Shorewall et désactivation du conntrack
Bonjour, J'utilise shorewall sur des machines virtuelles qui sont en ip publique. A une époque je faisais cela à la main dans un script shell mais avec la gestion de l'ipv6 cela faisait un script qui grossissait et devenait plus trop lisible. J'ai donc opté pour shorewall pour ipv4 et shorewall6 pour ipv6. Néanmoins je n'arrive pas à désactiver l'ip conntrack, vu qu'iptables protège une seule interface réseau, sans faire de nat, prerouting ou autre, j'aimerais enlever le tracking pour éviter de taper régulièrement dans les limites du conntrack. Il y a bien un fichier notrack pour shorewall mais je n'arrive pas à faire une règle qui ignore par exemple tout le trafic web ou tout le trafic en général. http://www.shorewall.net/4.4/manpages/shorewall-notrack.html http://www.shorewall.net/MyNetwork.html#idp1571736 J'ai essayé par exemple : net-tcp net-tcp80 sans succès. Vous avez des idées? Merci signature.asc Description: OpenPGP digital signature
Re: [hs] Des trous dans Shorewall
Le Wed, 30 Jun 2010 13:00:01 +0200, Frédéric ZULIAN a écrit : Ben il a installé sur son PC une appli Hamachi dont le descriptif est Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade http://www.clubic.com/telecharger-fiche14515-hamachi.html Comment fait-il donc pour contourner ma config de shorewall ? salut, hamachi permet de créer un vpn. Comme il se connecte sur un serveur central via un des ports normalement autorisés (ie 443), il suffit de repérer les adresses IP de cette société. En l'occurrence, voici celles que j'ai: 64.94.18.0/24, 74.201.74.0/23, 77.242.192.0/23 quelques règles iptables et l'affaire est dans la sac. Ceci a un avantage, il est impossible de se connecter sur leurs sites internet (comme https://secure.logmein.com) . Un peu brutal ,je vous l'accorde, mais depuis impossible de s'y connecter. @+ -- Px -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100702174512.64ca7...@lucifer
Re: [hs] Des trous dans Shorewall
Le Tue, Jun 29, 2010 at 05:10:18PM +0200, Sylvain Sauvage écrivait : Pascal Hambourg, mardi 29 juin 2010, 17:01:07 CEST Salut, ???lut, [???] Dans le second cas, j'ai pas d'idée... Mais si, au moins deux : 1. mauvais admin, changer admin (après tout, on ne sait pas ce que fait son pare-feu), et, 2. fiston plus malin que l???admin ;o) Ben il a installé sur son PC une appli Hamachi dont le descriptif est Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade http://www.clubic.com/telecharger-fiche14515-hamachi.html Comment fait-il donc pour contourner ma config de shorewall ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100630110001.ga21...@zulian.com
Re: [hs] Des trous dans Shorewall
Frédéric ZULIAN a écrit : Ben il a installé sur son PC une appli Hamachi dont le descriptif est Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade http://www.clubic.com/telecharger-fiche14515-hamachi.html Comment fait-il donc pour contourner ma config de shorewall ? http://fr.wikipedia.org/wiki/Hamachi C'est une espèce de VPN avec serveur central, donc pour le pare-feu c'est juste une connexion sortante (ça rejoint ma première hypothèse). Tu filtres quoi en sortie vers internet ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c2b2806.8020...@plouf.fr.eu.org
Re: [hs] Des trous dans Shorewall
On Wed, Jun 30, 2010 at 01:00:01PM +0200, Frédéric ZULIAN wrote: Ben il a installé sur son PC une appli Hamachi dont le descriptif est Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade http://www.clubic.com/telecharger-fiche14515-hamachi.html Comment fait-il donc pour contourner ma config de shorewall ? Sans doute une connection sortante vers un port 443 vers les pairs ou via un serveur exterieur, et sans doute en utilisant autre chose que du HTTPS. C'est très, très dur de controller ce genre de chose. Ou alors il faut bloquer le port 443. Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100630112116.gl11...@naryves.com
Re: [hs] Des trous dans Shorewall
Le mercredi 30 juin 2010 à 13:21 +0200, Yves Rutschle a écrit : On Wed, Jun 30, 2010 at 01:00:01PM +0200, Frédéric ZULIAN wrote: Ben il a installé sur son PC une appli Hamachi dont le descriptif est Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade http://www.clubic.com/telecharger-fiche14515-hamachi.html Comment fait-il donc pour contourner ma config de shorewall ? Sans doute une connection sortante vers un port 443 vers les pairs ou via un serveur exterieur, et sans doute en utilisant autre chose que du HTTPS. C'est très, très dur de controller ce genre de chose. Ou alors il faut bloquer le port 443. Y. Ce machin tente un peu tout : https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocId=670 A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs, puis, une fois les serveurs contactés, B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon UDP 17771 ou TCP 443 vers des serveurs relais. Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller Windows Update entre autres !). Tu peux aussi construire une liste d'adresses de destination autorisées pour le 443, mais bon courage alors... Christophe -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1277901109.2900.21.ca...@hp6830s.herblain.cdjh.info
Re: [hs] Des trous dans Shorewall
Bonjour, Le mercredi 30 juin 2010, Christophe a écrit... C'est très, très dur de controller ce genre de chose. Ou alors il faut bloquer le port 443. Ce machin tente un peu tout : https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocId=670 A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs, puis, une fois les serveurs contactés, B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon UDP 17771 ou TCP 443 vers des serveurs relais. Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller Windows Update entre autres !). Tu peux aussi construire une liste d'adresses de destination autorisées pour le 443, mais bon courage alors... N'y a t-il pas des modules iptables qui permettent d'attaquer/filtrer la couche applicative ? -- jm A.E.L. Sarl (R.C.S CASTRES 490843240) http://www.spidboutic.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100630124828.gn28...@espinasse
Re: [hs] Des trous dans Shorewall
Le mercredi 30 juin 2010 à 14:48 +0200, Jean-Michel OLTRA a écrit : Bonjour, Bonjour, Le mercredi 30 juin 2010, Christophe a écrit... C'est très, très dur de controller ce genre de chose. Ou alors il faut bloquer le port 443. Ce machin tente un peu tout : https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocId=670 A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs, puis, une fois les serveurs contactés, B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon UDP 17771 ou TCP 443 vers des serveurs relais. Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller Windows Update entre autres !). Tu peux aussi construire une liste d'adresses de destination autorisées pour le 443, mais bon courage alors... N'y a t-il pas des modules iptables qui permettent d'attaquer/filtrer la couche applicative ? Si, il y a bien xtables-addons et son module ipp2p, et layer7. Mais je ne crois pas qu'ils connaissent hamachi. On peut toujours écrire ses propres règles de détection pour layer7, ceci dit ! Mais il faut encore trouver quoi mettre dedans... Christophe -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1277905327.2900.28.ca...@hp6830s.herblain.cdjh.info
[hs] Des trous dans Shorewall
Bonjour, Sur le réseau familial, un de mes fils a un serveur de jeux (fonctionnant sur un PC sous win7) et utilisant le port 444. Pourtant je n'ai aucune ligne sous shorewall autorisant du trafic sur le port 444 ! Et cela passe, ses amis se connectent sur son serveur en passant par ma passerelle sous shorewall ! !! Une idée ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100629140841.ga13...@zulian.com
Re: [hs] Des trous dans Shorewall
Salut, f1...@zulian.com a écrit : Sur le réseau familial, un de mes fils a un serveur de jeux (fonctionnant sur un PC sous win7) et utilisant le port 444. Pourtant je n'ai aucune ligne sous shorewall autorisant du trafic sur le port 444 ! Et cela passe, ses amis se connectent sur son serveur en passant par ma passerelle sous shorewall ! !! TCP ou UDP ? Y a-t-il un serveur central qui fait la mise en relation des postes clients et serveurs ou bien les postes clients se connectent-ils directement au poste serveur en spécifiant son adresse IP publique ? Dans le premier cas, le jeu pourrait exploiter un mécanisme de NAT traversal de type STUN ou équivalent : le serveur central connaît les adresses IP publiques des postes clients et les communique au poste serveur qui peut initier une connexion sortante à travers le pare-feu (hole punching), ce qui permet aux postes clients de communiquer avec lui. Ça marche assez bien en UDP, pas forcément aussi bien en TCP. Dans le second cas, j'ai pas d'idée... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c2a0ab3.6070...@plouf.fr.eu.org
Re: [hs] Des trous dans Shorewall
Pascal Hambourg, mardi 29 juin 2010, 17:01:07 CEST Salut, ’lut, […] Dans le second cas, j'ai pas d'idée... Mais si, au moins deux : 1. mauvais admin, changer admin (après tout, on ne sait pas ce que fait son pare-feu), et, 2. fiston plus malin que l’admin ;o) -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100629171018.0a6d3...@ithil
Re: [hs] Des trous dans Shorewall
Le 29 juin 2010 16:08, f1...@zulian.com a écrit : Une idée ? UPnP peut être ? -- Kévin -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktilrsjfbygg9yqt_zon2v3gbs5tlegqsalhnd...@mail.gmail.com
Sécurisation de NFS (pour Shorewall)
Bonjour, Je voudrais fixer les ports utilisés par NFS de manière à pouvoir définir mes règles dans Shorewall. J'ai donc suivi le how-to suivant : http://wiki.debian.org/SecuringNFS Toutefois, j'ai deux petits soucis : 1. je n'ai ni statd ni quotad (concernant quotad, je ne pense pas que ce soit gênant et, pour statd, j'ai quand même fixé les ports, au cas où, dans /etc/default/nfs-common, et je me dis aussi que status doit quand même en faire partie ;-))). Est-ce normal ? 2. concernant lockd/nlockmanager, j'ai uniquement nlockmgr (un renommage de process ?), mais je ne sais pas comment fixer ses ports... Voici le résultat d'un rpcinfo -p : program no_version protocole no_port 102 tcp111 portmapper 102 udp111 portmapper 3910022 tcp997 sgi_fam 1000241 udp 32765 status 1000241 tcp 32765 status 132 udp 2049 nfs 133 udp 2049 nfs 134 udp 2049 nfs 1000211 udp 54659 nlockmgr 1000213 udp 54659 nlockmgr 1000214 udp 54659 nlockmgr 1000211 tcp 55930 nlockmgr 1000213 tcp 55930 nlockmgr 1000214 tcp 55930 nlockmgr 132 tcp 2049 nfs 133 tcp 2049 nfs 134 tcp 2049 nfs 151 udp 32767 mountd 151 tcp 32767 mountd 152 udp 32767 mountd 152 tcp 32767 mountd 153 udp 32767 mountd 153 tcp 32767 mountd Pour sgi_fam, vous savez ce que c'est ? Merci d'avance. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: Sécurisation de NFS (pour Shorewall)
Le Tue, 7 Jul 2009 10:45:44 +0200, David BERCOT deb...@bercot.org a écrit : Bonjour, Salut, Je voudrais fixer les ports utilisés par NFS de manière à pouvoir définir mes règles dans Shorewall. J'ai donc suivi le how-to suivant : http://wiki.debian.org/SecuringNFS Toutefois, j'ai deux petits soucis : 1. je n'ai ni statd ni quotad (concernant quotad, je ne pense pas que ce soit gênant et, pour statd, j'ai quand même fixé les ports, au cas où, dans /etc/default/nfs-common, et je me dis aussi que status doit quand même en faire partie ;-))). Est-ce normal ? Pour ma part, j'ai bien un processus « rpc.statd », mais il n'apparaît pas dans la sortie de « rpcinfo -p ». 2. concernant lockd/nlockmanager, j'ai uniquement nlockmgr (un renommage de process ?), mais je ne sais pas comment fixer ses ports... J'ai un fichier /etc/modprobe.d/options.local qui contient : # /etc/modprobe.d/options.local options lockd nlm_udpport=3002 nlm_tcpport=3002 Voici le résultat d'un rpcinfo -p : program no_version protocole no_port 102 tcp111 portmapper 102 udp111 portmapper 3910022 tcp997 sgi_fam 1000241 udp 32765 status 1000241 tcp 32765 status 132 udp 2049 nfs 133 udp 2049 nfs 134 udp 2049 nfs 1000211 udp 54659 nlockmgr 1000213 udp 54659 nlockmgr 1000214 udp 54659 nlockmgr 1000211 tcp 55930 nlockmgr 1000213 tcp 55930 nlockmgr 1000214 tcp 55930 nlockmgr 132 tcp 2049 nfs 133 tcp 2049 nfs 134 tcp 2049 nfs 151 udp 32767 mountd 151 tcp 32767 mountd 152 udp 32767 mountd 152 tcp 32767 mountd 153 udp 32767 mountd 153 tcp 32767 mountd Pour sgi_fam, vous savez ce que c'est ? non :-( Pour ma part, j'obtiens : # rpcinfo -p program no_version protocole no_port 102 tcp111 portmapper 102 udp111 portmapper 1000241 udp 3000 status 1000241 tcp 3000 status 132 udp 2049 nfs 133 udp 2049 nfs 134 udp 2049 nfs 1000211 udp 3002 nlockmgr 1000213 udp 3002 nlockmgr 1000214 udp 3002 nlockmgr 1000211 tcp 3002 nlockmgr 1000213 tcp 3002 nlockmgr 1000214 tcp 3002 nlockmgr 132 tcp 2049 nfs 133 tcp 2049 nfs 134 tcp 2049 nfs 151 udp 3001 mountd 151 tcp 3001 mountd 152 udp 3001 mountd 152 tcp 3001 mountd 153 udp 3001 mountd 153 tcp 3001 mountd Fred. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
[Résolu] Re: Sécurisation de NFS (pour Shorewall)
Le Tue, 7 Jul 2009 12:06:17 +0200, Frédéric Boiteux fboit...@calistel.com a écrit : Le Tue, 7 Jul 2009 10:45:44 +0200, David BERCOT deb...@bercot.org a écrit : Je voudrais fixer les ports utilisés par NFS de manière à pouvoir définir mes règles dans Shorewall. J'ai donc suivi le how-to suivant : http://wiki.debian.org/SecuringNFS Pour ma part, j'ai bien un processus « rpc.statd », mais il n'apparaît pas dans la sortie de « rpcinfo -p ». Bon, comme le paramétrage est fait, j'imagine que ça ne posera pas de problème pour NFS lors Shorewall sera lancé... 2. concernant lockd/nlockmanager, j'ai uniquement nlockmgr (un renommage de process ?), mais je ne sais pas comment fixer ses ports... J'ai un fichier /etc/modprobe.d/options.local qui contient : # /etc/modprobe.d/options.local options lockd nlm_udpport=3002 nlm_tcpport=3002 OK. La seule chose, c'est qu'on doit redémarrer pour que ce soit pris en compte ! Merci. Pour sgi_fam, vous savez ce que c'est ? non :-( http://fr.wikipedia.org/wiki/File_Alteration_Monitor Bref, je laisse ça en dehors du champ de Shorewall. Merci beaucoup. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
