On 24 May 2024 23:23:44 BST, Andy Smith wrote:
>You will likely get better performance if you switch to nftables and
>use an ipset to hold all the bans, though I've no idea how easy
>that is to configure with fail2ban.
It's easy, supported out of the box. I have been using nftables for years
Hi,
On Sat, May 25, 2024 at 06:04:34AM +0800, Northwind wrote:
> I have been using a KVM vps with 2G ram, 2 cores.
> due to fail2ban jobs, iptables in this vps has dropped 3000+ black IPs.
> may I ask how max iptables rules the VPS can have?
It depends upon the kind of rule but for
Hello
I have been using a KVM vps with 2G ram, 2 cores.
due to fail2ban jobs, iptables in this vps has dropped 3000+ black IPs.
may I ask how max iptables rules the VPS can have?
does many iptables rules influence the networking performance?
Thanks
En effet:
si on a une IPSet de type hash:ip,port, il faut utiliser dans la règle
iptables, deux flags comme src,dst qui s'interprètent comme suit:
src,dst signifie qu'il faut prendre le premier paramètre (ici une
adresse IP) en utilisant la Source et le deuxième paramètre (ici un
numéro de port
Bonjour,
Le lundi 27 novembre 2023, Olivier a écrit...
> ipset create Foo hash:net,iface
> ipset add Foo 192.168.1.0/24,eth1.101
>
> iptables -A FORWARD -m set match-set Foo src,XXX
>
> Par quoi remplacer XXX si on veut que la règle s'applique si le pa
idem avec une une IPSet de type hash:ip,port
Le lun. 27 nov. 2023 à 16:19, Olivier a écrit :
>
> Hello,
>
> Comment utiliser (sur Bullseye) une IPSet de type hash:net,iface dans
> une règle iptables ?
> Avez-vous un exemple ?
>
> ipset create Foo hash:net,iface
> i
Hello,
Comment utiliser (sur Bullseye) une IPSet de type hash:net,iface dans
une règle iptables ?
Avez-vous un exemple ?
ipset create Foo hash:net,iface
ipset add Foo 192.168.1.0/24,eth1.101
iptables -A FORWARD -m set match-set Foo src,XXX
Par quoi remplacer XXX si on veut que la
Henggi writes:
> Oh wow… that’s interesting. I had no idea about „nft“ (I just knew
> „iptables-nft“) which seem to be very different.
> I think I have dig down where those „nft" rules are coming from while
> iptables-nft is completely empty. Thanks, great clue!
Typically
> What does
>
> nft list ruleset
>
> show?
> (Unfortunately, this is all I know about netfilter diagnostics... and I
> couldn't even get this far without internet search engine :-)
Oh wow… that’s interesting. I had no idea about „nft“ (I just knew
„iptables-nft“) which seem to be v
> On 24 Oct 2023, at 16:33, Max Nikulin wrote:
>
> On 24/10/2023 19:04, Henggi wrote:
>> - iptables on server are cleared/open (firewalld or other firewall
>> frameworks are not used/installed).
>
> Nowadays nft or iptables is not the only option to drop packets.
> On 24 Oct 2023, at 17:22, Charles Curley
> wrote:
>
> On Tue, 24 Oct 2023 15:30:14 +0200
> Arno Lehmann wrote:
>
>> Recently I encountered something similar, and my usual test for local
>> firewall being active,
>>
>> iptables -L -n
>&g
Hello,
Am 24.10.2023 um 16:19 schrieb Henggi:
...
As I mentioned in my 1st email, I think (afaik) that no other netfitler
module/service is running.
My anecdote was intended to illustrate that beliefs are not really good
tools to diagnose problems ;-)
root@server:~# systemctl status
On Tue, 24 Oct 2023 15:30:14 +0200
Arno Lehmann wrote:
> Recently I encountered something similar, and my usual test for local
> firewall being active,
>
> iptables -L -n
>
> came back with policies "accept" all over the place, and no
> particular rules.
>
ch app listening
>> process (while other services on same host are working just fine via the
>> network - so it’s not an „physical" network issue).
>> -> iptables are cleared and not aware of any other netfilter running…
>
> I suggest to verify the other netfiler
On 24/10/2023 19:04, Henggi wrote:
- iptables on server are cleared/open (firewalld or other firewall
frameworks are not used/installed).
Nowadays nft or iptables is not the only option to drop packets. Another
one is eBPF used e.g. by systemd.
