Re: Re : règle Iptables[RESOLU]
On Thu, 29 Mar 2012 20:53:32 +0100 (BST), Tahar BEN ACHOUR tahar...@yahoo.fr wrote: C'est bon c'est résolu bonne nouvelle Merci pour votre aide on est là pour ca, mais je voudrais, si vous me permettez, suggérer une autre solution(peut etre plus simple) iptables -P OUTPUT DROP puis, tu autorise ce que tu veux. ce qui n'est pas autoriser est interdit(implicitement). d'une manière générale, c'est comme ca qu'on gère les firewall. - Mail original - De : Stephane Bortzmeyer steph...@sources.org À : Tahar BEN ACHOUR tahar...@yahoo.fr Cc : DEBIAN debian-user-french@lists.debian.org Envoyé le : Jeudi 29 mars 2012 20h47 Objet : Re: règle Iptables On Thu, Mar 29, 2012 at 08:20:32PM +0100, Tahar BEN ACHOUR tahar...@yahoo.fr wrote a message of 20 lines which said: J'ai commencé par les règles ACCEPT ensuite j'ai fait le DROP Ce n'est pas ce que je vois dans le résultat de iptables -L OUTPUT (c'est sans doute pour les raisons expliquées par Bzzz). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20120329194717.ga21...@sources.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/c9686fef6955d280d89327ab5af050f9@localhost
règle Iptables
Bonsoir, Je suis un noob concernant Iptables je n'ai pas eu l'occasion de bien l'utiliser, donc je fais souvent des règles bancales qui me bloquent. Par exemple je voudrais faire la règle suivante sur mon serveur bloquer toute requête DNS à part vers l'ip de mon serveur DNS j'ai fait les règles suivantes iptables -I OUTPUT -p tcp -d my_dns_IP --dport 53 -j ACCEPT iptables -I OUTPUT -p udp -d my_dns_IP --dport 53 -j ACCEPT iptables -I OUTPUT -p tcp --dport 53 -j DROP iptables -I OUTPUT -p udp --dport 53 -j DROP Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination DROP udp -- anywhere anywhere udp dpt:domain DROP tcp -- anywhere anywhere tcp dpt:domain ACCEPT udp -- anywhere my_dns_IP udp dpt:domain ACCEPT tcp -- anywhere my_dns_IP tcp dpt:domain Or j'ai certainement fait une erreur puisque je n'arrive plus à faire un dig @my_dns_IP j'ai un timeout Quelqu'un peut-il m'expliquer mon erreur ? Je vous remercie.
Re: règle Iptables
On Thu, 29 Mar 2012 20:00:42 +0100 (BST) Tahar BEN ACHOUR tahar...@yahoo.fr wrote: Je suis un noob concernant Iptables Et une buse qui ne lit pas la doc: que fait -I, par opposition à -A?... iptables -I OUTPUT -p tcp -d my_dns_IP --dport 53 -j ACCEPT iptables -I OUTPUT -p udp -d my_dns_IP --dport 53 -j ACCEPT iptables -I OUTPUT -p tcp --dport 53 -j DROP iptables -I OUTPUT -p udp --dport 53 -j DROP -- QOTD: My ambition is to marry a rich woman who's too proud to let her husband work. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20120329210751.45043b3e@anubis.defcon1
Re : règle Iptables
Je suis un noob concernant Iptables Et une buse qui ne lit pas la doc: que fait -I, par opposition à -A?... Je voudrais juste préciser que j'ai lu la doc mais vite fait car j'ai un gros soucis donc pas le temps de rester sur la doc et que j'avais besoin de la règle rapidement d'où ma question pour tenter de gagner du temps, c'est dommage de constater que c'est toujours la même réaction de la part de certain, je sais bien que l'aide de la communauté n'est pas obligatoire et que ce n'est pas de la charité, mais se faire rabaisser à chaque fois c'est vraiment limite ! iptables -I OUTPUT -p tcp -d my_dns_IP --dport 53 -j ACCEPT iptables -I OUTPUT -p udp -d my_dns_IP --dport 53 -j ACCEPT iptables -I OUTPUT -p tcp --dport 53 -j DROP iptables -I OUTPUT -p udp --dport 53 -j DROP -- QOTD: My ambition is to marry a rich woman who's too proud to let her husband work. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20120329210751.45043b3e@anubis.defcon1 -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1333048758.98463.yahoomail...@web171602.mail.ir2.yahoo.com
Re: règle Iptables