Bonjour, Le Thu, 29 Jan 2009 05:52:54 +0100, Grégory Bulot debian.l...@batman.dyndns.org a écrit : David BERCOT deb...@bercot.org à écrit le Mon, 26 Jan 2009 14:56:51 +0100 je réponds à mon post de réponse non encore arrivé sur la liste : modprobe ipt_LOG Oui mais, justement, je ne peux pas charger de module ;-) Le répertoire /lib/modules/'version noyau' n'existe pas !!! Le noyau est full modules (du moins, ceux considérés comme importants par ceux qui l'ont compilé) et non modifiable (pas de rajout possible). J'ai donc dû abandonner shorewall et utiliser directement iptables (sans règle autour de LOG). David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
David BERCOT deb...@bercot.org à écrit le Mon, 26 Jan 2009 14:56:51 +0100 je réponds à mon post de réponse non encore arrivé sur la liste : modprobe ipt_LOG -- Cordialement Grégory BULOT -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Bonjour, Le Fri, 23 Jan 2009 18:29:51 +0100, Pascal Hambourg pascal.m...@plouf.fr.eu.org a écrit : David BERCOT a écrit : # cat /proc/net/ip_tables_names mangle filter nat # cat /proc/net/ip_tables_matches length ttl tcpmss tos multiport limit state tcp udp icmp # cat /proc/net/ip_tables_targets TCPMSS REJECT DNAT SNAT Bon, y a pas tout, mais le minimum est présent. Il faudrait regarder quelle règle générée par shorewall provoque l'erreur en suivant les instructions de la page que tu cites dans ton premier message. Il manque la cible LOG, ça pourrait venir de là. Voilà ce que ça donne quand je tente de lancer shorewall : # shorewall start Compiling... Initializing... Determining Zones... IPv4 Zones: net Firewall Zone: fw Validating interfaces file... Validating hosts file... Pre-processing Actions... Pre-processing /usr/share/shorewall/action.Drop... Pre-processing /usr/share/shorewall/action.Reject... Validating Policy file... Determining Hosts in Zones... net Zone: venet0:0.0.0.0/0 Deleting user chains... Compiling /etc/shorewall/routestopped ... Creating Interface Chains... Compiling Common Rules Adding Anti-smurf Rules Compiling TCP Flags checking... Compiling Kernel Route Filtering... Compiling Martian Logging... Compiling /etc/shorewall/rules... Compiling Actions... Compiling /usr/share/shorewall/action.Drop for Chain Drop... Compiling /usr/share/shorewall/action.Reject for Chain Reject... Compiling /etc/shorewall/policy... Compiling Traffic Control Rules... Compiling Rule Activation... Compiling IP Forwarding... Shorewall configuration compiled to /var/lib/shorewall/.start Starting Shorewall Initializing... Clearing Traffic Control/QOS Deleting user chains... Enabling Loopback and DNS Lookups iptables: No chain/target/match by that name Terminated On peut tirer quelque chose de ça ? Y a-t-il une log quelque part ? Finalement, je crois que je vais être obligé d'utiliser les règles iptables en direct ;-) En tous cas, merci pour l'aide. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
David BERCOT a écrit : Pascal Hambourg pascal.m...@plouf.fr.eu.org a écrit : Il faudrait regarder quelle règle générée par shorewall provoque l'erreur en suivant les instructions de la page que tu cites dans ton premier message. Il manque la cible LOG, ça pourrait venir de là. Voilà ce que ça donne quand je tente de lancer shorewall : # shorewall start [...] On peut tirer quelque chose de ça ? Y a-t-il une log quelque part ? Non, je suggérais de faire ce qui est décrit là : http://www.shorewall.net/troubleshoot.htm#Start-shell. Soit ajouter l'option -vv pour augmenter la verbosité shorewall -vv [re]start soit si ça ne marche pas ajouter l'option debug et récupérer les messages de debug dans un fichier pour analyse shorewall debug start 2 /chemin/vers/debug_shorewall -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
Re-bonjour, Le Mon, 26 Jan 2009 11:10:47 +0100, Pascal Hambourg pascal.m...@plouf.fr.eu.org a écrit : Il faudrait regarder quelle règle générée par shorewall provoque l'erreur en suivant les instructions de la page que tu cites dans ton premier message. Il manque la cible LOG, ça pourrait venir de là. Non, je suggérais de faire ce qui est décrit là : http://www.shorewall.net/troubleshoot.htm#Start-shell. Soit ajouter l'option -vv pour augmenter la verbosité shorewall -vv [re]start Je garde ça de côté, mais, comme j'aurais visiblement des problèmes, j'en profite pour essayer de passer à la configuration pour homme ;-) Après quelques recherches et lectures, je lance la configuration suivante : # Vidage des règles (éventuelles) iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X # Politique générale iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT ACCEPT # Boucle locale iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT # Retour des requêtes lancées depuis l'intérieur iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Règles autorisées iptables -A INPUT -p tcp --dport 80 -j ACCEPT J'espère que les exemples que j'ai trouvés sont bons ;-) Il me reste toutefois un souci. Je souhaite utiliser sslh (merci Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local. Si je fais uniquement : iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT ça ne marche pas !!! J'ai fait le test avec la même ligne que ci-dessus mais pour les 2 ports en local, et là, ça fonctionne. Toutefois, j'imagine qu'il doit y avoir une possibilité pour ne pas ouvrir de l'extérieur les 2 ports qui n'ont besoin d'être accessibles qu'en interne... Mais là, je sèche sur la syntaxe... Auriez-vous une piste ? Merci d'avance (et à Pascal pour sa patience ;-))). David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
David BERCOT a écrit : iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT L'option -s est trop restrictive, les paquets émis sur l'interface de loopback peuvent avoir n'importe quelle adresse source locale. Cela inclut la plage 127.0.0.0/8 et toutes les adresses configurées sur les interfaces de la machine. Il me reste toutefois un souci. Je souhaite utiliser sslh (merci Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local. Si je fais uniquement : iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT ça ne marche pas !!! C'est censé marcher comment au niveau réseau, sslh ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
Le Mon, 26 Jan 2009 14:01:31 +0100, Pascal Hambourg pascal.m...@plouf.fr.eu.org a écrit : David BERCOT a écrit : iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT L'option -s est trop restrictive, les paquets émis sur l'interface de loopback peuvent avoir n'importe quelle adresse source locale. Cela inclut la plage 127.0.0.0/8 et toutes les adresses configurées sur les interfaces de la machine. Mhummm, il me semble que je n'ai que 127.0.0.1 (de visible en tous cas)... Il me reste toutefois un souci. Je souhaite utiliser sslh (merci Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local. Si je fais uniquement : iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT ça ne marche pas !!! C'est censé marcher comment au niveau réseau, sslh ? On arrive sur un port spécifique, et, ensuite, en fonction de ce qui arrive, on est redirigé vers le bon service sur un autre port. Je me demande si je ne pourrais pas faire un mix des règles précédentes, du genre : iptables -t filter -A INPUT -s 127.0.0.1 -p tcp --dport port_local1 -j ACCEPT Mais je ne connais pas assez iptables pour savoir si c'est valable ;-) David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
Le Mon, 26 Jan 2009 14:16:23 +0100, David BERCOT deb...@bercot.org a écrit : Il me reste toutefois un souci. Je souhaite utiliser sslh (merci Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local. Si je fais uniquement : iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT ça ne marche pas !!! C'est censé marcher comment au niveau réseau, sslh ? On arrive sur un port spécifique, et, ensuite, en fonction de ce qui arrive, on est redirigé vers le bon service sur un autre port. Je me demande si je ne pourrais pas faire un mix des règles précédentes, du genre : iptables -t filter -A INPUT -s 127.0.0.1 -p tcp --dport port_local1 -j ACCEPT Je pense avoir trouvé : iptables -t filter -A INPUT -p tcp --source mon_ip -j ACCEPT Je me demande si, pour peaufiner encore, il faudrait que je précise les ports locaux ? David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Shorewall, iptables et noyau ?
Bonjour, Je viens de souscrire récemment à un serveur privé. Cette solution semble très intéressante car on peut avoir totalement la main sur la machine (choix de l'OS, accès SSH, etc...), à un détail près : le noyau ! Ceci pourrait sembler secondaire à première vue, mais apparemment, ce n'est pas le cas. Je m'explique. J'ai donc commencé par changer les sources.list / preferences et fait un dist-upgrade de l'OS. Puis, j'ai installé tous mes programmes : messagerie, serveur Web, etc... Au noyau près, je suis donc up-to-date sur Debian Sid (je sais, je pourrais rester en stable, mais j'aime bien Sid ;-))). Puis j'installe mon firewall : shorewall. Et là, ça se complique. Après l'avoir paramétré, je le démarre et j'obtiens : iptables: No chain/target/match by that name Si je regarde la documentation de Shorewall, il semble que cela vienne du noyau (configuration particulière) : http://www.shorewall.net/troubleshoot.htm#Start-shell Est-ce le bon diagnostic ? Auriez-vous une solution à me proposer ? Je ne vous cache pas que j'aime bien shorewall car je le trouve très simple à comprendre et à configurer. Toutefois, si c'est absolument nécessaire, je suis OK pour évoluer ;-) Merci d'avance. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Le Fri, Jan 23, 2009 at 09:57:53AM +0100, David BERCOT a écrit : Je ne vous cache pas que j'aime bien shorewall car je le trouve très simple à comprendre et à configurer. Toutefois, si c'est absolument nécessaire, je suis OK pour évoluer ;-) Bonjour David, Beaucoup plus simple que shorewall, mais probablement pas aussi flexible, arno-iptables-firewall est un paquet qui a fait mon bonheur. (Et réglé mes problèmes de trou noir MTU aux sujets des quels je me lamentais de temps en temps sur cette liste ; apparament ils étaient causés par mon incompétence vis-à-vis d'un pare-feu ausi complet que Shorewall.) Amicalement, -- Charles -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
David BERCOT deb...@bercot.org à écrit le Fri, 23 Jan 2009 09:57:53 +0100 Bonjour, Je viens de souscrire récemment à un serveur privé. Cette solution semble très intéressante car on peut avoir totalement la main sur la machine (choix de l'OS, accès SSH, etc...), à un détail près : le noyau ! Ceci pourrait sembler secondaire à première vue, mais apparemment, ce n'est pas le cas. Je m'explique. [...] Après l'avoir paramétré, je le démarre et j'obtiens : iptables: No chain/target/match by that name - peut être un module non chargé ? (ip_conntrack, ip_limit, ) - après j'ai plus bête, j'ai essayé un truc une fois et j'avais ce message car je m'entétais a utiliser 'drop' au lieu de 'DROP' (majuscule miniscule) -- Cordialement Grégory BULOT -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Charles Plessy wrote: Le Fri, Jan 23, 2009 at 09:57:53AM +0100, David BERCOT a écrit : Je ne vous cache pas que j'aime bien shorewall car je le trouve très simple à comprendre et à configurer. Toutefois, si c'est absolument nécessaire, je suis OK pour évoluer ;-) Le lien dit tout à ce sujet. C'est donc le noyau dans lequel il faut cocher lors de la config et ensuite le compiler voir REJECT target support (see kernel.htm http://www.shorewall.net/kernel.htm) Mais si tu n'as pas le choix du noyau est-il possible de le recompiler ? Normalement tu dois avoir un fichier .config qui réside dans le /boot ou dans /usr/src/linux. -- mess-mate May you do Good Magic with Perl. -- Larry Wall's blessing -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Re-bonjour, Le Fri, 23 Jan 2009 10:27:53 +0100, mess-mate mess-m...@orange.fr a écrit : Charles Plessy wrote: Le Fri, Jan 23, 2009 at 09:57:53AM +0100, David BERCOT a écrit : Je ne vous cache pas que j'aime bien shorewall car je le trouve très simple à comprendre et à configurer. Toutefois, si c'est absolument nécessaire, je suis OK pour évoluer ;-) Le lien dit tout à ce sujet. C'est donc le noyau dans lequel il faut cocher lors de la config et ensuite le compiler voir REJECT target support (see kernel.htm http://www.shorewall.net/kernel.htm) Mais si tu n'as pas le choix du noyau est-il possible de le recompiler ? Normalement tu dois avoir un fichier .config qui réside dans le /boot ou dans /usr/src/linux. Justement, le problème est là : je n'ai aucun contrôle sur le noyau !!! Et je n'ai rien, ni dans /boot, ni dans /usr/src/linux !!! Même un lsmod me donne une ligne vide (d'ailleurs, je ne sais pas trop comment ça fonctionne leur système virtualisé et j'aimerais bien quelques infos dessus ;-))). Bizarrement, je peux installer tout comme je le souhaite, mais là... David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Le 23 janvier 2009 11:45, David BERCOT deb...@bercot.org a écrit : Justement, le problème est là : je n'ai aucun contrôle sur le noyau !!! Et je n'ai rien, ni dans /boot, ni dans /usr/src/linux !!! Même un lsmod me donne une ligne vide (d'ailleurs, je ne sais pas trop comment ça fonctionne leur système virtualisé et j'aimerais bien quelques infos dessus ;-))). Bizarrement, je peux installer tout comme je le souhaite, mais là... Bonjour, Ta configuration ressemble fortement à celle d'un Kimsufi. Il faut savoir que les distrib OVH ont toutes les modules intégrés au noyau pour améliorer les performances selon eux. Je pense que tu dois utiliser les RPS OVH non ? Tu dois pouvoir néanmoins recompiler le noyau avec les modules que tu désires, ils fournissent normalement le config et leurs sources quelque part sur leur ftp (ftp://ftp.ovh.net/made-in-ovh/) . En tout cas pour les kim c'est possible, si tu es bien sur un RPS ca doit aussi être faisable. Kévin
Re: Shorewall, iptables et noyau ?