I have the following link in my notes, but I
other machine and this one. It could be on that other machine,
> on this machine, or in some network device between them.
My assumption too (unless it’s a weird bug within used pkg version of xrdp)…
thats why i provided evidence of the cleared iptables & tcpdump before
How to figure out wher
otherwise:
-> incoming tcp syn/ack on localhost interfact (lo) works fine
-> incoming tcp syn/ack on eth0 interface seems not to reach app listening process
(while other services on same host are working just fine via the network - so it’s not
an „physical" network issue).
-> iptabl
Henggi wrote:
>
> > On 24 Oct 2023, at 14:46, Dan Ritter wrote:
> >
> - when using „port=tcp://:3389“ in xrdp.ini:
> root@server:~# ss -tlnp | grep 3389
> LISTEN 0 2 0.0.0.0:3389 0.0.0.0:*
> users:(("xrdp",pid=96436,fd=11))
>
> - when using using „port=3389“ in
> On 24 Oct 2023, at 14:46, Dan Ritter wrote:
>
> Henggi wrote:
>> Hi list,
>>
>> Completely stuck here, any clue appreciated!
>>
>> — by default xrdp.ini listening config is set to "port=3389“ (which is
>> expected to listen on ipv4 && ipv6 in parallel as I understand). However
>> using
Henggi wrote:
> Hi list,
>
> Completely stuck here, any clue appreciated!
>
> — by default xrdp.ini listening config is set to "port=3389“ (which is
> expected to listen on ipv4 && ipv6 in parallel as I understand). However
> using that seems only to listen on tcp4 according to „netstat“
> —
(lo) works fine
-> incoming tcp syn/ack on eth0 interface seems not to reach app listening
process (while other services on same host are working just fine via the
network - so it’s not an „physical" network issue).
-> iptables are cleared and not aware of any other net
NoSpam a écrit :
>
> Le 03/07/2023 à 15:12, BERTRAND Joël a écrit :
>> NoSpam a écrit :
>>> Ils n'arrivent jamais plus loin que mangle INPUT qui est avant la table
>>> nat et filter
>> D'accord. Mais dans ce cas, pourquoi sngrep les intercepte ?
> Tout
Le 03/07/2023 à 15:12, BERTRAND Joël a écrit :
NoSpam a écrit :
Ils n'arrivent jamais plus loin que mangle INPUT qui est avant la table
nat et filter
D'accord. Mais dans ce cas, pourquoi sngrep les intercepte ?
Tout comme iptables et tcpdump, les paquets sont capturés dès leur
NoSpam a écrit :
> Ils n'arrivent jamais plus loin que mangle INPUT qui est avant la table
> nat et filter
D'accord. Mais dans ce cas, pourquoi sngrep les intercepte ?
JB
Ils n'arrivent jamais plus loin que mangle INPUT qui est avant la table
nat et filter
Le 03/07/2023 à 15:00, BERTRAND Joël a écrit :
Thomas Trupel a écrit :
C'est un comportement normal à mes yeux.
L'ajout d'une règle avec la target TRACE devrait te confirmer que les
paquets sont bloqués par
Thomas Trupel a écrit :
> C'est un comportement normal à mes yeux.
>
> L'ajout d'une règle avec la target TRACE devrait te confirmer que les
> paquets sont bloqués par le firewall.
J'obtiens ceci :
2023-07-03T14:37:45.868470+02:00 rayleigh kernel: [705875.038988] TRACE:
raw:PREROUTING:policy:2
Thomas Trupel a écrit :
> C'est un comportement normal à mes yeux.
>
> L'ajout d'une règle avec la target TRACE devrait te confirmer que les
> paquets sont bloqués par le firewall.
Dans le cas de SIP, ils sont tout de même récupérés par sngrep :
[ ] 359 INVITE 100@1.1.1.1
/udp closed ndmp
MAC Address: 50:46:5D:72:EF:A2 (Asustek Computer)
Nmap done: 1 IP address (1 host up) scanned in 5.81 seconds
legendre#
Lorsque j'utilisais iptables-legacy, je n'ai jamais observé cela. Par
ailleurs, ça n'explique pas que des paquets à destination d'un port
fermé aboutissent
(no-response)
PORT STATE SERVICE
53/udpopen domain
123/udp open ntp
1/udp closed ndmp
MAC Address: 50:46:5D:72:EF:A2 (Asustek Computer)
Nmap done: 1 IP address (1 host up) scanned in 5.81 seconds
legendre#
Lorsque j'utilisais iptables-legacy, je n'ai jamais observé cela. Par
Bonjour Joël,
As-tu essayé d'approfondir l'analyse avec la target TRACE ?