On Thu, Mar 29, 2012 at 08:00:42PM +0100, Tahar BEN ACHOUR tahar...@yahoo.fr wrote a message of 101 lines which said: Chain OUTPUT (policy ACCEPT) target prot opt source destination DROP udp -- anywhere anywhere udp dpt:domain DROP tcp -- anywhere anywhere tcp dpt:domain ACCEPT udp -- anywhere my_dns_IP udp dpt:domain ACCEPT tcp -- anywhere my_dns_IP tcp dpt:domain J'ai l'impression que les règles n'ont pas été tapées dans le bon ordre car, ici, les règles DROP sont avant les ACCEPT et doivent donc avaler tous les paquets. Une option -v ajoutée à iptables permettrait de voir les compteurs et de dire si j'ai raison ou pas. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20120329191138.ga16...@sources.org
Re : règle Iptables
DROP tcp -- anywhere anywhere tcp dpt:domain ACCEPT udp -- anywhere my_dns_IP udp dpt:domain ACCEPT tcp -- anywhere my_dns_IP tcp dpt:domain J'ai l'impression que les règles n'ont pas été tapées dans le bon ordre car, ici, les règles DROP sont avant les ACCEPT et doivent donc avaler tous les paquets. Une option -v ajoutée à iptables permettrait de voir les compteurs et de dire si j'ai raison ou pas. J'ai commencé par les règles ACCEPT ensuite j'ai fait le DROP il fallait faire le contraire ? Merci pour ton explication -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1333048832.95086.yahoomail...@web171605.mail.ir2.yahoo.com
Re: règle Iptables
Le 29/03/2012 21:00, Tahar BEN ACHOUR a écrit : [...] j'ai fait les règles suivantes iptables -I OUTPUT -p tcp -d my_dns_IP --dport 53 -j ACCEPT iptables -I OUTPUT -p udp -d my_dns_IP --dport 53 -j ACCEPT iptables -I OUTPUT -p tcp --dport 53 -j DROP iptables -I OUTPUT -p udp --dport 53 -j DROP [...] Or j'ai certainement fait une erreur puisque je n'arrive plus à faire un dig @my_dns_IP j'ai un timeout Quelqu'un peut-il m'expliquer mon erreur ? Ouaip, enfin je crois. L'ordre des règles a une importance. Tu peux insérer en début de chaîne avec -I, ou ajouter en fin de chaîne avec -A. En utilisant -I comme tu le fais, les dernières règles ajoutées deviennent les premières à être appliquées, comme te le montre la sortie d'iptables -L: Chain OUTPUT (policy ACCEPT) target prot opt source destination DROP udp -- anywhere anywhere udp dpt:domain DROP tcp -- anywhere anywhere tcp dpt:domain ACCEPT udp -- anywhere my_dns_IP udp dpt:domain ACCEPT tcp -- anywhere my_dns_IP tcp dpt:domain Quand tu envoies un paquet à ton serveur DNS, il est droppé par une des deux premières règles. Les règles suivantes ne sont même pas examinées. Les règles les plus spécifiques doivent donc précéder les règles plus générales. Ca devrait mieux se passer si: * tu recommences, mais en exécutant les commandes DROP avant les commandes ACCEPT ou * tu exécutes les commandes dans le même ordre, mais avec un -A au lieu d'un -I (sous réserve qu'il n'y ait pas déjà plus haut dans la chaîne des règles qui interfèrent) Dans les deux cas, ça devrait donner quelque chose dans ce genre: Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT udp -- anywhere my_dns_IP udp dpt:domain ACCEPT tcp -- anywhere my_dns_IP tcp dpt:domain DROP udp -- anywhere anywhere udp dpt:domain DROP tcp -- anywhere anywhere tcp dpt:domain P.-A. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4f74b640.4090...@lemurien.org
Re : règle Iptables
* tu exécutes les commandes dans le même ordre, mais avec un -A au lieu d'un -I (sous réserve qu'il n'y ait pas déjà plus haut dans la chaîne des règles qui interfèrent) Dans les deux cas, ça devrait donner quelque chose dans ce genre: Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT udp -- anywhere my_dns_IP udp dpt:domain ACCEPT tcp -- anywhere my_dns_IP tcp dpt:domain DROP udp -- anywhere anywhere udp dpt:domain DROP tcp -- anywhere anywhere tcp dpt:domain P.-A. Je vois merci beaucoup pour ton aide, je m'exécute tout de suite -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1333050251.91892.yahoomail...@web171604.mail.ir2.yahoo.com
Re: règle Iptables
