECT les paquets est plus propre mais DROP est plus sécurisé !
# Avec
urer_le_pare-feu_Iptables#R.C3.A8gle_personnalis.C3.A9e_propos.C3.A9e_pour_configurer_Iptables_par_d.C3.A9faut
>>
>
> Mais tu ne DROP _PAS_ par défaut. Tes règles devraient commencer par:
>
> # Flush all Rules
> $IPTABLES -F
> $IPTABLES -X
> $IPTAB
=Configurer_le_pare-feu_Iptables#R.C3.A8gle_personnalis.C3.A9e_propos.C3.A9e_pour_configurer_Iptables_par_d.C3.A9faut
Mais tu ne DROP _PAS_ par défaut. Tes règles devraient commencer par:
# Flush all Rules
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat-F
$IPTABLES -t
en aurait besoin, je ne suis pas plus avancé.
>
> iptables est pour ipv4 ip6tables est pour ipv6, ce ne sont pas les
> mêmes commandes. Pour nft n'utilises pas inet mais ip ou ipv6 si tu
> veux différencier.
>
>>
>> Bon, je n'utilise pas IPV6 pour le moment, mais, j'aurais
Le 17/09/2019 à 12:12, G2PC a écrit :
Bonjour,
Du coup, si je bloque tout ce dont je n'ai pas besoin, mais, que IPV6 en
aurait besoin, je ne suis pas plus avancé.
iptables est pour ipv4 ip6tables est pour ipv6, ce ne sont pas les mêmes
commandes. Pour nft n'utilises pas inet mais ip ou ipv6
méthode préférer, les deux ?
# Si nécessaire, tenter de logger tout paquet igmp sans spécifier de source
pour voir ce que ça donne dans "/var/log/syslog".
# iptables -A INPUT -p igmp -j LOG --log-level info --log-prefix "IGMP: "
# L'IGMP est un protocole standard utilisé par la suite
Le 16/09/2019 à 12:57, G2PC a écrit :
Bonjour,
Je ne pense pas en avoir besoin pour le moment, d'utiliser le multicast, il me
semble de ce fait inutile de l'autoriser dans ma configuration Iptables ?
Il ne s'agit pas de penser mais de savoir. Si tu n'utilises pas le
multicast, tu n'as pas
Bonjour,
Je ne pense pas en avoir besoin pour le moment, d'utiliser le multicast, il me
semble de ce fait inutile de l'autoriser dans ma configuration Iptables ?
Par contre, je trouve deux types de règles via mes recherches, et, je ne suis
pas très sur de la bonne façon de l'interdire.
Je
figuration iptables et du kernel, J'ai
eu une machine à base d'Atom (N270 si je dis pas trop de bêtises) qui
"nattait" sans sourciller 200Mb/s il y a 3 ans, mais la machine datait
de 8 ou 9 ans. Donc un i3 ou i5 moderne, la question ne se pose même pas
pour 500Mb/s.
En fait ce n'est pas ta
Voici un lien [1] qui traite du sujet.
[1]
https://geekeries.org/2017/12/configuration-avancee-du-firewall-iptables/
Le mar. 10 sept. 2019 à 18:01, Olivier a écrit :
> Hello,
>
> Je viens bientôt installer plusieurs machines sous Stretch ou Buster qui
> vont hériter d'une IP publiq
routage de
réseaux locaux avec l'ambition d'offrir les meilleures performances
possibles (pour fixer un ordre de grandeur, je dirai qu'elles doivent
pouvoir NATer un traffic de.l'ordre de 500Mb/s).
Quelqu'un aurait-il un exemple de configuration iptables ultime, adaptable
à un tel contexte, et
Le mardi 30 juillet 2019 à 13:57 +0200, Ph. Gras a écrit :
> Si le trafic est effectivement destiné à être circonscrit à une zone
> géographique spécifiée, il conviendrait plutôt d'exclure toutes les
> zones à l'exception de la zone cible. On peut le faire efficacement
> dans la configuration de
t-fail2ban/
Ce système a au moins l’avantage de ne pas trop ralentir le traitement mais il
faut bien savoir qu’il n’existe aucun système efficace à 100%.
>
>>>
>>> J'envisage de protéger quelques serveurs par des règles iptables rejetant
>>> des requêtes ne provenant
contexte s'apaise et que la situation
revienne à la normale.
>>
>> J'envisage de protéger quelques serveurs par des règles iptables rejetant
>> des requêtes ne provenant pas de certains pays.
Si le trafic est effectivement destiné à être circonscrit à une zone
géographique spécif
par des règles iptables rejetant des
> requêtes ne provenant pas de certains pays.
>
> Comme ces serveurs sont à destination de clients français, j'ai en tête de
> rejeter la terre entière sauf la France et quelques pays où des clients
> passeraient leurs vacances.