|iptables -t raw -A PREROUTING -p udp --dport 5060 -j TRACE Par
ailleurs, tcpdump semble indiquer que le serveur reçoit un paquet sur le
port TCP/5060 et non UDP/5060. Cordialement, Thomas |
On 7/3/23 12:41, BERTRAND
Bonjour à tous,
Je suis en train de configurer (péniblement) un serveur asterisk qui
est dans un DMZ. Tout le flux entrant sur l'IP publique est naté vers ce
serveur, protégé par un firewall iptables et fail2ban. Il s'agit
d'iptables et non d'iptables-legacy.
Cette
Le 28/06/2023 à 13:05, Michel Verdier a écrit :
Le 28 juin 2023 didier gaumet a écrit :
[...]
mais de ce que j'avais cru comprendre, il y a des frontends (tables xtables
ou tables nft) à des backends (netfilter ou nft).
Le backend nft serait une version révisée du backend netfilter, par la
Bonjour,
Si j'en crois /usr/share/doc/iptables/README.Debian , il convient de ne
pas mélanger sur un même système iptables-nft et iptables-legacy sous
peine d'avoir un comportement imprévisible :-(
"man iptables-legacy" et man "iprables-nft" fournissent des informations
u geste. Par ailleurs, la syntaxe iptables fonctionne
> toujours pour les nftables (raison pour laquelle on se retrouve avec
> iptables-legacy et iptables). Il n'y a donc aucune raison valable à ce
> que les deux mécanismes cohabitent. À l'extrême limite, ce genre de
> chose est une bidou
Le 28 juin 2023 didier gaumet a écrit :
> Le 28/06/2023 à 08:32, Michel Verdier a écrit :
>
>> Plutôt qu'une doc redhat (un comble sur cette liste) il faut utiliser la
>> source :
>> https://wiki.nftables.org/wiki-nftables/index.php/What_is_nftables%3F
>
> La plupart du temps, tu as raison, c'est
netfilter, il n'y aurait pas de distingo entre
iptables-legacy et iptables-nft vu que ce serait la même chose (des
tables iptables attaquant un backend netfilter)
Enfin, j'ai peut-être rien pigé, hein :-)
Michel Verdier a écrit :
> Et d'ailleurs pourquoi mixer les outils ?
Pourquoi ? Mais parce que fail2ban dans sa configuration par défaut
s'est mis à utiliser nftables alors qu'il est tout à fait possible
d'utiliser un firewall iptables (xtables) par ailleurs. J'ai d'ailleurs
modifié
Le 27 juin 2023 BERTRAND Joël a écrit :
> NoSpam a écrit :
>> Bonsoir
>>
>> https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#using_iptables_nft
>
> Merci.
>
> Mais ça ne répond pas
C' est ce que j' ai compris
--
Daniel Huhardeaux
Le 27 juin 2023 à 20:52, à 20:52, "BERTRAND Joël" a
écrit:
>NoSpam a écrit :
>> Bonsoir
>>
>>
>https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#
NoSpam a écrit :
> Bonsoir
>
> https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#using_iptables_nft
Merci.
Mais ça ne répond pas trop à ma question sauf s'il faut comprendre
entre les lignes que les paquet
Bonsoir
https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#using_iptables_nft
peut aider à comprendre. Perso j'ai basculer sur nftables.
Le 27/06/2023 à 18:46, BERTRAND Joël a écrit :
Bonsoir à tous,
J'ai toujours
Bonsoir à tous,
J'ai toujours écrit mes firewalls à la main. Aujourd'hui, un script
charge au démarrage le contenu de /var/lib/iptables/active au travers de
iptables (nf_tables).
Or iptables-legacy est toujours disponible.
J'avoue avoir un peu de mal à comprendre
Hello,
On Mon, May 15, 2023 at 09:40:10AM +0800, Tom Reed wrote:
> Yes after each telnet from client host, the count was increased.