On Thu, Mar 29, 2012 at 08:20:32PM +0100, Tahar BEN ACHOUR tahar...@yahoo.fr wrote a message of 20 lines which said: J'ai commencé par les règles ACCEPT ensuite j'ai fait le DROP Ce n'est pas ce que je vois dans le résultat de iptables -L OUTPUT (c'est sans doute pour les raisons expliquées par Bzzz). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20120329194717.ga21...@sources.org
Re : règle Iptables[RESOLU]
C'est bon c'est résolu Merci pour votre aide - Mail original - De : Stephane Bortzmeyer steph...@sources.org À : Tahar BEN ACHOUR tahar...@yahoo.fr Cc : DEBIAN debian-user-french@lists.debian.org Envoyé le : Jeudi 29 mars 2012 20h47 Objet : Re: règle Iptables On Thu, Mar 29, 2012 at 08:20:32PM +0100, Tahar BEN ACHOUR tahar...@yahoo.fr wrote a message of 20 lines which said: J'ai commencé par les règles ACCEPT ensuite j'ai fait le DROP Ce n'est pas ce que je vois dans le résultat de iptables -L OUTPUT (c'est sans doute pour les raisons expliquées par Bzzz). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20120329194717.ga21...@sources.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1333050812.10331.yahoomail...@web171601.mail.ir2.yahoo.com
règle Iptables changement de MTU
Bonjour à tous, Je dois mettre une place un règle iptables pour forcer le MTU sur ma carte à 1300 j'avais configuré au niveau de mon etc/interfaces un MTU à 1300 sur ma carte réseau, mais le fournisseur a déconseillé cela par rapport à son appli et a demandé une règle iptables qui forcerai un MTU=1300 pour tout trafic UDP passant sur le port 5060 iptables -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --set-mss 1300 je ne sais pas si on peut utiliser TCPMSS avec des paquets UDP. Merci pour votre aide
Re: règle Iptables changement de MTU
Salut, Tahar BEN ACHOUR a écrit : Je dois mettre une place un règle iptables pour forcer le MTU sur ma carte iptables ne fait que filtrer/modifier les paquets IP. Il ne permet pas de modifier le MTU d'une interface. j'avais configuré au niveau de mon etc/interfaces un MTU à 1300 sur ma carte réseau, mais le fournisseur a déconseillé cela par rapport à son appli Peut-on savoir pourquoi ? et a demandé une règle iptables qui forcerai un MTU=1300 pour tout trafic UDP passant sur le port 5060 Ce n'est pas possible, voir ci-dessus. C'est le routage qui définit le MTU, pas iptables. On pourrait essayer d'utiliser le routage avancé avec marquage des paquets par iptables, mais je ne ne suis pas sûr que ça marche. iptables -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --set-mss 1300 Cette règle est erronée. La cible TCPMSS modifie la valeur de l'option MSS d'un paquet de synchronisation TCP et ne fonctionne donc qu'avec le protocole TCP. D'autre part MSS et MTU ne sont pas égaux. je ne sais pas si on peut utiliser TCPMSS avec des paquets UDP. Ben non puisque le MSS est une option spécifique à TCP. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4cf63b31.7060...@plouf.fr.eu.org
Re : règle Iptables changement de MTU
Merci pour ta réponse, En effet, j'avais mal vu et mal analysé le problème, en fait ce que je dois faire c'est tagger le traffic UDP arrivant sur le port 5060 chose normalement faisable avec iptables, et créer sur chaque trafic taggé une règle de routage spécifique modifiant la fragmentation des paquets. (comme si j'ai forcé un MTU=1300 sur ma carte réseau) Je ne sais pas si ceci serait faisable, personnellement je ne vois pas vraiment comment le faire niveau OS De : Pascal Hambourg pascal.m...