Salut, David BERCOT a écrit : Je viens de souscrire récemment à un serveur privé. Cette solution semble très intéressante car on peut avoir totalement la main sur la machine (choix de l'OS, accès SSH, etc...), à un détail près : le noyau ! Pourquoi ? C'est une forme de virtualisation avec un même noyau commun à toutes les instances ? Puis j'installe mon firewall : shorewall. Et là, ça se complique. Après l'avoir paramétré, je le démarre et j'obtiens : iptables: No chain/target/match by that name Si je regarde la documentation de Shorewall, il semble que cela vienne du noyau (configuration particulière) : Qu'affiche uname -a ? Que contient /proc/config.gz s'il existe ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Le Fri, 23 Jan 2009 11:55:55 +0100, Kevin Hinault hina...@gmail.com a écrit : Le 23 janvier 2009 11:45, David BERCOT deb...@bercot.org a écrit : Justement, le problème est là : je n'ai aucun contrôle sur le noyau !!! Et je n'ai rien, ni dans /boot, ni dans /usr/src/linux !!! Même un lsmod me donne une ligne vide (d'ailleurs, je ne sais pas trop comment ça fonctionne leur système virtualisé et j'aimerais bien quelques infos dessus ;-))). Bizarrement, je peux installer tout comme je le souhaite, mais là... Bonjour, Ta configuration ressemble fortement à celle d'un Kimsufi. Il faut savoir que les distrib OVH ont toutes les modules intégrés au noyau pour améliorer les performances selon eux. Je pense que tu dois utiliser les RPS OVH non ? Eh non, raté ;-) Ca faisait partie des prétendants, mais finalement, je suis resté chez 1and1 ! Tu dois pouvoir néanmoins recompiler le noyau avec les modules que tu désires, ils fournissent normalement le config et leurs sources quelque part sur leur ftp (ftp://ftp.ovh.net/made-in-ovh/) . En tout cas pour les kim c'est possible, si tu es bien sur un RPS ca doit aussi être faisable. Mhum, chez 1and1, apparemment, le noyau n'est pas modifiable (ni remplaçable ni recompilable)... Si jamais vous avez une expérience différente chez eux (noyau recompilable) ou alors si vous avez un autre firewall qui puisse fonctionner sur cette config, je suis preneur. Pour le firewall, mes besoins sont limités : je veux tout bloquer sauf 3 ports en entrée ! Merci d'avance. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Le Fri, 23 Jan 2009 12:14:08 +0100, Pascal Hambourg pascal.m...@plouf.fr.eu.org a écrit : Salut, David BERCOT a écrit : Je viens de souscrire récemment à un serveur privé. Cette solution semble très intéressante car on peut avoir totalement la main sur la machine (choix de l'OS, accès SSH, etc...), à un détail près : le noyau ! Pourquoi ? C'est une forme de virtualisation avec un même noyau commun à toutes les instances ? En effet, c'est de la virtualisation. Puis j'installe mon firewall : shorewall. Et là, ça se complique. Après l'avoir paramétré, je le démarre et j'obtiens : iptables: No chain/target/match by that name Si je regarde la documentation de Shorewall, il semble que cela vienne du noyau (configuration particulière) : Qu'affiche uname -a ? Que contient /proc/config.gz s'il existe ? Pour uname -a, j'ai : Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon Nov 17 18:41:14 MSK 2008 i686 GNU/Linux Et sinon, /proc/config.gz n'existe pas ! Ca a l'air fermé, hein ? David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Le Fri, Jan 23, 2009 at 04:57:21PM +0100, David BERCOT ecrivait : Pour uname -a, j'ai : Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon Nov 17 18:41:14 MSK 2008 i686 GNU/Linux La version Linux ressemble à une version OpenVZ. Regardes cette page surtout le dernier paragraphe : http://wiki.openvz.org/Setting_up_an_iptables_firewall#Setting_up_a_firewall_that_allows_per-container_configuration 1and1 a oublié les modules qui vont bien au niveau de l'hote pour pouvoir avoir une conf fw au niveau des containers. David. -- Chronique, Articles, Projets libre - http://www.cure.nom.fr/ Association FINIX : Finistere *nix- http://www.Finix.EU.Org/ Le temps n'est pas important, seule la vie est importante L5E signature.asc Description: Digital signature
Re: Shorewall, iptables et noyau ?
Le 23 janvier 2009 16:54, David BERCOT deb...@bercot.org a écrit : Si jamais vous avez une expérience différente chez eux (noyau recompilable) ou alors si vous avez un autre firewall qui puisse fonctionner sur cette config, je suis preneur. Non pas mieux, désolé. Pour le firewall, mes besoins sont limités : je veux tout bloquer sauf 3 ports en entrée ! Si ce n'est que ça ce n'est pas forcément la peine de mettre en place l'artillerie lourde. Les règles iptables sont largement faisable à la main sauf utiliser de conntrack particulier et liés au noyau. Quels sont les trois protocoles ? SSH (j'imagine), et ? Kévin
Re: Shorewall, iptables et noyau ?
David BERCOT a écrit : En effet, c'est de la virtualisation. J'avais bien compris (VPS), mais peux-tu savoir quel type de virtualisation ça utilise ? Pour uname -a, j'ai : Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon Nov 17 18:41:14 MSK 2008 i686 GNU/Linux Purée que c'est vieux ! Presqu'autant que le noyau inclus dans sarge, l'ancienne Debian stable, sachant que l'actuelle stable est en fin de vie... Et sinon, /proc/config.gz n'existe pas ! Ca a l'air fermé, hein ? On va essayer autrement. /proc est monté, au moins ? Si oui, qu'affiche cat /proc/net/ip_tables_names cat /proc/net/ip_tables_matches cat /proc/net/ip_tables_targets -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Le Fri, 23 Jan 2009 17:33:44 +0100, Pascal Hambourg pascal.m...@plouf.fr.eu.org a écrit : David BERCOT a écrit : En effet, c'est de la virtualisation. J'avais bien compris (VPS), mais peux-tu savoir quel type de virtualisation ça utilise ? Comme l'a cité une autre personne de la liste : OpenVZ. Pour uname -a, j'ai : Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon Nov 17 18:41:14 MSK 2008 i686 GNU/Linux Purée que c'est vieux ! Presqu'autant que le noyau inclus dans sarge, l'ancienne Debian stable, sachant que l'actuelle stable est en fin de vie... Logiquement, j'ai signé pour un Debian 4.0 ;-) Et sinon, /proc/config.gz n'existe pas ! Ca a l'air fermé, hein ? On va essayer autrement. /proc est monté, au moins ? Si oui, qu'affiche cat /proc/net/ip_tables_names cat /proc/net/ip_tables_matches cat /proc/net/ip_tables_targets Voici les résultats : # cat /proc/net/ip_tables_names mangle filter nat # cat /proc/net/ip_tables_matches length ttl tcpmss tos multiport limit state tcp udp icmp # cat /proc/net/ip_tables_targets TCPMSS REJECT DNAT SNAT Merci. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Le Fri, 23 Jan 2009 17:18:10 +0100, David Cure david.cure.anti-s...@linux.eu.org a écrit : Le Fri, Jan 23, 2009 at 04:57:21PM +0100, David BERCOT ecrivait : Pour uname -a, j'ai : Linux nom_machine 2.6.9-023stab048.6-smp #1 SMP Mon Nov 17 18:41:14 MSK 2008 i686 GNU/Linux La version Linux ressemble à une version OpenVZ. Regardes cette page surtout le dernier paragraphe : http://wiki.openvz.org/Setting_up_an_iptables_firewall#Setting_up_a_firewall_that_allows_per-container_configuration 1and1 a oublié les modules qui vont bien au niveau de l'hote pour pouvoir avoir une conf fw au niveau des containers. Le noyau fourni est un noyau full modules (si j'ai bien compris), ce qui signifie, non pas un noyau avec tous les modules (la preuve ;-))), mais un noyau sur lequel on ne peut pas charger de module complémentaire. Hum, pas cool... Merci pour le lien (je l'envoie chez 1and1, au cas où). David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
Le Fri, 23 Jan 2009 17:32:10 +0100, Kevin Hinault hina...@gmail.com a écrit : Le 23 janvier 2009 16:54, David BERCOT deb...@bercot.org a écrit : Si jamais vous avez une expérience différente chez eux (noyau recompilable) ou alors si vous avez un autre firewall qui puisse fonctionner sur cette config, je suis preneur. Non pas mieux, désolé. Pour le firewall, mes besoins sont limités : je veux tout bloquer sauf 3 ports en entrée ! Si ce n'est que ça ce n'est pas forcément la peine de mettre en place l'artillerie lourde. Les règles iptables sont largement faisable à la main sauf utiliser de conntrack particulier et liés au noyau. Justement, shorewall me semblait la bonne solution : pas usine à gaz et facilement configurable. Je précise que je n'ai jamais utilisé directement iptables (ceci explique cela ;-))) Quels sont les trois protocoles ? SSH (j'imagine), et ? Hum, allez, on va dire 4 (sans rentrer dans les détails ;-))), en mettant SMTP, HTTP et HTTPS. Je vais faire quelques recherches sur les firewall, si jamais 1and1 ne me propose pas de solution pour shorewall, et si je ne trouve rien, je m'orienterai vers iptables... Merci. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Shorewall, iptables et noyau ?
David BERCOT a écrit : # cat /proc/net/ip_tables_names mangle filter nat # cat /proc/net/ip_tables_matches length ttl tcpmss tos multiport limit state tcp udp icmp # cat /proc/net/ip_tables_targets TCPMSS REJECT DNAT SNAT Bon, y a pas tout, mais le minimum est présent. Il faudrait regarder quelle règle générée par shorewall provoque l'erreur en suivant les instructions de la page que tu cites dans ton premier message. Il manque la cible LOG, ça pourrait venir de là. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Snort et Shorewall: blocage dynamique d'adresses IP
bonjour, j'ai installé un script(1) pour que Shorewall bloque dynamiquement les adresses IP qui font remonter des alertes SNORT: - j'ai installé le script dans /usr/local/SnortShorewall comme indiqué dans l'INSTALL - ce script examine le fichier /var/log/snort/alert pour activer shorewall dynamic drop IPadresslist Voilà pour la principe et ça fonctionne bien. Mais: - comment redémarrer le script *avant* la rotation du fichier log de Snort? car sinon SnortShorewall plante silencieusement. - je ne parviens pas à le redémarrer autrement qu'en console en faisant cd /usr/local/SnortShorewall ./ss.pl stop ./ss.pl start - sinon il ne trouve pas le path du pid de SnortShorewall, ni l'exécutable qui sont tous les deux dans le rep/ /usr/local/SnortShorewall - je suis nul en script mais il doit bien y avoir une solution pour automatiser ça? Quelqu'un aurait-il une idée pour un petit script bash par exemple? Merci de vos avis. (1) script téléchargé depuis http://linux-bsd-central.com/index.php/content/view/15/ -- --- Ma cle GPG est disponible sur http://www.keyserver.net (0x3E8D8B07) A6FD F7B5 1D15 0294 F4E1 E6D8 C873 E9AB 3E8D 8B07 --- signature.asc Description: Ceci est une partie de message numériquement signée
Re: Snort et Shorewall: blocage dynamique d'adresses IP
Bonjour, Le samedi 24 mai 2008, patrick a écrit... - comment redémarrer le script *avant* la rotation du fichier log de Snort? car sinon SnortShorewall plante silencieusement. Dans le dossier de cron qui exécute la rotation ? Le cron en question utilise run-parts qui traite les scripts dans l'ordre lexicographique. Il suffirait de mettre le script dedans de manière à ce qu'il soit lancé avant la rotation, donc ce n'est plus qu'une question d'ortograf. -- jm A.E.L. Sarl (R.C.S CASTRES 490843240) http://www.spidboutic.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Snort et Shorewall: blocage dynamique d'adresses IP [Résolu]
Le samedi 24 mai 2008 à 16:42 +0200, Jean-Michel OLTRA a écrit : Bonjour, Le samedi 24 mai 2008, patrick a écrit... - comment redémarrer le script *avant* la rotation du fichier log de Snort? car sinon SnortShorewall plante silencieusement. Dans le dossier de cron qui exécute la rotation ? Merci de ta réponse. J'ai donc réglé le problème comme suit: - commande pre-rotate: arrêt du démon SnortShorewall (et purge des IP bloquées) - rotation du fichier alert de snort - commande post-rotate: redémarrage du démon (le fichier alert ayant donc été recréé entre-temps). J'ai un peu triché, je me sers de webmin: je l'aime celui-là, même s'il n'est plus dans les paquets officiels DEBIAN (car il n'y a plus de mainteneurs ;-(. -- --- Ma cle GPG est disponible sur http://www.keyserver.net (0x3E8D8B07) A6FD F7B5 1D15 0294 F4E1 E6D8 C873 E9AB 3E8D 8B07 --- signature.asc Description: Ceci est une partie de message numériquement signée
Squid Dansguardian Shorewall : comment faire un proxy transparent ?
bonjour, J'ai installé Squid (port 3128) avec dansguardian (port 8080). Tout fonctionne bien, mais je n'arrive pas bien à comprendre comment configurer shorewall pour que le proxy soit transparent. Ma config de shorewall (version 4.0.6) est calquée sur le One-interface livré en exemple : - je n'ai qu'une interface - j'ai 2 zones = fw et net Je voudrais savoir et comprendre (ça serait meux !) ce que je dois mettre dans le fichier rules de shorewall. Merci
Re: Squid Dansguardian Shorewall : comment faire un proxy transparent ?