>
> 0 0 REJECT tcp -- anyany anywhere
> anywhere tcp dpt:imaps reject-with tcp-reset
> 0 0 REJECT tcp --
> Hello,
>
> On Mon, May 15, 2023 at 09:10:24AM +0800, Tom Reed wrote:
>> If I clean iptables in the destination host, this telnet will get
>> success
>> at once.
>>
>> Any hints?
>
> Why have you not used "iptables -vL" to show the
Hello,
On Mon, May 15, 2023 at 09:10:24AM +0800, Tom Reed wrote:
> If I clean iptables in the destination host, this telnet will get success
> at once.
>
> Any hints?
Why have you not used "iptables -vL" to show the packet counts of
each rule so you can see which r
A), both
got timeout, rather than the expected disconnection quickly.
$ telnet 193.106.250.86 587
Trying 193.106.250.86...
telnet: Unable to connect to remote host: Connection timed out
If I clean iptables in the destination host, this telnet will get success
at once.
Any hints?
Thanks.
--
sen
Hi,
On Sun, May 14, 2023 at 08:14:04AM +0800, Tom Reed wrote:
> I have these iptables rules which reject tcp connections with tcp rst.
First question, why are you using iptables instead of nft? On a new
Debian install you actually are using nftables with an iptables
compat layer, but a
tcptraceroute might give you more clues as to where it's going wrong. In
particular I'd look at local egress rules not allowing connections to
port 587 outside of the lan.
On Sun, 14 May 2023, Tom Reed wrote:
On Sun, May 14, 2023 at 08:36:38AM +0800, Tom Reed wrote:
tcp0 0
> On Sun, May 14, 2023 at 08:36:38AM +0800, Tom Reed wrote:
>> tcp0 0 0.0.0.0:587 0.0.0.0:*
>> LISTEN
>> 32157/master
>>
>>
>> And the telnet results:
>>
>> $ telnet 193.106.250.xx 587
>> Trying 193.106.250.xx...
>> telnet: Unable to connect to remote host: Connection
On 14 May 2023 02:36, Tom Reed wrote:
$ telnet 193.106.250.xx 587
Trying 193.106.250.xx...
telnet: Unable to connect to remote host: Connection timed out
Run wireshark/dumpcap or tcpdump on the client to check if you get the
TCP reset packet.
You can also run it server-side, to see if the
On Sun, May 14, 2023 at 08:36:38AM +0800, Tom Reed wrote:
> tcp0 0 0.0.0.0:587 0.0.0.0:* LISTEN
> 32157/master
>
>
> And the telnet results:
>
> $ telnet 193.106.250.xx 587
> Trying 193.106.250.xx...
> telnet: Unable to connect to remote host:
>
> On 14/5/23 08:28, Tom Reed wrote:
>> I telnet to host:587 not the port 23.
>> And port 587 already reject access with tcp rst.
> --
>
> check if you are listening on port 587
>
> netstat -tulpnW | grep 587
>
>
yes it does.
tcp0 0 0.0.0.0:587 0.0.0.0:*
On 14/5/23 08:28, Tom Reed wrote:
I telnet to host:587 not the port 23.
And port 587 already reject access with tcp rst.
--
check if you are listening on port 587
netstat -tulpnW | grep 587
Jeremy
>
> On 14/5/23 08:14, Tom Reed wrote:
>> /usr/sbin/iptables -A INPUT -p tcp --dport 143 -j REJECT --reject-with
>> tcp-reset
>> /usr/sbin/iptables -A INPUT -p tcp --dport 587 -j REJECT --reject-with
>> tcp-reset
>>
>> When I telnet from another h
On 14/5/23 08:14, Tom Reed wrote:
/usr/sbin/iptables -A INPUT -p tcp --dport 143 -j REJECT --reject-with
tcp-reset
/usr/sbin/iptables -A INPUT -p tcp --dport 587 -j REJECT --reject-with
tcp-reset
When I telnet from another host to the protected port, it gets timeout
message as follows
Hello
I have these iptables rules which reject tcp connections with tcp rst.
/usr/sbin/iptables -A INPUT -p tcp --dport 143 -j REJECT --reject-with
tcp-reset
/usr/sbin/iptables -A INPUT -p tcp --dport 587 -j REJECT --reject-with
tcp-reset
When I telnet from another host to the protected port
>
> On 13/5/23 18:56, Tom Reed wrote:
>> for iptables-save, after system rebooting, does it know where to locate
>> the file?