@plouf.fr.eu.org À : DEBIAN debian-user-french@lists.debian.org Envoyé le : Mer 1 décembre 2010, 13h 10min 25s Objet : Re: règle Iptables changement de MTU Salut, Tahar BEN ACHOUR a écrit : Je dois mettre une place un règle iptables pour forcer le MTU sur ma carte iptables ne fait que filtrer/modifier les paquets IP. Il ne permet pas de modifier le MTU d'une interface. j'avais configuré au niveau de mon etc/interfaces un MTU à 1300 sur ma carte réseau, mais le fournisseur a déconseillé cela par rapport à son appli Peut-on savoir pourquoi ? et a demandé une règle iptables qui forcerai un MTU=1300 pour tout trafic UDP passant sur le port 5060 Ce n'est pas possible, voir ci-dessus. C'est le routage qui définit le MTU, pas iptables. On pourrait essayer d'utiliser le routage avancé avec marquage des paquets par iptables, mais je ne ne suis pas sûr que ça marche. iptables -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --set-mss 1300 Cette règle est erronée. La cible TCPMSS modifie la valeur de l'option MSS d'un paquet de synchronisation TCP et ne fonctionne donc qu'avec le protocole TCP. D'autre part MSS et MTU ne sont pas égaux. je ne sais pas si on peut utiliser TCPMSS avec des paquets UDP. Ben non puisque le MSS est une option spécifique à TCP. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4cf63b31.7060...@plouf.fr.eu.org
Re: Re : règle Iptables changement de M TU
Bonjour, Le 01/12/2010 13:23, Tahar BEN ACHOUR a écrit : Merci pour ta réponse, En effet, j'avais mal vu et mal analysé le problème, en fait ce que je dois faire c'est tagger le traffic UDP arrivant sur le port 5060 chose normalement faisable avec iptables, et créer sur chaque trafic taggé une règle de routage spécifique modifiant la fragmentation des paquets. (comme si j'ai forcé un MTU=1300 sur ma carte réseau) Pascal t'a demandé pourquoi et je serai également intéressé par la réponse. D'autant que ton problème ne s'arrêtera pas là: le port 5060 n'est que le signal pour le SIP, le RTP passe par d'autres ports, tu devras (logiquement) faire de même. Je n'ai jamais vu de problème de MTU sur le port SIP et serai curieux de savoir pourquoi ton fournisseur te demande cette manipulation (je suis moi même fournisseur, cela m'intéresse d'autant plus). [...] *De :* Pascal Hambourg pascal.m...@plouf.fr.eu.org *À :* DEBIAN debian-user-french@lists.debian.org *Envoyé le :* Mer 1 décembre 2010, 13h 10min 25s *Objet :* Re: règle Iptables changement de MTU Salut, Tahar BEN ACHOUR a écrit : Je dois mettre une place un règle iptables pour forcer le MTU sur ma carte iptables ne fait que filtrer/modifier les paquets IP. Il ne permet pas de modifier le MTU d'une interface. j'avais configuré au niveau de mon etc/interfaces un MTU à 1300 sur ma carte réseau, mais le fournisseur a déconseillé cela par rapport à son appli Peut-on savoir pourquoi ? et a demandé une règle iptables qui forcerai un MTU=1300 pour tout trafic UDP passant sur le port 5060 Ce n'est pas possible, voir ci-dessus. C'est le routage qui définit le MTU, pas iptables. On pourrait essayer d'utiliser le routage avancé avec marquage des paquets par iptables, mais je ne ne suis pas sûr que ça marche. iptables -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --set-mss 1300 Cette règle est erronée. La cible TCPMSS modifie la valeur de l'option MSS d'un paquet de synchronisation TCP et ne fonctionne donc qu'avec le protocole TCP. D'autre part MSS et MTU ne sont pas égaux. je ne sais pas si on peut utiliser TCPMSS avec des paquets UDP. Ben non puisque le MSS est une option spécifique à TCP. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org mailto:debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org mailto:listmas...@lists.debian.org Archive: http://lists.debian.org/4cf63b31.7060...@plouf.fr.eu.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4cf6409c.4070...@tootai.net
Re : Re : règle Iptables changement de MTU