Manu a écrit : bonjour, J'ai installé Squid (port 3128) avec dansguardian (port 8080). Tout fonctionne bien, mais je n'arrive pas bien à comprendre comment configurer shorewall pour que le proxy soit transparent. Ma config de shorewall (version 4.0.6) est calquée sur le One-interface livré en exemple : - je n'ai qu'une interface - j'ai 2 zones = fw et net Je voudrais savoir et comprendre (ça serait meux !) ce que je dois mettre dans le fichier rules de shorewall. C'est expliqué là. En Anglais mais assez clair. http://www.linux-bsd-central.com/index.php/content/view/6/ Hopezishelps Merci De rien P. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
shorewall et vserver
Bonjour, j'ai installé vserver sur une machine afin de faire serveur de web. Par contre, si je modifie l'adresse IP du vserver (guest) j'arrive plus à me connecter à qui que ce soit. Si je lui mets une adresse dans celui de la machine (host) ça marche. Par ex. ip machine 192.168.xx.ww, vserver: 192.168.xx.yy = ça marche. Si je change l'adresse du vserver vers 192.168.aa.bb plus rien ne marche. Quelqu'un pourrait me mettre sur la voie, je sais que c'est une question de routing mais comment faire ? merci d'avance -- mess-mate -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: shorewall et monit
ok, alors je peux faire un # iptables -L ensuite vérifier la checksum md5 du résultat pour m'assurer que les rÚgles iptable sont bien chargées/ non modifiées. -- --- Ma cle GPG est disponible sur http://www.keyserver.net (0x3E8D8B07) A6FD F7B5 1D15 0294 F4E1 E6D8 C873 E9AB 3E8D 8B07 --- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
shorewall et monit
Bonjour à tous, Mon problÚme: je veux monitorer shorewall avec monit: - c'est à dire faire remonter une alarme ou redémarrer automatiquement shorewall s'il plante de façon à ce que moetch soit toujours derriÚre un pare-feu... - shorewall ne génÚre pas de pid que je puisse monitorer avemonit - par ex. je ne peux pas faire check process shorewall with pid /var/run/shorewall parce que shorewall n'est pas un processus qui crée de pid avez-vous une idée ? Google et gmane n'en ont pas eux `-) -- --- Ma cle GPG est disponible sur http://www.keyserver.net (0x3E8D8B07) A6FD F7B5 1D15 0294 F4E1 E6D8 C873 E9AB 3E8D 8B07 --- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: shorewall et monit
Le Thursday 08 November 2007 23:21:53 patrick, vous avez écrit : Bonjour à tous, Mon problÚme: je veux monitorer shorewall avec monit: - c'est à dire faire remonter une alarme ou redémarrer automatiquement shorewall s'il plante de façon à ce que moetch soit toujours derriÚre un pare-feu... - shorewall ne génÚre pas de pid que je puisse monitorer avemonit - par ex. je ne peux pas faire check process shorewall with pid /var/run/shorewall parce que shorewall n'est pas un processus qui crée de pid avez-vous une idée ? Google et gmane n'en ont pas eux `-) Shorewall n'est pas un démon / serveur. Il ne fait que construire des regles pour le firewall ipfilter du noyau Linux. Elles sont visibles avec un iptables -L. Donc ça ne peut pas tomber. Maintenant, on peut éventuellement vérifier que les règles sont bien là. signature.asc Description: This is a digitally signed message part.
Re : Re : [etch]shorewall Ipsec VPN
Salut la communauté, J'ai l'impression qu'on m'a oublié. Merci de regarder encore une fois et m'aider à résoudre ce problème avec le kernel. - Message d'origine De : Alexandre Mackow [EMAIL PROTECTED] À : debian-user-french@lists.debian.org Cc : Forum Debian debian-user-french@lists.debian.org Envoyé le : Mardi, 25 Septembre 2007, 7h28mn 24s Objet : Re: Re : [etch]shorewall Ipsec VPN Dominique Claver KOUAME a écrit : Je ne pense pas avoir oublié d'installer les modules et headers de mon noyau puisque quand je relance la commande voici ce que ça ma donne : marina:~# aptitude install linux-modules-2.6.18-4-686 linux-headers-2.6.18-4-686 Lecture des listes de paquets... Fait Construction de l'arbre des dépendances... Fait Lecture de l'information d'état étendu Initialisation de l'état des paquets... Fait Lecture des descriptions de tâches... Fait Construction de la base de données des étiquettes... Fait Les paquets suivants ont été conservés : debian-archive-keyring desktop-base epiphany-browser initramfs-tools libc6 libc6-dev libc6-i686 libkadm55 libkrb5-dev libkrb53 libneon26 liborbit2 librpcsecgss3 librsvg2-2 librsvg2-common linux-image-2.6-686 locales lsb-base nano nfs-common phpmyadmin postfix postfix-cdb postfix-mysql vim-common vim-tiny x-window-system x11-common xorg xserver-xorg xserver-xorg-core xserver-xorg-input-all xserver-xorg-video-all 0 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 33 non mis à jour . Il est nécessaire de télécharger 0o d'archives. Après dépaquetage, 0o seront uti lisés. Écriture de l'information d'état étendu... Fait marina:~# Merci à toi Alexandre, mais je crois qu'il y'a encore quelque chose à faire. Dominique Claver KOUAME, Ingénieur Systèmes - Réseaux Télécoms Arobase Telecom S.A skype : kdclaver +255-21004006 (bureau) 25 BP 1464 Abidjan 25 - Message d'origine De : Alexandre Mackow [EMAIL PROTECTED] À : debian-user-french@lists.debian.org Cc : Forum Debian debian-user-french@lists.debian.org Envoyé le : Lundi, 24 Septembre 2007, 16h30mn 10s Objet : Re: [etch]shorewall Ipsec VPN Dominique Claver KOUAME a écrit : Bonsoir à tous, Je suis en train de tester l'option IPsec VPN de shorewall. Aussi quand j'ai lancé l'install de Racoon et Ipsec-tools j'ai les messages d'erreur ci-dessous: marina:/tmp# aptitude install racoon ipsec-tools Paramétrage de ipsec-tools (0.6.6-3.1etch1) ... Paramétrage de racoon (0.6.6-3.1etch1) ... Generating /etc/default/racoon... Loading IPSEC/crypto modules... FATAL: Module /lib/modules/2.6.18_4_686/kernel/lib/zlib_deflate/zlib_deflate.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/aes.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/serpent.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/deflate.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/khazad.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/crc32c.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/crypto_null.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/michael_mic.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/blowfish.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/des.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/cast6.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/anubis.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/sha256.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/arc4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/sha1.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/cast5.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/twofish.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/tea.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/tgr192.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/wp512.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/md4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/sha512.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/xfrm/xfrm_user.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/key/af_key.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv4/ah4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv4/esp4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv4/ipcomp.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv6/ah6.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv6/esp6.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv6/ipcomp6.ko not found. IPSEC/crypto modules loaded. Flushing SAD and SPD
Re: Re : [etch]shorewall Ipsec VPN
Dominique Claver KOUAME a écrit : Je ne pense pas avoir oublié d'installer les modules et headers de mon noyau puisque quand je relance la commande voici ce que ça ma donne : marina:~# aptitude install linux-modules-2.6.18-4-686 linux-headers-2.6.18-4-686 Lecture des listes de paquets... Fait Construction de l'arbre des dépendances... Fait Lecture de l'information d'état étendu Initialisation de l'état des paquets... Fait Lecture des descriptions de tâches... Fait Construction de la base de données des étiquettes... Fait Les paquets suivants ont été conservés : debian-archive-keyring desktop-base epiphany-browser initramfs-tools libc6 libc6-dev libc6-i686 libkadm55 libkrb5-dev libkrb53 libneon26 liborbit2 librpcsecgss3 librsvg2-2 librsvg2-common linux-image-2.6-686 locales lsb-base nano nfs-common phpmyadmin postfix postfix-cdb postfix-mysql vim-common vim-tiny x-window-system x11-common xorg xserver-xorg xserver-xorg-core xserver-xorg-input-all xserver-xorg-video-all 0 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 33 non mis à jour . Il est nécessaire de télécharger 0o d'archives. Après dépaquetage, 0o seront uti lisés. Écriture de l'information d'état étendu... Fait marina:~# Merci à toi Alexandre, mais je crois qu'il y'a encore quelque chose à faire. Dominique Claver KOUAME, Ingénieur Systèmes - Réseaux Télécoms Arobase Telecom S.A skype : kdclaver +255-21004006 (bureau) 25 BP 1464 Abidjan 25 - Message d'origine De : Alexandre Mackow [EMAIL PROTECTED] À : debian-user-french@lists.debian.org Cc : Forum Debian debian-user-french@lists.debian.org Envoyé le : Lundi, 24 Septembre 2007, 16h30mn 10s Objet : Re: [etch]shorewall Ipsec VPN Dominique Claver KOUAME a écrit : Bonsoir à tous, Je suis en train de tester l'option IPsec VPN de shorewall. Aussi quand j'ai lancé l'install de Racoon et Ipsec-tools j'ai les messages d'erreur ci-dessous: marina:/tmp# aptitude install racoon ipsec-tools Paramétrage de ipsec-tools (0.6.6-3.1etch1) ... Paramétrage de racoon (0.6.6-3.1etch1) ... Generating /etc/default/racoon... Loading IPSEC/crypto modules... FATAL: Module /lib/modules/2.6.18_4_686/kernel/lib/zlib_deflate/zlib_deflate.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/aes.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/serpent.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/deflate.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/khazad.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/crc32c.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/crypto_null.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/michael_mic.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/blowfish.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/des.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/cast6.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/anubis.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/sha256.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/arc4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/sha1.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/cast5.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/twofish.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/tea.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/tgr192.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/wp512.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/md4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/sha512.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/xfrm/xfrm_user.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/key/af_key.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv4/ah4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv4/esp4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv4/ipcomp.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv6/ah6.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv6/esp6.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv6/ipcomp6.ko not found. IPSEC/crypto modules loaded. Flushing SAD and SPD... SAD and SPD flushed. Loading SAD and SPD... SAD and SPD loaded. Configuring racoon...racoon not running. done. Starting IKE (ISAKMP/Oakley) server: racoon. marina:/tmp# Tu as installé les modules et headers de ton noyau? aptitude install linux-modules-2.6.18-4-686 ? Sinon si tu as complié à la main, il doit te manquer quelques modules à activer amha
[etch]shorewall Ipsec VPN
Bonsoir à tous, Je suis en train de tester l'option IPsec VPN de shorewall. Aussi quand j'ai lancé l'install de Racoon et Ipsec-tools j'ai les messages d'erreur ci-dessous: marina:/tmp# aptitude install racoon ipsec-tools Paramétrage de ipsec-tools (0.6.6-3.1etch1) ... Paramétrage de racoon (0.6.6-3.1etch1) ... Generating /etc/default/racoon... Loading IPSEC/crypto modules... FATAL: Module /lib/modules/2.6.18_4_686/kernel/lib/zlib_deflate/zlib_deflate.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/aes.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/serpent.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/deflate.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/khazad.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/crc32c.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/crypto_null.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/michael_mic.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/blowfish.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/des.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/cast6.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/anubis.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/sha256.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/arc4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/sha1.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/cast5.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/twofish.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/tea.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/tgr192.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/wp512.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/md4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/sha512.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/xfrm/xfrm_user.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/key/af_key.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv4/ah4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv4/esp4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv4/ipcomp.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv6/ah6.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv6/esp6.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv6/ipcomp6.ko not found. IPSEC/crypto modules loaded. Flushing SAD and SPD... SAD and SPD flushed. Loading SAD and SPD... SAD and SPD loaded. Configuring racoon...racoon not running. done. Starting IKE (ISAKMP/Oakley) server: racoon. marina:/tmp# Dominique Claver KOUAME, Ingénieur Systèmes - Réseaux Télécoms Arobase Telecom S.A skype : kdclaver +255-21004006 (bureau) 25 BP 1464 Abidjan 25 _ Ne gardez plus qu'une seule adresse mail ! Copiez vos mails vers Yahoo! Mail
Re: [etch]shorewall Ipsec VPN