>
> Yes. That's all taken care of by the iptables-persistent package
>
> Also I made a typo. correction;
>
> sudo nano /etc/iptables/
On 13/5/23 18:56, Tom Reed wrote:
for iptables-save, after system rebooting, does it know where to locate
the file?
Yes. That's all taken care of by the iptables-persistent package
Also I made a typo. correction;
sudo nano /etc/iptables/rules.v4
sudo nano /etc/iptables/rules.v6
>
> On 13/5/23 18:48, Tom Reed wrote:
>> How to recovery iptable rules after system rebooting?
>> I know I can put a @reboot crontab for this but there is maybe the
>> better
>> way.
>
>
> sudo apt install iptables-persistent
>
> sudo iptables-save >
On 13/5/23 18:48, Tom Reed wrote:
How to recovery iptable rules after system rebooting?
I know I can put a @reboot crontab for this but there is maybe the better
way.
sudo apt install iptables-persistent
sudo iptables-save > /etc/iptables/rules.v4
sudo ip6tables-save > /etc/ip
Hello
How to recovery iptable rules after system rebooting?
I know I can put a @reboot crontab for this but there is maybe the better
way.
Thanks
Thanks John.
The following rules seem to work for me now.
sudo /usr/sbin/iptables -F
sudo /usr/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j
ACCEPT
sudo /usr/sbin/iptables -A INPUT -p icmp -j ACCEPT
sudo /usr/sbin/iptables -A INPUT -i lo -j ACCEPT
sudo /usr/sbin/iptables
John Conover writes:
> =?UTF-8?B?UGlwZXLjgb/jgYvjgZM=?= writes:
> >
> > sudo /usr/sbin/iptables -F
> > sudo /usr/sbin/iptables -A INPUT -s 127.0.0.1 -j ACCEPT
> > sudo /usr/sbin/iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT # my server
> > public IP
> >
=?UTF-8?B?UGlwZXLjgb/jgYvjgZM=?= writes:
>
> sudo /usr/sbin/iptables -F
> sudo /usr/sbin/iptables -A INPUT -s 127.0.0.1 -j ACCEPT
> sudo /usr/sbin/iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT # my server
> public IP
> sudo /usr/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEP
connection to another server
from that box, it won't work (connection timeout).
So how to ?
Thanks
On Sun, Dec 25, 2022 at 10:28 AM jeremy ardley wrote:
>
> On 25/12/22 10:14, Piperみかこ wrote:
> > Hello,
> >
> > I have setup the following iptables on linux server,
> >
Piperみかこ wrote:
> Hello,
>
> I have setup the following iptables on linux server,
>
> sudo /usr/sbin/iptables -F
> sudo /usr/sbin/iptables -A INPUT -s 127.0.0.1 -j ACCEPT
> sudo /usr/sbin/iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT # my server
> public IP
> sudo /us
On 25/12/22 10:14, Piperみかこ wrote:
Hello,
I have setup the following iptables on linux server,
sudo /usr/sbin/iptables -F
sudo /usr/sbin/iptables -A INPUT -s 127.0.0.1 -j ACCEPT
sudo /usr/sbin/iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT # my server
public IP
sudo /usr/sbin/iptables
Hello,
I have setup the following iptables on linux server,
sudo /usr/sbin/iptables -F
sudo /usr/sbin/iptables -A INPUT -s 127.0.0.1 -j ACCEPT
sudo /usr/sbin/iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT # my server
public IP
sudo /usr/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo /usr
Bonsoir,
iptables-translate permet de générer les règles au format iptables
https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_to_nftables
Le 23/11/2022 à 19:51, Hugues Larrive a écrit :
--- Original Message ---
Le mercredi 23 novembre 2022 à 18:58, Frederic
l'Île-de-France :-(
>
Je suis également intéressé mais trop loin (600 Km).
Il est vrai que la documentation sur nftables est encore rare sur le web malgré
8 ans d'existence ce qui nuit grandement à l'abandon de la couche de
compatibilité iptables. Donc la mise en ligne d'une présentation en fra
n atelier iptables / netfilter le samedi 3 décembre,
> > > en île de France proche Paris par une association du Libre :
> > > http://www.agendadulibre.org/events/26305
>
> On Wednesday 23 November 2022 13:32:26 NoSpam wrote :
> > Pour information, iptables a été abando
> > Une information d'un atelier iptables / netfilter le samedi 3 décembre,
> > en île de France proche Paris par une association du Libre :
> > http://www.agendadulibre.org/events/26305
On Wednesday 23 November 2022 13:32:26 NoSpam wrote :
> Pour information, iptables a ét
Bonjour
Le 23/11/2022 à 11:14, ajh-valmer a écrit :
Hello,
Une information d'un atelier iptables / netfilter le samedi 3 décembre,
en île de France proche Paris par une association du Libre :
http://www.agendadulibre.org/events/26305
Pour information, iptables a été abandonné au profit de
Hello,
Une information d'un atelier iptables / netfilter le samedi 3 décembre,
en île de France proche Paris par une association du Libre :
http://www.agendadulibre.org/events/26305
Bonne journée.