On a un problème de communication SIP entre différents réseaux, ce problème n'a été résolu que quand on a baissé le MTU à 1300 sinon parfois on a communication blanche c'est pour ça, le problème peut se situer ailleurs c'est à dire niveau firewall ou routeur, mais comme je n'ai pas la main dessus et que les responsables ne veulent pas toucher à leur firewall, je suis obligé de trouver une solution côté OS. De : Daniel Huhardeaux no-s...@tootai.net À : debian-user-french@lists.debian.org Envoyé le : Mer 1 décembre 2010, 13h 33min 32s Objet : Re: Re : règle Iptables changement de MTU Bonjour, Le 01/12/2010 13:23, Tahar BEN ACHOUR a écrit : Merci pour ta réponse, En effet, j'avais mal vu et mal analysé le problème, en fait ce que je dois faire c'est tagger le traffic UDP arrivant sur le port 5060 chose normalement faisable avec iptables, et créer sur chaque trafic taggé une règle de routage spécifique modifiant la fragmentation des paquets. (comme si j'ai forcé un MTU=1300 sur ma carte réseau) Pascal t'a demandé pourquoi et je serai également intéressé par la réponse. D'autant que ton problème ne s'arrêtera pas là: le port 5060 n'est que le signal pour le SIP, le RTP passe par d'autres ports, tu devras (logiquement) faire de même. Je n'ai jamais vu de problème de MTU sur le port SIP et serai curieux de savoir pourquoi ton fournisseur te demande cette manipulation (je suis moi même fournisseur, cela m'intéresse d'autant plus). [...] *De :* Pascal Hambourg pascal.m...@plouf.fr.eu.org *À :* DEBIAN debian-user-french@lists.debian.org *Envoyé le :* Mer 1 décembre 2010, 13h 10min 25s *Objet :* Re: règle Iptables changement de MTU Salut, Tahar BEN ACHOUR a écrit : Je dois mettre une place un règle iptables pour forcer le MTU sur ma carte iptables ne fait que filtrer/modifier les paquets IP. Il ne permet pas de modifier le MTU d'une interface. j'avais configuré au niveau de mon etc/interfaces un MTU à 1300 sur ma carte réseau, mais le fournisseur a déconseillé cela par rapport à son appli Peut-on savoir pourquoi ? et a demandé une règle iptables qui forcerai un MTU=1300 pour tout trafic UDP passant sur le port 5060 Ce n'est pas possible, voir ci-dessus. C'est le routage qui définit le MTU, pas iptables. On pourrait essayer d'utiliser le routage avancé avec marquage des paquets par iptables, mais je ne ne suis pas sûr que ça marche. iptables -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --set-mss 1300 Cette règle est erronée. La cible TCPMSS modifie la valeur de l'option MSS d'un paquet de synchronisation TCP et ne fonctionne donc qu'avec le protocole TCP. D'autre part MSS et MTU ne sont pas égaux. je ne sais pas si on peut utiliser TCPMSS avec des paquets UDP. Ben non puisque le MSS est une option spécifique à TCP. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org mailto:debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org mailto:listmas...@lists.debian.org Archive: http://lists.debian.org/4cf63b31.7060...@plouf.fr.eu.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4cf6409c.4070...@tootai.net
Re : Re : Re : règle Iptables changement de MTU
Bonjour à tous, je pense avoir trouvé une solution pour répondre à ce besoin, #iptables -A PREROUTING -t mangle -p udp --dport 5060 -j MARK --set-mark 2 # echo 202 sip.in /etc/iproute2/rt_tables # ip rule add fwmark 2 table sip.in # ip route add default via 193.95.123.6 mtu 1300 dev eth0 table sip.in # ip route flush cache je n'en suis pas sûr du tout, mais ça répond assez à ce que j'ai besoin de faire, je vais devoir procéder à des tests pour confirmer. Merci pour votre aide. De : Tahar BEN ACHOUR tahar...@yahoo.fr À : DEBIAN debian-user-french@lists.debian.org Envoyé le : Mer 1 décembre 2010, 14h 28min 52s Objet : Re : Re : règle Iptables changement de MTU On a un problème de communication SIP entre différents réseaux, ce problème n'a été résolu que quand on a baissé le MTU à 1300 sinon parfois on a communication blanche c'est pour ça, le problème peut se situer ailleurs c'est à dire niveau firewall ou routeur, mais comme je n'ai pas la main dessus et que les responsables ne veulent pas toucher à leur firewall, je suis obligé de trouver une solution côté OS. De : Daniel Huhardeaux no-s...