Dominique Claver KOUAME a écrit : Bonsoir à tous, Je suis en train de tester l'option IPsec VPN de shorewall. Aussi quand j'ai lancé l'install de Racoon et Ipsec-tools j'ai les messages d'erreur ci-dessous: marina:/tmp# aptitude install racoon ipsec-tools Paramétrage de ipsec-tools (0.6.6-3.1etch1) ... Paramétrage de racoon (0.6.6-3.1etch1) ... Generating /etc/default/racoon... Loading IPSEC/crypto modules... FATAL: Module /lib/modules/2.6.18_4_686/kernel/lib/zlib_deflate/zlib_deflate.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/aes.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/serpent.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/deflate.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/khazad.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/crc32c.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/crypto_null.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/michael_mic.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/blowfish.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/des.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/cast6.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/anubis.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/sha256.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/arc4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/sha1.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/cast5.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/twofish.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/tea.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/tgr192.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/wp512.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/md4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/sha512.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/xfrm/xfrm_user.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/key/af_key.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv4/ah4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv4/esp4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv4/ipcomp.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv6/ah6.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv6/esp6.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv6/ipcomp6.ko not found. IPSEC/crypto modules loaded. Flushing SAD and SPD... SAD and SPD flushed. Loading SAD and SPD... SAD and SPD loaded. Configuring racoon...racoon not running. done. Starting IKE (ISAKMP/Oakley) server: racoon. marina:/tmp# Tu as installé les modules et headers de ton noyau? aptitude install linux-modules-2.6.18-4-686 ? Sinon si tu as complié à la main, il doit te manquer quelques modules à activer amha.. ++ begin:vcard fn:Alexandre Mackow email;internet:[EMAIL PROTECTED] x-mozilla-html:FALSE version:2.1 end:vcard
Re : [etch]shorewall Ipsec VPN
Je ne pense pas avoir oublié d'installer les modules et headers de mon noyau puisque quand je relance la commande voici ce que ça ma donne : marina:~# aptitude install linux-modules-2.6.18-4-686 linux-headers-2.6.18-4-686 Lecture des listes de paquets... Fait Construction de l'arbre des dépendances... Fait Lecture de l'information d'état étendu Initialisation de l'état des paquets... Fait Lecture des descriptions de tâches... Fait Construction de la base de données des étiquettes... Fait Les paquets suivants ont été conservés : debian-archive-keyring desktop-base epiphany-browser initramfs-tools libc6 libc6-dev libc6-i686 libkadm55 libkrb5-dev libkrb53 libneon26 liborbit2 librpcsecgss3 librsvg2-2 librsvg2-common linux-image-2.6-686 locales lsb-base nano nfs-common phpmyadmin postfix postfix-cdb postfix-mysql vim-common vim-tiny x-window-system x11-common xorg xserver-xorg xserver-xorg-core xserver-xorg-input-all xserver-xorg-video-all 0 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 33 non mis à jour . Il est nécessaire de télécharger 0o d'archives. Après dépaquetage, 0o seront uti lisés. Écriture de l'information d'état étendu... Fait marina:~# Merci à toi Alexandre, mais je crois qu'il y'a encore quelque chose à faire. Dominique Claver KOUAME, Ingénieur Systèmes - Réseaux Télécoms Arobase Telecom S.A skype : kdclaver +255-21004006 (bureau) 25 BP 1464 Abidjan 25 - Message d'origine De : Alexandre Mackow [EMAIL PROTECTED] À : debian-user-french@lists.debian.org Cc : Forum Debian debian-user-french@lists.debian.org Envoyé le : Lundi, 24 Septembre 2007, 16h30mn 10s Objet : Re: [etch]shorewall Ipsec VPN Dominique Claver KOUAME a écrit : Bonsoir à tous, Je suis en train de tester l'option IPsec VPN de shorewall. Aussi quand j'ai lancé l'install de Racoon et Ipsec-tools j'ai les messages d'erreur ci-dessous: marina:/tmp# aptitude install racoon ipsec-tools Paramétrage de ipsec-tools (0.6.6-3.1etch1) ... Paramétrage de racoon (0.6.6-3.1etch1) ... Generating /etc/default/racoon... Loading IPSEC/crypto modules... FATAL: Module /lib/modules/2.6.18_4_686/kernel/lib/zlib_deflate/zlib_deflate.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/aes.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/serpent.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/deflate.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/khazad.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/crc32c.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/crypto_null.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/michael_mic.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/blowfish.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/des.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/cast6.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/anubis.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/sha256.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/arc4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/sha1.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/cast5.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/twofish.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/tea.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/tgr192.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/wp512.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/md4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/sha512.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/xfrm/xfrm_user.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/key/af_key.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv4/ah4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv4/esp4.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv4/ipcomp.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv6/ah6.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv6/esp6.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/net/ipv6/ipcomp6.ko not found. IPSEC/crypto modules loaded. Flushing SAD and SPD... SAD and SPD flushed. Loading SAD and SPD... SAD and SPD loaded. Configuring racoon...racoon not running. done. Starting IKE (ISAKMP/Oakley) server: racoon. marina:/tmp# Tu as installé les modules et headers de ton noyau? aptitude install linux-modules-2.6.18-4-686 ? Sinon si tu as complié à la main, il doit te manquer quelques modules à activer amha.. ++ _ Ne gardez plus
Re: [etch]shorewall Ipsec VPN
Salut, Dominique Claver KOUAME a écrit : FATAL: Module /lib/modules/2.6.18_4_686/kernel/lib/zlib_deflate/zlib_deflate.ko not found. FATAL: Module /lib/modules/2.6.18_4_686/kernel/crypto/aes.ko not found. [...] Juste une observation en passant : ça me paraît bizarre ces underscores dans la version du noyau (2.6.18_4_686) au lieu des habituels tirets (2.6.18-4-686). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
[etch]shorewall vpn
Bonsoir à tous, Je dois me lancer dans un projet de mise en place d'un firewall avec shorewall capable de prendre en charge les vpn. Le projet concerne trois (3) sites qui actuellement utilise des vpn via Internet sous windows. Merci de m'indiquer des howtos et des topos capables de me permettre de réussir ce projet. Vive le libre !! Dominique Claver KOUAME, Ingénieur Systèmes - Réseaux Télécoms Arobase Telecom S.A skype : kdclaver +255-21004006 25 BP 1464 Abidjan 25 _ Ne gardez plus qu'une seule adresse mail ! Copiez vos mails vers Yahoo! Mail
Re: shorewall
Oliver Elphick [EMAIL PROTECTED] wrote: | On Fri, 2007-06-15 at 10:04 +0200, mess-mate wrote: | Oliver Elphick [EMAIL PROTECTED] wrote: | | Le routeur est le coupe-feu qui reçoit tous les paquets de l'internet. | | Sur le coupe-feu on peut dévier certains paquets à autres machines. On | | peut dévier les paquets https à une machine derrière la coupe-feu, par | | example. | | | | Il faut expliquer ce que tu veux faire exactement. | | | Tout simplement protéger également les machines derrière le routeur. | Ceci avec shorewall afin de rester partout avec la même application. | | En se qui concerne le https, je puis accéder depuis les machines | derrière le routeur au routeur mais pas depuis le routeur vers les | machines. Ces machines n'ont pas de firewall pour l'instant. | | On protège les autres machines avec un coupe-feu seul -- c'est le | routeur. Les règles de Shorewall ( /etc/shorewall/rules ) contrôlent les | paquets qui viennent du web au coupe-feu, du coupe_feu aux autres | machines, des autres machines au coupe-feu, etc. Il faut simplement | écrire les bons règles pour faire ce que tu veux, à moins que tu ne | veuilles pas protéger une machine contre une autre derrière le | coupe-feu. | | Par example, pour contrôler les paquets ssh : | | # | # Accept SSH connections between the local network and firewall | # | ACCEPT fw loc tcp 22 | ACCEPT loc fw tcp 22 | # and from the net to the firewall | ACCEPT net fw tcp 22 | | Alors, pour que l'on accède depuis le routeur vers les autres machines | avec https : | | ACCEPT fw loc tcp 443 | ACCEPT fw loc udp 443 | | -- Merci, c'est fait. Le 'ACCEPT net fw' est de trop car l'accès au net se fait à travers une machine qui fait routeur/firewall/proxy. J'ai donc que loc et fw. En ce qui concerne le https ( au fait pour accéder à webmin) j'ai également due faire : ACCEPT loc $FW tcp 1 cordialement mess-mate -- Delay not, Caesar. Read it instantly. -- Shakespeare, Julius Caesar 3,1 Here is a letter, read it at your leisure. -- Shakespeare, Merchant of Venice 5,1 [Quoted in VMS Internals and Data Structures, V4.4, when referring to I/O system services.]
Re: shorewall
On Thu, 2007-06-14 at 10:00 +0200, mess-mate wrote: Bonjour, j'ai installé shorewall sur mon routeur/proxy, mais j'arrive pas à l'installer convenablement sur une machine derrière ce routeur/shorewall/squid (etch). Pourquoi veux-tu installer shorewall sur une autre machine ? On l'installe seulement sur le routeur, je crois. C'est l'organisation que j'ai fait ici, laquelle marche tout à fait bien. Le routeur a Etch et shorewall, la carte ADSL et aussi une carte ethernet. Toutes les autres machines sont derrière le routeur. Elles n'ont pas shorewall du tout. C'est le comble :( Surtout le https me pose problèmes. Le routeur est le coupe-feu qui reçoit tous les paquets de l'internet. Sur le coupe-feu on peut dévier certains paquets à autres machines. On peut dévier les paquets https à une machine derrière la coupe-feu, par example. Il faut expliquer ce que tu veux faire exactement. -- Oliver Elphick [EMAIL PROTECTED] Isle of Wight http://www.lfix.co.uk/oliver GPG: 1024D/A54310EA 92C8 39E7 280E 3631 3F0E 1EC0 5664 7A2F A543 10EA Do you want to know God? http://www.lfix.co.uk/knowing_god.html
Re: shorewall
Oliver Elphick [EMAIL PROTECTED] wrote: | On Thu, 2007-06-14 at 10:00 +0200, mess-mate wrote: | Bonjour, | j'ai installé shorewall sur mon routeur/proxy, mais j'arrive pas à | l'installer convenablement sur une machine derrière ce | routeur/shorewall/squid (etch). | | Pourquoi veux-tu installer shorewall sur une autre machine ? On | l'installe seulement sur le routeur, je crois. | | C'est l'organisation que j'ai fait ici, laquelle marche tout à fait | bien. Le routeur a Etch et shorewall, la carte ADSL et aussi une carte | ethernet. Toutes les autres machines sont derrière le routeur. Elles | n'ont pas shorewall du tout. | | C'est le comble :( | Surtout le https me pose problèmes. | | Le routeur est le coupe-feu qui reçoit tous les paquets de l'internet. | Sur le coupe-feu on peut dévier certains paquets à autres machines. On | peut dévier les paquets https à une machine derrière la coupe-feu, par | example. | | Il faut expliquer ce que tu veux faire exactement. | Tout simplement protéger également les machines derrière le routeur. Ceci avec shorewall afin de rester partout avec la même application. En se qui concerne le https, je puis accéder depuis les machines derrière le routeur au routeur mais pas depuis le routeur vers les machines. Ces machines n'ont pas de firewall pour l'instant. mess-mate -- If you learn one useless thing every day, in a single year you'll learn 365 useless things.
Re: shorewall
On Fri, 2007-06-15 at 10:04 +0200, mess-mate wrote: Oliver Elphick [EMAIL PROTECTED] wrote: | Le routeur est le coupe-feu qui reçoit tous les paquets de l'internet. | Sur le coupe-feu on peut dévier certains paquets à autres machines. On | peut dévier les paquets https à une machine derrière la coupe-feu, par | example. | | Il faut expliquer ce que tu veux faire exactement. | Tout simplement protéger également les machines derrière le routeur. Ceci avec shorewall afin de rester partout avec la même application. En se qui concerne le https, je puis accéder depuis les machines derrière le routeur au routeur mais pas depuis le routeur vers les machines. Ces machines n'ont pas de firewall pour l'instant. On protège les autres machines avec un coupe-feu seul -- c'est le routeur. Les règles de Shorewall ( /etc/shorewall/rules ) contrôlent les paquets qui viennent du web au coupe-feu, du coupe_feu aux autres machines, des autres machines au coupe-feu, etc. Il faut simplement écrire les bons règles pour faire ce que tu veux, à moins que tu ne veuilles pas protéger une machine contre une autre derrière le coupe-feu. Par example, pour contrôler les paquets ssh : # # Accept SSH connections between the local network and firewall # ACCEPT fw loc tcp 22 ACCEPT loc fw tcp 22 # and from the net to the firewall ACCEPT net fw tcp 22 Alors, pour que l'on accède depuis le routeur vers les autres machines avec https : ACCEPT fw loc tcp 443 ACCEPT fw loc udp 443 -- Oliver Elphick [EMAIL PROTECTED] Isle of Wight http://www.lfix.co.uk/oliver GPG: 1024D/A54310EA 92C8 39E7 280E 3631 3F0E 1EC0 5664 7A2F A543 10EA Do you want to know God? http://www.lfix.co.uk/knowing_god.html
shorewall
Bonjour, j'ai installé shorewall sur mon routeur/proxy, mais j'arrive pas à l'installer convenablement sur une machine derrière ce routeur/shorewall/squid (etch). C'est le comble :( Surtout le https me pose problèmes. mess-mate -- Q: How many Marxists does it take to screw in a light bulb? A: None: The light bulb contains the seeds of its own revolution.
Shorewall et les vlan
Salut, savez-vous si shorewall gère les vlan dans sa config ? Je ne trouve aucune doc ni exemple sur le routage/pare feu avec shorewall et les vlan Merci de vos lumières Franck -- http://www.linuxpourtous.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall et les vlan
OoO Lors de la soirée naissante du jeudi 14 juin 2007, vers 17:53, Franck [EMAIL PROTECTED] disait: savez-vous si shorewall gère les vlan dans sa config ? Je ne trouve aucune doc ni exemple sur le routage/pare feu avec shorewall et les vlan Les VLAN sont vues comme des interfaces classiques. Shorewall ne s'en mêle donc pas. À toi de les configurer dans le /etc/network/interfaces. -- Don't sacrifice clarity for small gains in efficiency. - The Elements of Programming Style (Kernighan Plauger) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
interface web pour firewall (shorewall)
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 bonjour, je suis à la recherche d'un logiciel sous sarge qui me permette d'afficher dans une page web les logs de mon firewall (shorewall): - - j'ai essayé (sans succès) iptablesweb, iptables logs analyzer - - je connais déjà nulog mais je souhaite quelque chose de moins aride Merci de vos retours d'expériences et de vos conseils... ** Linux-User #414422 with the Linux Counter, http://counter.li.org - --- Ma clé GPG est disponible sur http://www.keyserver.net (0xD99B1A80) 1587 B350 1371 C812 39B6 24C1 1BCA 4435 D99B 1A80 - --- _ |Protégez votre vie privée: | \|||/ | - Signez/chiffrez vos messages. __| q o - p|Respectez celle des autres: | / __mn__\_^_/_nm__| - Masquez les destinataires de vos mailings |/ |__/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.1 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFExL1G8pENdmbGoARAnMtAKD3FEZLk0L0fJSA+WLBPZgvzWKE2gCghg+K vdPsDoJo8cM5D8V6MZ2Osfg= =e4w7 -END PGP SIGNATURE- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: interface web pour firewall (shorewall)
Le vendredi 22 Septembre 2006 00:32, patrick a écrit : bonjour, je suis à la recherche d'un logiciel sous sarge qui me permette d'afficher dans une page web les logs de mon firewall (shorewall): - j'ai essayé (sans succès) iptablesweb, iptables logs analyzer En son temps j'ai essayé firewalEyes !
paquet .deb des sources de shorewall 3.2 RC1
Bonjour, Quelqu'un en connaîtrait-il un dépôt ? merci -- Philippe Monroux E 55.3 S 21.5 -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Paquet debian des sources d e shorewall 3.2 RC1 [était: paquet .deb ...]