- Mail original -
> De: "JUPIN Alain"
> À: "Liste Debian"
> Envoyé: Jeudi 21 Avril 2022 09:26:49
> Objet: Firewall iptables qui ne bloque pas le port 53
> Bonjour,
> Je vous soumet un petit problème ... sur une install Debian 11, j'ai
>
).
Voici donc les règles de mon firewall
# Politique par defaut
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
ip6tables -t filter -P INPUT DROP
ip6tables -t filter -P FORWARD DROP
ip6tables -t filter -P
Bones.
No estic gaire familiaritzat amb les iptables i us volia fer una
pregunta.
Estic buscant com, d'entrada, bloquejar les ips de diversos països.
Faig servir el ufw (gufw) com a tallafocs i el fail2ban per bloquejar
quan es produeix un intent d'accés no autoritzat.
He trobat això :
https
,
Je cherche le moyen de lancer un truc du genre à la fin de mon script
iptables, mais ça ne veux pas.
gnome-terminal -e 'tail -f /var/log/syslog' &
L'un de vous à une idée ou une autre solution pour ouvrir un terminal
après le passage des règles ?
--
david martin
>Avec tmux je fais un truc dans le genre pour mettre a jour les aliases
> >postfix:
>
> ># split with 10 lines
> >test -n "$TMUX_PANE" && tmux split-window -l 10 ssh "root@${SERV}" tail
> -f /var/log/messages /var/log/maillog
> ># update postfix aliases
> >ssh "root@${SERV}" "postalias $FILE &&
L'intérêt est de lancer un terminal après et non avant, et d'avoir un
terminal qui s'ouvre sur mon tail !
Que ce soit pour des logs applicatifs ou iptables c'est l'idée.
Le mer. 5 mai 2021 à 12:05, Bernard Schoenacker
a écrit :
>
> - Mail original -
>
> > De: "
Le 05 May 2021 a 12:05:45 +0200, Bernard Schoenacker a écrit :
Bonjour David,
>
> > Bonjour,
>
> > Je cherche le moyen de lancer un truc du genre à la fin de mon script
> > iptables, mais ça ne veux pas.
>
> > gnome-terminal -e 'tail -f /var/log/syslog' &am
- Mail original -
> De: "David Martin"
> À: "debian-user-french@lists.debian.org French"
>
> Envoyé: Mercredi 5 Mai 2021 10:55:36
> Objet: [HS] iptables et fork tail syslog
> Bonjour,
> Je cherche le moyen de lancer un truc du genre à la
Bonjour,
Le 05/05/2021 à 10:55, David Martin a écrit :
> Bonjour,
>
> Je cherche le moyen de lancer un truc du genre à la fin de mon script
> iptables, mais ça ne veux pas.
>
> gnome-terminal -e 'tail -f /var/log/syslog' &
>
> L'un de vous à une idée ou une a
Bonjour,
Je cherche le moyen de lancer un truc du genre à la fin de mon script
iptables, mais ça ne veux pas.
gnome-terminal -e 'tail -f /var/log/syslog' &
L'un de vous à une idée ou une autre solution pour ouvrir un terminal après
le passage des règles ?
--
david martin
On 02.04.2021 14:23, William Torrez Corea wrote:
Actually i'm moving/migrating from the old iptables/xtables (legacy)
world to the new nftables framework.
I execute step by step the migration process:
1. generate a translation of an iptables/ip6tables command to know
the nftables
On 4/2/21 12:23 PM, William Torrez Corea wrote:
> Actually i'm moving/migrating from the old iptables/xtables (legacy)
> world to the new nftables framework.
>
> I execute step by step the migration process:
>
> 1. generate a translation of an iptables/ip6tabl
Actually i'm moving/migrating from the old iptables/xtables (legacy) world
to the new nftables framework.