@tootai.net À : debian-user-french@lists.debian.org Envoyé le : Mer 1 décembre 2010, 13h 33min 32s Objet : Re: Re : règle Iptables changement de MTU Bonjour, Le 01/12/2010 13:23, Tahar BEN ACHOUR a écrit : Merci pour ta réponse, En effet, j'avais mal vu et mal analysé le problème, en fait ce que je dois faire c'est tagger le traffic UDP arrivant sur le port 5060 chose normalement faisable avec iptables, et créer sur chaque trafic taggé une règle de routage spécifique modifiant la fragmentation des paquets. (comme si j'ai forcé un MTU=1300 sur ma carte réseau) Pascal t'a demandé pourquoi et je serai également intéressé par la réponse. D'autant que ton problème ne s'arrêtera pas là: le port 5060 n'est que le signal pour le SIP, le RTP passe par d'autres ports, tu devras (logiquement) faire de même. Je n'ai jamais vu de problème de MTU sur le port SIP et serai curieux de savoir pourquoi ton fournisseur te demande cette manipulation (je suis moi même fournisseur, cela m'intéresse d'autant plus). [...] *De :* Pascal Hambourg pascal.m...@plouf.fr.eu.org *À :* DEBIAN debian-user-french@lists.debian.org *Envoyé le :* Mer 1 décembre 2010, 13h 10min 25s *Objet :* Re: règle Iptables changement de MTU Salut, Tahar BEN ACHOUR a écrit : Je dois mettre une place un règle iptables pour forcer le MTU sur ma carte iptables ne fait que filtrer/modifier les paquets IP. Il ne permet pas de modifier le MTU d'une interface. j'avais configuré au niveau de mon etc/interfaces un MTU à 1300 sur ma carte réseau, mais le fournisseur a déconseillé cela par rapport à son appli Peut-on savoir pourquoi ? et a demandé une règle iptables qui forcerai un MTU=1300 pour tout trafic UDP passant sur le port 5060 Ce n'est pas possible, voir ci-dessus. C'est le routage qui définit le MTU, pas iptables. On pourrait essayer d'utiliser le routage avancé avec marquage des paquets par iptables, mais je ne ne suis pas sûr que ça marche. iptables -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --set-mss 1300 Cette règle est erronée. La cible TCPMSS modifie la valeur de l'option MSS d'un paquet de synchronisation TCP et ne fonctionne donc qu'avec le protocole TCP. D'autre part MSS et MTU ne sont pas égaux. je ne sais pas si on peut utiliser TCPMSS avec des paquets UDP. Ben non puisque le MSS est une option spécifique à TCP. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org mailto:debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org mailto:listmas...@lists.debian.org Archive: http://lists.debian.org/4cf63b31.7060...@plouf.fr.eu.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4cf6409c.4070...@tootai.net
Re: Re : règle Iptables changement de MTU
Tahar BEN ACHOUR a écrit : En effet, j'avais mal vu et mal analysé le problème, en fait ce que je dois faire c'est tagger le traffic UDP arrivant sur le port 5060 Arrivant ? Sortant, tu veux dire ? Ça ne servirait à rien de marquer les paquets reçus. chose normalement faisable avec iptables, et créer sur chaque trafic taggé une règle de routage spécifique modifiant la fragmentation des paquets. (comme si j'ai forcé un MTU=1300 sur ma carte réseau) Je ne sais pas si ceci serait faisable, personnellement je ne vois pas vraiment comment le faire niveau OS Je verrais quelque chose comme ce qui suit. A essayer. # marquage des paquets SIP émis avec la valeur 0x1 (arbitraire) iptables -t mangle -A OUTPUT -p udp --dport 5060 -j MARK --set-mark 0x1 iptables -t mangle -A OUTPUT -p udp --sport 5060 -j MARK --set-mark 0x1 # regle de routage en fonction de la marque 0x1 ip rule add fwmark 0x1 table 100 # table de routage 100 (arbitraire) avec MTU reduit # cette table doit reprendre les routes de la table normale (main) ip route add sous-reseau-local dev interface mtu 1300 table 100 ip route add default via passerelle dev interface mtu 1300 table 100 ... Mais comme l'a souligné Daniel, cela ne traite que les paquets SIP, qui ne contiennent que la signalisation. Les paquets des flux de données audio utilisent d'autres ports. On peut néanmoins les identifier avec le marquage de connexion CONNMARK. Et bien entendu, cela ne traite que le trafic sortant. Si quelque chose gêne le trafic entrant, cela n'aura aucune influence. PS : merci d'éviter le HTML, ça alourdit inutilement les messages. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4cf664e5.5090...@plouf.fr.eu.org