Bonjour, Philippe MONROUX [EMAIL PROTECTED] a écrit : plutôt le paquet qu'on récupère avec apt-get source quoi... -- Philippe Monroux E 55.3 S 21.5 -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Shorewall
Salut les amis, Je me permet de vous déranger, pour vous exposer mon problème. J'ai installé shorewall et le module webmin. Après avoir fait la config des zones et interfaces, j'ai configuré les règles par défaut : tous dropé de tous vers tous. Mais quand je rajoute des autorisations dans rules cela ne fonction pas. Si vous avez une idée ou des questions je vous remercie de tous coeur. ALICE HAUT DEBIT A 29,95 EUR/MOIS ALICEBOX, l'offre Internet tout en 1 : ADSL, téléphonie, modem Wi-Fi et en exclusivité la hotline gratuite 24h/24 ! Soumis à conditions. Pour en profiter cliquez ici http://abonnement.aliceadsl.fr
Shorewall
Title: Shorewall Bon jai quelques problmes dinstallation de shorewall... Est ce que shorewall fait aussi serveur dhcp? Parce que jai install dhcp3 comme server DHCP quand jai redmarr ma machine, jai eu plein de message du genre : Date nom de ma machine kernal : Shorewall:rfc1918:DROP:In=eth1 OUT= MAC= bla bla SRC="" rseaux local DST=255.255.255.255 LEN Etc ...
Re: Shorewall
Le Mardi 2 Août 2005 00:02, greg Makowski a écrit : Bon j¹ai quelques problèmes d¹installation de shorewall... Est ce que shorewall fait aussi serveur dhcp? Parce que j¹ai installé dhcp3 comme server DHCP quand j¹ai redémarré ma machine, j¹ai eu plein de message du genre : Date nom de ma machine kernal : Shorewall:rfc1918:DROP:In=eth1 OUT= MAC= bla bla SRC=adresse réseaux local DST=255.255.255.255 LEN Il ne faut pas mettre l'option norfc1918 pour l'interface du réseau local dans le fichier /etc/shorewall/interfaces. pgpWTo4Qp4fFH.pgp Description: PGP signature
Re: Shorewall ne bloque pas tous les ports.
Pourquoi Nessus, lancé à partir d'une autre machine du réseau, voit-il les ports 110, 119, 143 et 25 ouverts ? il y'a une raison logique que j'expliquerai plus tard mais avant j'aimerais que tu utilises nmap pour scanner la machine et que tu nous poste le résultat la commande suivante en tant que root (l'éxécution de la commande peut prendre un peu de temps 20/30 minutes) : nmap -sU -sT -P0 -O addresse_ip M. -- Emmanuel Bouthenot (aka Kolter) MAIL : free.fr / kolter (at) GPG : 0x414EC36E WWW : http://kolter.free.fr JABBER : amessage.de / kolter (at)
Re: Shorewall ne bloque pas tous les ports.
Laurent Huet wrote: Ok, j'explique. Le serveur est sur un réseau local avec IP en 192.168.0.X Ce réseau est derrière un routeur Linksys WRT54G (soit dit en passant, les meilleurs firwares ne sont pas ceux que l'on paye). Pour être sûr de ne laisser passer que du traffic vers le serveur web, le serveur ftp et le serveur ssh, j'ai installé shorewall sur mon serveur. Il parrait qu'il simplifie la configuration d'iptables. Ce serveur n'a qu'une interface eth0 sur le réseau local. Je l'ai déclarée en net dans /etc/shorewall/interfaces mais j'aurais aussi bien pu la déclarer en loc. Je ne pense pas que ça aurait changé grand chose. Pourquoi, alors que j'interdit tout traffic dans les deux sens dans policy avec allallDROP et que j'autorise explicitement dans rules le trafic entrant vers les ports 21, 22 et 41210 avec ACCEPTnetfwtcp21,22,41210 et tout le traffic sortant du serveur avec ACCEPTfwnetall Pourquoi Nessus, lancé à partir d'une autre machine du réseau, voit-il les ports 110, 119, 143 et 25 ouverts ? Ca m'intrigue Le contenu de ton fichier /etc/shorewall/interfaces ? Le resultat de iptables -L ? -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Shorewall - comportement trange
Bonsoir, j'ai un petit problème avec mon firewall. En résumé, j'ai un pc connecté en eth0 avec une freebox, en eth1 avec mon réseau local, le firewall est en testing avec shorewall. ci dessous mes policy et rules. mon accès depuis l'exterieur est assez louche... j'arrive a acceder a mon serveur web (au port 80) sur le firewall mais ni l'imap ou le ssh (au port 2) sur la meme machine de meme j'accede a mon ssh (au port 22) vers mon pc 192.168.1.2 mais pas au web (en 8080) alors soit il se fait tard et je n'ai pu les yeux en face des trous, soit c'est shorewall... merci de vos lumières! Jean-Philippe voici mon policy: ### #SOURCE DESTPOLICY LOG LIMIT:BURST # LEVEL $FW all ACCEPT - loc net ACCEPT - loc loc ACCEPT - loc $FW ACCEPT - net all DROP # # THE FOLLOWING POLICY MUST BE LAST # all all REJECT - et mon rules : #IMAP ACCEPT net fw tcp imap #IMAPS ACCEPT net fw tcp imaps #WEB ACCEPT net fw tcp http #SSH to fw ACCEPT net fw tcp 2 DNATnet loc:192.168.1.2 tcp ssh DNATnet loc:192.168.1.2 tcp 369 DNATnet loc:192.168.1.2 tcp 3389 DNATnet loc:192.168.1.2 tcp 4662 DNATnet loc:192.168.1.2 udp 4672 DNATnet loc:192.168.1.4 tcp 4663 DNATnet loc:192.168.1.4 udp 4673 DNATnet loc:192.168.1.2 tcp 8080 DNATnet loc:192.168.1.2 udp 8436 DNATnet loc:192.168.1.2 tcp 6891,1863 DNATnet loc:192.168.1.2 tcp 5900 DNATnet loc:192.168.1.2 tcp 5800 DNATnet loc:192.168.1.4 tcp 2010 DNATnet loc:192.168.1.4 tcp 2214 DNATnet loc:192.168.1.2 tcp 1720,389,522,1503,1731 -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Shorewall ne bloque pas tous les ports.
Bonjour à tous, Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en net dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. Je pensais que mes règles ne laisseraient passer que le minimum nécessaire mais je dois me tromper. /etc/shorewall/policy all all DROP /etc/shorewall/rules ACCEPT fw net all ACCEPT net fw tcp 21,22,41210 Cependant, lorsque je lance un scan avec Nessus, en plus des ports autorisés dans mes règles, les ports 25 110 119 et 143 apparaissent comme ouverts. Dois-je rajouter manuellement les interdictions pour ces ports ? Est-ce dû à une particularité du portage de shorewall sur Debian ? Cela correspond-t'il à un impératif de fonctionnement d'une distribution Debian ? Je sais qu'il existe une liste concernant les firewall sur Debian. Je l'ai parcourue à la recherche d'informations, mais mon Anglais n'est pas suffisamment évolué. C'est pour cette raison que je poste dans la liste française. Merci de m'aider.
Re: Shorewall ne bloque pas tous les ports.
Laurent Huet a écrit : Bonjour à tous, Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en net dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. Je pensais que mes règles ne laisseraient passer que le minimum nécessaire mais je dois me tromper. /etc/shorewall/policy allallDROP /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 Cependant, lorsque je lance un scan avec Nessus, en plus des ports autorisés dans mes règles, les ports 25 110 119 et 143 apparaissent comme ouverts. Dois-je rajouter manuellement les interdictions pour ces ports ? Est-ce dû à une particularité du portage de shorewall sur Debian ? Cela correspond-t'il à un impératif de fonctionnement d'une distribution Debian ? Je sais qu'il existe une liste concernant les firewall sur Debian. Je l'ai parcourue à la recherche d'informations, mais mon Anglais n'est pas suffisamment évolué. C'est pour cette raison que je poste dans la liste française. Merci de m'aider. Je suppose que tu exécutes Nessus à partir de la machine que tu veux scanner? C'est logique qu'il trouve des ports ouverts, ce sont ceux qui le sont en local (telnet localhost 110 par ex.). Lance le test à partir d'une machine à l'extèrieur du réseau. -- Daniel Huhardeaux __ _ _ __ __ __ enum+48 32 285 5276 /_ _// _ // _ //_ _// __ // / iaxtel +1 700 849 6983 / / / // // // / / / / /_/ // / sip:101 h323:121 @voip./_/ //// /_/ /_/ /_//_/.com -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
En fait, ma machine est un serveur autonome sur un réseau local de classe C et je lance bien Nessus à partir d'une autre machine du même réseau. Par contre, je me pose la question suivante : l'installation d'une distribution Debian Sarge établit t'elle des règles iptables ouvrant ces ports par défaut ? Si oui, shorewall estime t'il que, ces règles existant déjà, il ne doit pas y toucher ? Le 27 avr. 05, à 10:41, daniel huhardeaux a écrit : Laurent Huet a écrit : Bonjour à tous, Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en net dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. Je pensais que mes règles ne laisseraient passer que le minimum nécessaire mais je dois me tromper. /etc/shorewall/policy allallDROP /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 Cependant, lorsque je lance un scan avec Nessus, en plus des ports autorisés dans mes règles, les ports 25 110 119 et 143 apparaissent comme ouverts. Dois-je rajouter manuellement les interdictions pour ces ports ? Est-ce dû à une particularité du portage de shorewall sur Debian ? Cela correspond-t'il à un impératif de fonctionnement d'une distribution Debian ? Je sais qu'il existe une liste concernant les firewall sur Debian. Je l'ai parcourue à la recherche d'informations, mais mon Anglais n'est pas suffisamment évolué. C'est pour cette raison que je poste dans la liste française. Merci de m'aider. Je suppose que tu exécutes Nessus à partir de la machine que tu veux scanner? C'est logique qu'il trouve des ports ouverts, ce sont ceux qui le sont en local (telnet localhost 110 par ex.). Lance le test à partir d'une machine à l'extèrieur du réseau. -- Daniel Huhardeaux __ _ _ __ __ __ enum+48 32 285 5276 /_ _// _ // _ //_ _// __ // / iaxtel +1 700 849 6983 / / / // // // / / / / /_/ // / sip:101 h323:121 @voip./_/ //// /_/ /_/ /_//_/.com -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
Laurent Huet a écrit : En fait, ma machine est un serveur autonome sur un réseau local de classe C et je lance bien Nessus à partir d'une autre machine du même réseau. Par contre, je me pose la question suivante : l'installation d'une distribution Debian Sarge établit t'elle des règles iptables ouvrant ces ports par défaut ? Si oui, shorewall estime t'il que, ces règles existant déjà, il ne doit pas y toucher ? Le 27 avr. 05, à 10:41, daniel huhardeaux a écrit : Laurent Huet a écrit : Bonjour à tous, Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en net dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. Je pensais que mes règles ne laisseraient passer que le minimum nécessaire mais je dois me tromper. /etc/shorewall/policy allallDROP /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 Cependant, lorsque je lance un scan avec Nessus, en plus des ports autorisés dans mes règles, les ports 25 110 119 et 143 apparaissent comme ouverts. Dois-je rajouter manuellement les interdictions pour ces ports ? Est-ce dû à une particularité du portage de shorewall sur Debian ? Cela correspond-t'il à un impératif de fonctionnement d'une distribution Debian ? Je sais qu'il existe une liste concernant les firewall sur Debian. Je l'ai parcourue à la recherche d'informations, mais mon Anglais n'est pas suffisamment évolué. C'est pour cette raison que je poste dans la liste française. Merci de m'aider. Je suppose que tu exécutes Nessus à partir de la machine que tu veux scanner? C'est logique qu'il trouve des ports ouverts, ce sont ceux qui le sont en local (telnet localhost 110 par ex.). Lance le test à partir d'une machine à l'extèrieur du réseau. Si ces ports sont ouverts c'est que des services tournent (25 smtp 110 pop ...) Si ces services ne servent à rien, tu les ferment (pour smtp mauvaise idée). Sinon, comme il t'a été dit dans un précédent mail, tu fermes tout et n'ouvre que ce dont tu as besoin. -- Daniel Huhardeaux __ _ _ __ __ __ enum+48 32 285 5276 /_ _// _ // _ //_ _// __ // / iaxtel +1 700 849 6983 / / / // // // / / / / /_/ // / sip:101 h323:121 @voip./_/ //// /_/ /_/ /_//_/.com -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