I execute step by step the migration process:
1. generate a translation of an iptables/ip6tables command to know the
nftables equivalent
2. Translate the whole ruleset in a single
rules. [It starts near] the top with some lines that have
been there for ever. After upgrading to buster I got an error
executing this script and I cannot find out why. Using the extra echo
lines I have been able to pinpoint the error to the iptables -Z line
[...]
IPTABLES=/usr/sbin/iptables
echo
h some lines that have
> been there for ever. After upgrading to buster I got an error
> executing this script and I cannot find out why. Using the extra echo
> lines I have been able to pinpoint the error to the iptables -Z line
>
> [...]
> IPTABLES=/usr/sbin/iptables
> echo
to pinpoint the error
to the iptables -Z line
[...]
IPTABLES=/usr/sbin/iptables
echo flush
# Flush all rules in all chains and then delete all chains
chains=`cat /proc/net/ip_tables_names 2>/dev/null`
for i in $chains; do $IPTABLES -t $i -F; done
for i in $chains; do $IPTABLES -t $i -X; done
e
Hola,
El 14/11/20 a les 19:20, Daniel ha escrit:
> Perquè vols fer servir iptables 'a pelo'?.
>
>>
>> Algú té bones referències de iptables?
>> (nftables no m'interessa per ara)
>>
Tot i que no t'interessi, des del meu punt de vista, si s'ha d'aprendre
algo nou mil
Hola Narcis
> Com es llisten els mòduls disponibles?
> Apart de la documentació d'iptables cada mòdul està documentat?
man -k iptables
man iptables-extensions
> N'hi ha que es carreguen sense sol·licitar-ho?
No cal que tu et preocupis de carregar res, només cap que
utilitzis l
Ah gràcies per aquest aclariment dels mòduls; el què més m'interessa és
la funcionalitat essencial o integrada («core») d'iptables, per a saber
que me la puc trobar a qualsevol distribució (incloent routers
minimalistes).
D'altra banda, a Debian veig que hi ha diversos paquets:
iptables
iptables
Jo tinc la segona edició de Linux Firewalls de Robert Ziegler (
https://www.oreilly.com/library/view/linux-firewalls-third/0672327716/) i
em va anar molt bé en el seu moment.
Si em permets també un altre comentari tingues en compte que iptables és
modular. Tu pots carregar un mòdul i de cop tens
Hola Narcis
> Algú té bones referències de iptables?
Fa temps vaig comprar aquest llibret (91 pàgines) que trobo molt
pràctic tot i ser del 2004:
https://www.oreilly.com/library/view/linux-iptables-pocket/9780596801861/
Salut,
Alex
--
⢀⣴⠾⠻⢶⣦⠀
⣾⠁⢠⠒⠀⣿⡁ Alex Muntada
⢿⡄⠘⠷⠚⠋ Deb
Bon dia,
Arreu trobo guies per a encaminar el trànsit de xarxa d'una manera o una
altra a través de GNU/Linux, utilitzant iptables.
Però no trobo cap manual complet amb TOTES les comandes i TOTES les
opcions del programa iptables. A cada guia em descobreixen alguna cosa
més, i no sé a què atenir
Perquè vols fer servir iptables 'a pelo'?.
Jo faig servir shorewall
(https://shorewall.org/Documentation_Index.html) que em sembla un
interface molt més simple, però n'hi ha d'altres.
La sortida es també iptables, però és més fàcil estructurar les regles.
Daniel
El 14/11/20 a les 19:03
On 2020-11-06 11:43, Sven Hartge wrote:
Jesper Dybdal wrote:
* The CT target, to add the ftp helper. I fixed that by adding a bit of
native nft with the nft command after all the iptables(-nft) commands.
For the sake of the archive and people looking at this thread hoping for
some insight
Jesper Dybdal wrote:
> * The CT target, to add the ftp helper. I fixed that by adding a bit of
> native nft with the nft command after all the iptables(-nft) commands.
For the sake of the archive and people looking at this thread hoping for
some insight, please post your native nft rul
On 2020-10-16 12:25, I wrote:
I have a lot of iptables rules.
Is it correctly understood that the upgrade to Buster will
automatically install iptables-nft, and that iptablés-nft provides
complete and compatible support for the functionality of the old
iptables command, so I can expect my
1 - 100 of 8537 matches
Mail list logo