>
> Qui
Bonjour,
J'envisage de protéger quelques serveurs par des règles iptables rejetant
des requêtes ne provenant pas de certains pays.
Comme ces serveurs sont à destination de clients français, j'ai en tête de
rejeter la terre entière sauf la France et quelques pays où des clients
passeraient leurs
Alors ipset est probablement plus efficace que des centaines de règles.
oui je suis en train de regarder, ça semble plus optimisé en effet :) et
pas difficile a mettre en place.
>
>>> Tu peux factoriser l'adresse grâce à une autre chaîne utilisateur.
>>
>> ???
>
> ipt
, par host ? Il y en a d'autres ?
oui, quelques uns.
Combien ?
plusieurs centaine.
Alors ipset est probablement plus efficace que des centaines de règles.
Tu peux factoriser l'adresse grâce à une autre chaîne utilisateur.
???
iptables -t mangle -N ROUTING-POLICY
iptables -t mangle -N
Le 17/04/2019 à 21:51, Pascal Hambourg a écrit :
>>> )
>> Par contre, l'inconvénient est que du coup j'ai 2 lignes par host au
>> lieu d'une seul du coup ça va me doubler toute les rules. Je ne pense
>> pas qu'on puisse réduire ça en une ligne ?
>
> Comment ça, par host ? Il y en a d'autres ?
Le 17/04/2019 à 18:14, Jérémy Prego a écrit :
Le 17/04/2019 à 07:27, Pascal Hambourg a écrit :
Le 16/04/2019 à 18:44, Jérémy Prego a écrit :
iptables -t mangle -A ROUTING-POLICY -d jeremy.domain.net -m conntrack
--ctstate NEW -j CONNMARK --set-mark 0x1
iptables -t mangle -A ROUTING-POLICY -d
Le 17/04/2019 à 07:27, Pascal Hambourg a écrit :
>> Le 16/04/2019 à 18:44, Jérémy Prego a écrit :
>>> j'ai testé ça qui ne fonctionne pas non plus:
>>> iptables -t mangle -D ROUTING-POLICY -d jeremy.domain.net -m conntrack
>>> --ctstate NEW -j CONNMARK --se
Le 17/04/2019 à 07:27, Pascal Hambourg a écrit :
> Le 16/04/2019 à 18:44, Jérémy Prego a écrit :
>>
>> j'ai testé ça qui ne fonctionne pas non plus:
>> iptables -t mangle -D ROUTING-POLICY -d jeremy.domain.net -m conntrack
>> --ctstate NEW -j CONNMARK --set-mar
Le 16/04/2019 à 18:44, Jérémy Prego a écrit :
j'ai testé ça qui ne fonctionne pas non plus:
iptables -t mangle -D ROUTING-POLICY -d jeremy.domain.net -m conntrack
--ctstate NEW -j CONNMARK --set-mark 0x1
iptables -t mangle -A ROUTING-POLICY -d jeremy.domain.net -j CONNMARK
--restore-markc
Je
trouvé et adapté une règles comme ça:
iptables -t mangle -A ROUTING-POLICY -d jeremy.domain.net -m conntrack
--ctstate NEW -j CONNMARK --set-mark 0x3
iptables -t mangle -A ROUTING-POLICY -j CONNMARK --restore-mark
vu que ça ne correspond pas tout à fait à ce que tu indiques plus haut
et que le
vé et adapté ici et là ...
>>
>> par exemple j'ai trouvé et adapté une règles comme ça:
>> iptables -t mangle -A ROUTING-POLICY -d jeremy.domain.net -m conntrack
>> --ctstate NEW -j CONNMARK --set-mark 0x3
>> iptables -t mangle -A ROUTING-POLICY -j CONNMARK --restor
.
pourrais-tu m'éclaircir sur cette partie en me fournissant un exemple de
règle ? je trouve rien qui correspond vraiment après avoir testé
plusieurs règles trouvé et adapté ici et là ...
par exemple j'ai trouvé et adapté une règles comme ça:
iptables -t mangle -A ROUTING-POLICY -d jeremy.domain.net
cette partie en me fournissant un exemple de
règle ? je trouve rien qui correspond vraiment après avoir testé
plusieurs règles trouvé et adapté ici et là ...
par exemple j'ai trouvé et adapté une règles comme ça:
iptables -t mangle -A ROUTING-POLICY -d jeremy.domain.net -m conntrack
--ctstate NEW
nterface et que ça ne passe pas par les
>> règle que j'ai mis pour l'output ?
>
>
>> pour rappel, un petit exemple de ce que je fais:
>> ##routage alternatif
>> iptables -t mangle -N ROUTING-POLICY
>> iptables -t mangle -A OUTPUT -j ROUTING-POLICY
>> ip
1 - 100 sur 1541 matches
Mail list logo