Comme je l'écris dans mon premier post, ne tournent sur cette machine que un seveur ssh, un serveur smtp configuré en distribution locale uniquement, un serveur ftp et un serveur web sur le port 41210. J'aurais peut-être dû préciser qu'il n'y a ni serveur pop, ni serveur imap, ni serveur nntp. Quand à tout fermer je le fais par : all all DROP dans /etc/shorewall/policy. et ouvrir le strict nécessaire, je le fais par : ACCEPT fw net all ACCEPT net fw tcp 21,22,41210 dans /etc/shorewall/rules Comme dit dans mon premier post. Malgré cela, les ports 25,110,119 et 143 apparaissent comme ouverts lors d'un scan de Nessus à partir d'une autre machine du même segment de réseau. Je précise que ce serveur est un serveur autonome et non une passerelle. Merci quand même de prendre le temps de répondre à ma question. Le 27 avr. 05, à 13:24, daniel huhardeaux a écrit : Laurent Huet a écrit : En fait, ma machine est un serveur autonome sur un réseau local de classe C et je lance bien Nessus à partir d'une autre machine du même réseau. Par contre, je me pose la question suivante : l'installation d'une distribution Debian Sarge établit t'elle des règles iptables ouvrant ces ports par défaut ? Si oui, shorewall estime t'il que, ces règles existant déjà, il ne doit pas y toucher ? Le 27 avr. 05, à 10:41, daniel huhardeaux a écrit : Laurent Huet a écrit : Bonjour à tous, Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en net dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. Je pensais que mes règles ne laisseraient passer que le minimum nécessaire mais je dois me tromper. /etc/shorewall/policy allallDROP /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 Cependant, lorsque je lance un scan avec Nessus, en plus des ports autorisés dans mes règles, les ports 25 110 119 et 143 apparaissent comme ouverts. Dois-je rajouter manuellement les interdictions pour ces ports ? Est-ce dû à une particularité du portage de shorewall sur Debian ? Cela correspond-t'il à un impératif de fonctionnement d'une distribution Debian ? Je sais qu'il existe une liste concernant les firewall sur Debian. Je l'ai parcourue à la recherche d'informations, mais mon Anglais n'est pas suffisamment évolué. C'est pour cette raison que je poste dans la liste française. Merci de m'aider. Je suppose que tu exécutes Nessus à partir de la machine que tu veux scanner? C'est logique qu'il trouve des ports ouverts, ce sont ceux qui le sont en local (telnet localhost 110 par ex.). Lance le test à partir d'une machine à l'extèrieur du réseau. Si ces ports sont ouverts c'est que des services tournent (25 smtp 110 pop ...) Si ces services ne servent à rien, tu les ferment (pour smtp mauvaise idée). Sinon, comme il t'a été dit dans un précédent mail, tu fermes tout et n'ouvre que ce dont tu as besoin. -- Daniel Huhardeaux __ _ _ __ __ __ enum+48 32 285 5276 /_ _// _ // _ //_ _// __ // / iaxtel +1 700 849 6983 / / / // // // / / / / /_/ // / sip:101 h323:121 @voip./_/ //// /_/ /_/ /_//_/.com -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
Laurent Huet wrote: Quand à tout fermer je le fais par : allallDROP dans /etc/shorewall/policy. J'avais pas réfléchi à ça... Je te proposais de mettre un net all DROP danc policy parce que c'est ce qui est indiqué dans le fichier par defaut de shorewall. Yannick -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
Laurent Huet a écrit : Comme je l'écris dans mon premier post, ne tournent sur cette machine que un seveur ssh, un serveur smtp configuré en distribution locale uniquement, un serveur ftp et un serveur web sur le port 41210. J'aurais peut-être dû préciser qu'il n'y a ni serveur pop, ni serveur imap, ni serveur nntp. Quand à tout fermer je le fais par : allallDROP dans /etc/shorewall/policy. et ouvrir le strict nécessaire, je le fais par : ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 dans /etc/shorewall/rules Comme dit dans mon premier post. Malgré cela, les ports 25,110,119 et 143 apparaissent comme ouverts lors d'un scan de Nessus à partir d'une autre machine du même segment de réseau. Je précise que ce serveur est un serveur autonome et non une passerelle. Merci quand même de prendre le temps de répondre à ma question. Comme dis dans un mail précédent ;-) que donne telnet sur les ports en question? Aussi bien à partir de la machine que d'une autre machine du réseau [...] -- Daniel Huhardeaux __ _ _ __ __ __ enum+48 32 285 5276 /_ _// _ // _ //_ _// __ // / iaxtel +1 700 849 6983 / / / // // // / / / / /_/ // / sip:101 h323:121 @voip./_/ //// /_/ /_/ /_//_/.com -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
Laurent Huet wrote: Comme je l'écris dans mon premier post, ne tournent sur cette machine que un seveur ssh, un serveur smtp configuré en distribution locale uniquement, un serveur ftp et un serveur web sur le port 41210. J'aurais peut-être dû préciser qu'il n'y a ni serveur pop, ni serveur imap, ni serveur nntp. tu as vérifié inetd ? -- guy -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
A partir du serveur, connexion refusée sur les ports 110, 119 et 143 et connexion possible sur le port 25 (c'est normal, il y a Exim). A partir d'une autre machine du réseau, connexion impossible sur les ports 110, 119, 143 et 25. Apparemment, ces ports ne sont pas accessibles alors comment se fait-il que Nessus les voit ouverts ? Laurent Le 27 avr. 05, à 17:36, daniel huhardeaux a écrit : Laurent Huet a écrit : Comme je l'écris dans mon premier post, ne tournent sur cette machine que un seveur ssh, un serveur smtp configuré en distribution locale uniquement, un serveur ftp et un serveur web sur le port 41210. J'aurais peut-être dû préciser qu'il n'y a ni serveur pop, ni serveur imap, ni serveur nntp. Quand à tout fermer je le fais par : allallDROP dans /etc/shorewall/policy. et ouvrir le strict nécessaire, je le fais par : ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 dans /etc/shorewall/rules Comme dit dans mon premier post. Malgré cela, les ports 25,110,119 et 143 apparaissent comme ouverts lors d'un scan de Nessus à partir d'une autre machine du même segment de réseau. Je précise que ce serveur est un serveur autonome et non une passerelle. Merci quand même de prendre le temps de répondre à ma question. Comme dis dans un mail précédent ;-) que donne telnet sur les ports en question? Aussi bien à partir de la machine que d'une autre machine du réseau [...] -- Daniel Huhardeaux __ _ _ __ __ __ enum+48 32 285 5276 /_ _// _ // _ //_ _// __ // / iaxtel +1 700 849 6983 / / / // // // / / / / /_/ // / sip:101 h323:121 @voip./_/ //// /_/ /_/ /_//_/.com -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
Laurent Huet wrote: En fait, ma machine est un serveur autonome sur un réseau local de classe C et je lance bien Nessus à partir d'une autre machine du même réseau. [] Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en net dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. si tu as une seule interface sur ton fw et que c'est ton interface internet, je ne comprend pas d'où vient l'autre machine, celle qui exécute nessus /etc/shorewall/policy allallDROP est-ce la seule ligne de ton fichier policy ? /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 meme question -- guy -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall ne bloque pas tous les ports.
Ok, j'explique. Le serveur est sur un réseau local avec IP en 192.168.0.X Ce réseau est derrière un routeur Linksys WRT54G (soit dit en passant, les meilleurs firwares ne sont pas ceux que l'on paye). Pour être sûr de ne laisser passer que du traffic vers le serveur web, le serveur ftp et le serveur ssh, j'ai installé shorewall sur mon serveur. Il parrait qu'il simplifie la configuration d'iptables. Ce serveur n'a qu'une interface eth0 sur le réseau local. Je l'ai déclarée en net dans /etc/shorewall/interfaces mais j'aurais aussi bien pu la déclarer en loc. Je ne pense pas que ça aurait changé grand chose. Pourquoi, alors que j'interdit tout traffic dans les deux sens dans policy avec all all DROP et que j'autorise explicitement dans rules le trafic entrant vers les ports 21, 22 et 41210 avec ACCEPT net fw tcp 21,22,41210 et tout le traffic sortant du serveur avec ACCEPT fw net all Pourquoi Nessus, lancé à partir d'une autre machine du réseau, voit-il les ports 110, 119, 143 et 25 ouverts ? Ca m'intrigue Laurent Le 27 avr. 05, à 19:12, Guy Marcenac a écrit : Laurent Huet wrote: En fait, ma machine est un serveur autonome sur un réseau local de classe C et je lance bien Nessus à partir d'une autre machine du même réseau. [] Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en net dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. si tu as une seule interface sur ton fw et que c'est ton interface internet, je ne comprend pas d'où vient l'autre machine, celle qui exécute nessus /etc/shorewall/policy allallDROP est-ce la seule ligne de ton fichier policy ? /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 meme question -- guy -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Fwd: Shorewall ne bloque pas tous les ports.
Début du message réexpédié : De: Laurent Huet [EMAIL PROTECTED]> Date: 27 avril 2005 18:46:06 GMT+02:00 À: Guy Marcenac [EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. Je n'ai pas l'habitude des listes. Je clique tout simplement sur répondre dans Mail. Je devrais faire autrement ? Laurent Le 27 avr. 05, à 18:24, Guy Marcenac a écrit : Laurent Huet wrote: Pas de trace de pop, imap et nntp dans inetd.conf bonsoir, tu fais la meme erreur que moi dans mon premier post tout à l'heure (désolé), tu ne réponds pas à la liste ;) ton histoire est quand meme bizarre :/ -- guy
Fwd: Shorewall ne bloque pas tous les ports.
Début du message réexpédié : De: Laurent Huet [EMAIL PROTECTED]> Date: 27 avril 2005 18:44:24 GMT+02:00 À: Guy Marcenac [EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. En fait, la machine est sur un réseau local et le serveur web doit être accessible depuis internet, j'ai donc baptisé l'interface net mais je l'aurais baptisée loc le problème serait le même. Ces lignes sont en effet les seules dans /etc/shorewall/policy et /etc/shorewall/rules. Laurent Le 27 avr. 05, à 18:06, Guy Marcenac a écrit : Laurent Huet wrote: En fait, ma machine est un serveur autonome sur un réseau local de classe C et je lance bien Nessus à partir d'une autre machine du même réseau. [] Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en net dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. si tu as une seule interface sur ton fw et que c'est ton interface internet, je ne comprend pas d'où vient l'autre machine, celle qui exécute nessus Je pensais que mes règles ne laisseraient passer que le minimum nécessaire mais je dois me tromper. /etc/shorewall/policy allallDROP est-ce la seule ligne de ton fichier policy ? /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 meme question -- guy
Fwd: Shorewall ne bloque pas tous les ports.
Début du message réexpédié : De: Laurent Huet [EMAIL PROTECTED]> Date: 27 avril 2005 18:18:18 GMT+02:00 À: Guy Marcenac [EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. Pas de trace de pop, imap et nntp dans inetd.conf Laurent Le 27 avr. 05, à 18:09, Guy Marcenac a écrit : Laurent Huet wrote: Comme je l'écris dans mon premier post, ne tournent sur cette machine que un seveur ssh, un serveur smtp configuré en distribution locale uniquement, un serveur ftp et un serveur web sur le port 41210. J'aurais peut-être dû préciser qu'il n'y a ni serveur pop, ni serveur imap, ni serveur nntp. tu as vérifié inetd ? -- guy -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Fwd: Shorewall ne bloque pas tous les ports.
Début du message réexpédié : De: Laurent Huet [EMAIL PROTECTED]> Date: 27 avril 2005 16:52:21 GMT+02:00 À: Yannick Roehlly [EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. C'est vrai que, seule la zone net existant dans mon cas, net all DROP suffirait. Mais comme on dit : Qui peut le plus peut le moins. Et puis ça n'explique pas que ces ports restent visibles. all all DROP ferme bien tout, si je ne m'abuse. Le 27 avr. 05, à 16:37, Yannick Roehlly a écrit : J'avais pas réfléchi à ça... Je te proposais de mettre un net all DROP danc policy parce que c'est ce qui est indiqué dans le fichier par defaut de shorewall. Yannick -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Fwd: Shorewall ne bloque pas tous les ports.
Début du message réexpédié : De: Laurent Huet [EMAIL PROTECTED]> Date: 27 avril 2005 13:12:36 GMT+02:00 À: Troumad [EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. Merci pour le lien. Je vais tester. Le 27 avr. 05, à 10:32, Troumad a écrit : Laurent Huet a écrit : Bonjour à tous, Mon soucis est le suivant : j'ai installé shorewall sur une Debian Sarge munie d'une seule interface Ethernet (eth0 configurée en net dans /etc/shorewall/interfaces) et sur laquelle tournent Exim en distribution locale uniquement, Apache écoutant sur le port 41210, un serveur ftp et un serveur ssh. Je pensais que mes règles ne laisseraient passer que le minimum nécessaire mais je dois me tromper. /etc/shorewall/policy allallDROP /etc/shorewall/rules ACCEPTfwnetall ACCEPTnetfwtcp21,22,41210 Cependant, lorsque je lance un scan avec Nessus, en plus des ports autorisés dans mes règles, les ports 25 110 119 et 143 apparaissent comme ouverts. Dois-je rajouter manuellement les interdictions pour ces ports ? Est-ce dû à une particularité du portage de shorewall sur Debian ? Cela correspond-t'il à un impératif de fonctionnement d'une distribution Debian ? Je sais qu'il existe une liste concernant les firewall sur Debian. Je l'ai parcourue à la recherche d'informations, mais mon Anglais n'est pas suffisamment évolué. C'est pour cette raison que je poste dans la liste française. Merci de m'aider. Bonjour Sur http://troumad.free.fr/Linux/linux.php?page=essai tu as la possibilité de télécharger mon ancienne configuration de shorewall : je suis amintenant directement sous iptable. -- Amicalement vOOotre Troumad Alias Bernard SIAUD mon site : http://troumad.free.fr : ADD maths WEB sectes Pour la liberté http://lea-linux.org http://www.eurolinux.org/index.fr.html N'envoyez que des documents avec des formats ouverts, comme http://fr.openoffice.org
Fwd: Shorewall ne bloque pas tous les ports.