Re: Re : Re : Re : règle Iptables changeme nt de MTU
Tahar BEN ACHOUR a écrit : je pense avoir trouvé une solution pour répondre à ce besoin, #iptables -A PREROUTING -t mangle -p udp --dport 5060 -j MARK --set-mark 2 # echo 202 sip.in /etc/iproute2/rt_tables # ip rule add fwmark 2 table sip.in # ip route add default via 193.95.123.6 mtu 1300 dev eth0 table sip.in # ip route flush cache Nos messages se sont croisés et se rejoignent à quelques détails près. Reste une question à éclaircir : la machine sur laquelle tu créées ces règles est-elle serveur ou client SIP ou bien un routeur situé sur le chemin entre le serveur et le client ? Dans le premier cas, la chaîne PREROUTING ne convient pas : elle traite les paquets entrants, et si ces paquets sont destinés à la machine elle-même les règles de routage avancé sont sans effet (la table local est prioritaire). Dans le second cas la table de routage alternative a des chances d'être incomplète. Comme je l'ai déjà écrit elle devrait contenir les mêmes routes que la table principale, avec mtu 1300 en plus pour celles qui en ont besoin. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4cf66fd3.7000...@plouf.fr.eu.org
Re : Re : Re : Re : règle Iptables changement de MTU
- Message d'origine De : Pascal Hambourg pascal.m...@plouf.fr.eu.org À : DEBIAN debian-user-french@lists.debian.org Envoyé le : Mer 1 décembre 2010, 16h 54min 59s Objet : Re: Re : Re : Re : règle Iptables changement de MTU Tahar BEN ACHOUR a écrit : je pense avoir trouvé une solution pour répondre à ce besoin, #iptables -A PREROUTING -t mangle -p udp --dport 5060 -j MARK --set-mark 2 # echo 202 sip.in /etc/iproute2/rt_tables # ip rule add fwmark 2 table sip.in # ip route add default via 193.95.123.6 mtu 1300 dev eth0 table sip.in # ip route flush cache Nos messages se sont croisés et se rejoignent à quelques détails près. Reste une question à éclaircir : la machine sur laquelle tu créées ces règles est-elle serveur ou client SIP ou bien un routeur situé sur le chemin entre le serveur et le client ? Merci beaucoup pour ton aide, la machine sur laquelle j'applique ces règles c'est le serveur SIP Dans le premier cas, la chaîne PREROUTING ne convient pas : elle traite les paquets entrants, et si ces paquets sont destinés à la machine elle-même les règles de routage avancé sont sans effet (la table local est prioritaire). Dans le second cas la table de routage alternative a des chances d'être incomplète. Comme je l'ai déjà écrit elle devrait contenir les mêmes routes que la table principale, avec mtu 1300 en plus pour celles qui en ont besoin. PREROUTING ce n'est pas avant d'être routé ? le marquage ne doit pas se faire avant de router le paquet vers la destination ? Sinon je vois à peu près ce que tu veux dire par rapport au contneu de la table principale, je vais essayer d'appliquer les modifications et faire mes tests, je vous tiendrai au courant, mais a priori c'est la solution à adopter à quelques modif près. Encore merci pour ton aide PS : Désolé pour le HTML je ne m'étais pas rendu compte, d'habitude je le désactive -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/295989.42845...@web26302.mail.ukl.yahoo.com
Re: règle Iptables changement de MTU