Désolé de ne pas avoir répondu sur la liste, le manque d'habitude certainement. Je pense que le mal est réparé. Bonne soirée à tous. Laurent Début du message réexpédié : De: Guy Marcenac [EMAIL PROTECTED]> Date: 27 avril 2005 19:08:28 GMT+02:00 À: Laurent Huet [EMAIL PROTECTED]> Objet: Rép : Shorewall ne bloque pas tous les ports. Laurent Huet wrote: Je n'ai pas l'habitude des listes. Je clique tout simplement sur répondre dans Mail. Le principe est qu'on répond à la liste, pour l'information de tous, et pour que le sujet soit archivé pour des utilisateurs qui rencontreraient ultérieurement le meme problème. je ne sais pas comment tu fais exactement avec ton client mail, cela dépend du logiciel. en tout cas tu dois avoir la liste debian-user-french@lists.debian.org en destinataire. pour bien faire, il te faudrait reposter les échanges que nous avons déjà eus à la liste je vais le faire pour mon premier message, si tu as le courage, fais le donc pour tes deux réponses ... c'est vraiment mieux pour tout le monde :) -- guy
Re: Shorewall ne bloque pas tous les ports.
Pourquoi Nessus, lancé à partir d'une autre machine du réseau, voit-il les ports 110, 119, 143 et 25 ouverts ? Ca m'intrigue salut 110 et 25 il s'agit des ports d'un serveur de courrier : pop3 et smtp il te faudrait verifier qu'aucun serveur de mail ne tourne sur ta becane pour recevoir tes mails depuis ton fai ,par exemple ,tu n'as nul besoin d'avoir ces ports ouverts . 119 correspond a nntp ,donc un serveur de news , est ce que tu l'utilises ? et 143 a imap ,qu'on utilise avec un serveur de courrier maintenant que tu sais a quoi ces ports correpondent (ils sont listés dans /etc/services) a toi de creer une regle iptables pour les fermer ,ou bien de desactiver les executables correspondants a+ -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
shorewall
Bonjour Je tente de configurer shorewall pour mon systheme. Je voulait prendre exemple sur le guide officiel http://shorewall.net/three-interface_fr.html mais il semblerait que debian mette les fichiers de config ailleur que dans /etc/shorewall :je ne trouve que shorewall.conf dans ce repertoire alors que le tuto m'en indique de multiples autres. J'ai regardé dans /usr/share/shorewall ou se trouvent bien plus de fichier mais jamais les fichiers que le tuto me dit d'editer .(zones ,policy ,rules) Dois je les créer moi meme ou sont il ailleurs ?(la page de man me dit qu'ils sont dans /et/shorewall) config: sarge shorewall 2.0.13 Merci Guy
Re: shorewall
guy Hendrickx wrote: Bonjour Je tente de configurer shorewall pour mon systheme. Je voulait prendre exemple sur le guide officiel http://shorewall.net/three-interface_fr.html mais il semblerait que debian mette les fichiers de config ailleur que dans /etc/shorewall :je ne trouve que shorewall.conf dans ce repertoire alors que le tuto m'en indique de multiples autres. J'ai regardé dans /usr/share/shorewall ou se trouvent bien plus de fichier mais jamais les fichiers que le tuto me dit d'editer .(zones ,policy ,rules) Dois je les créer moi meme ou sont il ailleurs ?(la page de man me dit qu'ils sont dans /et/shorewall) config: sarge shorewall 2.0.13 Merci Guy *dpkg -L shorewall* informe sur les fichiers installés par le paquetge debian : il est vrai que c'est débousolant pour quelqu'un qui vient de mandrake ou quelqu'un lui regarde les doc officielles... Peut-être qu'en mettant mes fichiers de configs mdk http://troumad.free.fr/Linux/shorewall.zip à la place normale que ça marcherait ! Ceci dit, je suis surpris que shorewall n'est pas posé 36 000 questions en s'installant... -- Amicalement vOOotre Troumad Alias Bernard SIAUD mon site : http://troumad.free.fr : ADD maths WEB sectes Pour la liberté http://www.mandrakelinux.com/fr/ http://www.eurolinux.org/index.fr.html N'envoyez que des documents avec des formats ouverts, comme http://fr.openoffice.org
Re: shorewall
Le Dimanche 9 Janvier 2005 17:57, guy Hendrickx a écrit : Bonjour Salut ! Je tente de configurer shorewall pour mon systheme. Je voulait prendre exemple sur le guide officiel http://shorewall.net/three-interface_fr.html mais il semblerait que debian mette les fichiers de config ailleur que dans /etc/shorewall :je ne trouve que shorewall.conf dans ce repertoire alors que le tuto m'en indique de multiples autres. J'ai regardé dans /usr/share/shorewall ou se trouvent bien plus de fichier mais jamais les fichiers que le tuto me dit d'editer .(zones ,policy ,rules) Dois je les créer moi meme ou sont il ailleurs ?(la page de man me dit qu'ils sont dans /et/shorewall) config: sarge shorewall 2.0.13 Merci Guy A toi de les créer en fonction de tes besoins. Des exemples/squelettes se trouvent dans /usr/share/doc/shorewall/default-config/ @++ Julien
Re: shorewall
guy Hendrickx a écrit : Bonjour Je tente de configurer shorewall pour mon systheme. Je voulait prendre exemple sur le guide officiel http://shorewall.net/three-interface_fr.html mais il semblerait que debian mette les fichiers de config ailleur que dans /etc/shorewall :je ne trouve que shorewall.conf dans ce repertoire alors que le tuto m'en indique de multiples autres. J'ai regardé dans /usr/share/shorewall ou se trouvent bien plus de fichier mais jamais les fichiers que le tuto me dit d'editer .(zones ,policy ,rules) Dois je les créer moi meme ou sont il ailleurs ?(la page de man me dit qu'ils sont dans /et/shorewall) config: sarge shorewall 2.0.13 Merci Guy Install le package shorewall-doc, puis dans tu vas /usr/share/doc/shorewall Là dedans tu dois avoir un dossier avec des fichiers de config par défaut. Le plus simple étant de copier ces derniers dans /etc/shorewall puis de les adapter à ta sauce. sich
Re: shorewall
Le 09.01.2005 18:36:42, Julien Valroff a écrit : Le Dimanche 9 Janvier 2005 17:57, guy Hendrickx a écrit : Bonjour Salut ! Je tente de configurer shorewall pour mon systheme. Je voulait prendre exemple sur le guide officiel http://shorewall.net/three-interface_fr.html mais il semblerait que debian mette les fichiers de config ailleur que dans /etc/shorewall :je ne trouve que shorewall.conf dans ce repertoire alors que le tuto m'en indique de multiples autres. J'ai regardé dans /usr/share/shorewall ou se trouvent bien plus de fichier mais jamais les fichiers que le tuto me dit d'editer .(zones ,policy ,rules) Dois je les créer moi meme ou sont il ailleurs ?(la page de man me dit qu'ils sont dans /et/shorewall) config: sarge shorewall 2.0.13 Merci Guy A toi de les créer en fonction de tes besoins. Des exemples/squelettes se trouvent dans /usr/share/doc/shorewall/default-config/ Il existe aussi un script qui permet de créer un config à partir de ce qu'il devine. Il vous faudra l'éditer ensuite pour paufiner les réglages. @++ Julien J-L pgpRDivC5KM5y.pgp Description: PGP signature
Re: shorewall
Le Dimanche 9 Janvier 2005 18:40, Troumad a écrit : guy Hendrickx wrote: Bonjour Je tente de configurer shorewall pour mon systheme. Je voulait prendre exemple sur le guide officiel http://shorewall.net/three-interface_fr.html mais il semblerait que debian mette les fichiers de config ailleur que dans /etc/shorewall :je ne trouve que shorewall.conf dans ce repertoire alors que le tuto m'en indique de multiples autres. J'ai regardé dans /usr/share/shorewall ou se trouvent bien plus de fichier mais jamais les fichiers que le tuto me dit d'editer .(zones ,policy ,rules) Dois je les créer moi meme ou sont il ailleurs ?(la page de man me dit qu'ils sont dans /et/shorewall) config: sarge shorewall 2.0.13 Merci Guy *dpkg -L shorewall* informe sur les fichiers installés par le paquetge debian : il est vrai que c'est débousolant pour quelqu'un qui vient de mandrake ou quelqu'un lui regarde les doc officielles... Et pourtant, la doc officielle comprend une note à l'attention des utilisateurs de Debian : Warning Note to Debian Users If you install using the .deb, you will find that your /etc/shorewall directory is empty. This is intentional. The released configuration file skeletons may be found on your system in the directory /usr/share/doc/shorewall/default-config. Simply copy the files you need from that directory to /etc/shorewall and modify the copies. Note that you must copy /usr/share/doc/shorewall/default-config/shorewall.conf and /usr/share/doc/shorewall/default-config/modules to /etc/shorewall even if you do not modify those files. Source : http://shorewall.net/three-interface.htm Il est vrai que la traduction française ne semble pas tout à fait à jour... et ne mentionne pas ce passage ! Mais c'est assez souvent le cas avec les paquets Debian, certaines applications permettant tellement de configurations différentes en fonction de la machine, de l'utilisateur (...) qu'il vaut mieux laisser l'administrateur n'utiliser que ce dont il a besoin. Il semble en effet très difficile dans ce cas de savoir si l'utilisateur va utiliser tc, si sa machine fera office de passerelle (-3 interfaces) ou s'il s'agit d'une machine isolée (1 seule interface) etc... @++ Julien
Re: shorewall
Julien Valroff wrote: [...] Warning Note to Debian Users If you install using the .deb, you will find that your /etc/shorewall directory is empty. This is intentional. The released configuration file skeletons may be found on your system in the directory /usr/share/doc/shorewall/default-config. Simply copy the files you need from that directory to /etc/shorewall and modify the copies. Dans ce cas, l'absence d'un fichier est considéré comme un fichier sans spécification et ne génère pas d'erreur. Est-ce exact ? Mais c'est assez souvent le cas avec les paquets Debian, Ceci me fait penser que j'aimerais trouve un fichier de configuration minimal pour httpd. Celui de Mandrake est énorme, pleins de dépendance. J'en shunte même certaines... nb : je demande tout ça pour tester sous debian le cours que je fais sur les serveurs. Il est sous Mandrake ce cours (ça fait moins peur que debian pour les débutants !), mais j'aimerai aussi l'adapter à debian qui me semble plus adapté aux serveurs que mdk... Mon cours : http://troumad.free.fr/Linux/Linux.sxw -- Amicalement vOOotre Troumad Alias Bernard SIAUD mon site : http://troumad.free.fr : ADD maths WEB sectes Pour la liberté http://www.mandrakelinux.com/fr/ http://www.eurolinux.org/index.fr.html N'envoyez que des documents avec des formats ouverts, comme http://fr.openoffice.org
shorewall et tiscali
sur une passerelle j'ai installé shorewall, Certains m'ont signalé n'avoir jamais pu atteindre les sites sur le serveur web protégé par la passerelle J'ai vu que tiscali attribuent des IP 83.15x.xxx.xxx et dans le fichier rfc1918 on trouve 83.0.0.0/8 logdrop et j'ai trouvé des logdrop 83. dans syslog j'ai commenté la ligne, et je ne trouve plus de logdrop depuis puis-je avoir confirmation par des utilisateurs ayant une IP 83.xxx;xxx;xxx que l'url suivant peux être atteinte il semble que ce soit les seules IP utilisées subissant un logdrop pour une connexion sur le port 80 http://www.lehandiblaireau.org merci
Re: shorewall et tiscali
Le Fri 11/06/2004, hervé thibaud disait sur une passerelle j'ai installé shorewall, Certains m'ont signalé n'avoir jamais pu atteindre les sites sur le serveur web protégé par la passerelle J'ai vu que tiscali attribuent des IP 83.15x.xxx.xxx et dans le fichier rfc1918 on trouve 83.0.0.0/8 logdrop et j'ai trouvé des logdrop 83. dans syslog j'ai commenté la ligne, et je ne trouve plus de logdrop depuis puis-je avoir confirmation par des utilisateurs ayant une IP 83.xxx;xxx;xxx que l'url suivant peux être atteinte il semble que ce soit les seules IP utilisées subissant un logdrop pour une connexion sur le port 80 Et tu peux faire un bug report, oarceque les adresses rfc 1918 sont 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 et *rien* d'autre. Mettre des réseau pas encore attrivbué c'est con, puisqu'ils vont l'être. -- Erwan
Re: shorewall et tiscali
Erwan David wrote: Le Fri 11/06/2004, hervé thibaud disait sur une passerelle j'ai installé shorewall, Certains m'ont signalé n'avoir jamais pu atteindre les sites sur le serveur web protégé par la passerelle J'ai vu que tiscali attribuent des IP 83.15x.xxx.xxx et dans le fichier rfc1918 on trouve 83.0.0.0/8 logdrop et j'ai trouvé des logdrop 83. dans syslog j'ai commenté la ligne, et je ne trouve plus de logdrop depuis puis-je avoir confirmation par des utilisateurs ayant une IP 83.xxx;xxx;xxx que l'url suivant peux être atteinte il semble que ce soit les seules IP utilisées subissant un logdrop pour une connexion sur le port 80 Et tu peux faire un bug report, oarceque les adresses rfc 1918 sont 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 et *rien* d'autre. Mettre des réseau pas encore attrivbué c'est con, puisqu'ils vont l'être. Les fichiers de configuration de shorewall en place date de la version 1.4 L'erreur vient de la déclaration des réservations IANA Ceci a été rectifié sur les nouvelles versions (j'ai simplement conservé la config d'origine)