Tahar BEN ACHOUR a écrit : De : Pascal Hambourg pascal.m...@plouf.fr.eu.org Reste une question à éclaircir : la machine sur laquelle tu créées ces règles est-elle serveur ou client SIP ou bien un routeur situé sur le chemin entre le serveur et le client ? la machine sur laquelle j'applique ces règles c'est le serveur SIP Dans le premier cas, la chaîne PREROUTING ne convient pas : elle traite les paquets entrants, et si ces paquets sont destinés à la machine elle-même les règles de routage avancé sont sans effet (la table local est prioritaire). [...] PREROUTING ce n'est pas avant d'être routé ? C'est avant la décision de routage *d'entrée*, qui décide si un paquet reçu doit être livré à un processus local (dans ce cas il poursuit sont chemin dans les chaînes INPUT) ou retransmis (forwarded) vers une autre machine (dans ce cas il poursuit son chemin dans les chaînes FORWARD et POSTROUTING). Cf. le schéma de la page Wikipédia sur iptables. La retransmission (forwarding) ne peut se produire que si la machine fonctionne en routeur. le marquage ne doit pas se faire avant de router le paquet vers la destination ? Si la destination est locale, le marquage en vue du routage ne sert à rien car la table de routage local est prioritaire, cf. la première ligne de ip rule list qui n'est pas modifiable. Quel intérêt y aurait-il de limiter le MTU (Maximum *Transmit* Unit) pour des paquets *reçus* ? Tout ce qu'on peut faire, c'est limiter la taille des paquets sortants, c'est-à-dire émis (par un hôte) ou retransmis (par un routeur). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4cf68ad4.6010...@plouf.fr.eu.org
RE : règle iptables....
--- fred [EMAIL PROTECTED] a écrit : Bonjour, Bonjour, Je m'essaye à iptables, et dès le début, ça coince :-( J'essaye en effet d'utiliser la règle suivante : /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT comme vu dans bon nombres de tuto sur iptables. Or celui-ci me répond invariablement iptables: No chain/target/match by that name Qu'est-ce qui ne va donc pas ?? http://www.linux-france.org/prj/inetdoc/guides/iptables-tutorial/iptablesdebugging.html Merci. En espérant que ce soit ça -- Fred. AC ___ Découvrez un nouveau moyen de poser toutes vos questions quelque soit le sujet ! Yahoo! Questions/Réponses pour partager vos connaissances, vos opinions et vos expériences. http://fr.answers.yahoo.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: règle iptables....
Le jeudi 31 août 2006 à 14:13 +0200, fred a écrit : Bonjour, Je m'essaye à iptables, et dès le début, ça coince :-( J'essaye en effet d'utiliser la règle suivante : /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT comme vu dans bon nombres de tuto sur iptables. Or celui-ci me répond invariablement iptables: No chain/target/match by that name Qu'est-ce qui ne va donc pas ?? Modules noyau manquant ou non chargé ? xt_state sur un noyau récent. Greg Merci. -- Fred. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: règle iptables....
Le jeudi 31 août 2006 à 15:17 +0200, Vanuxem Grégory a écrit : Le jeudi 31 août 2006 à 14:13 +0200, fred a écrit : Bonjour, Je m'essaye à iptables, et dès le début, ça coince :-( J'essaye en effet d'utiliser la règle suivante : /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT comme vu dans bon nombres de tuto sur iptables. Or celui-ci me répond invariablement iptables: No chain/target/match by that name Qu'est-ce qui ne va donc pas ?? Modules noyau manquant ou non chargé ? xt_state sur un noyau récent. J'oubliais l'essentiel : ip_tables, iptable_filter, x_tables (mais toujours sur un noyau récent, il y a eu des changements au niveau du noyau et je ne sais pas si les noms de modules n'ont pas changé) Greg Merci. -- Fred. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: règle iptables....
fred a écrit : Bonjour, Je m'essaye à iptables, et dès le début, ça coince :-( J'essaye en effet d'utiliser la règle suivante : /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT comme vu dans bon nombres de tuto sur iptables. Or celui-ci me répond invariablement iptables: No chain/target/match by that name Qu'est-ce qui ne va donc pas ?? Merci. C'est indépendant du problème ici, mais je te conseille de faire des règles plus précises en rajoutant des paramètres sur les protocoles, le sens des flux (soit en travaillant sur les adresses IP soit sur le noms des interfaces), ect. Bonne soirée GL
