Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1301 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Codes et scripts

  Comportement curieux d'IPTABLES

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Comportement curieux d'IPTABLES

n°1095517
redvivi
Posté le 07-12-2008 à 14:10:17  profilanswer
 

Bonjour à tous !!
 
Il semble que quelquechose ne fonctionne pas avec iptables, je veux prioriser le protocole ssh pour accéder au serveur, voici le code que je suis censé utilisé:

Code :
  1. iptables -t mangle -A POSTROUTING -o $DEV -m layer7 --l7proto ssh -j MARK --set-mark 20


 
Le problème c'est que si une personne utilise un tunnel ssh pour transférer des données P2P par exemple, le P2P sera prioriser, donc je voudrais utiliser celà:

Code :
  1. iptables -t mangle -A POSTROUTING -o $DEV -m layer7 --l7proto ssh -p tcp --sport 22 -j MARK --set-mark 20


 
Mais alors là le protocole n'est plus matché, on dirait que iptables ne prends pas 2 conditions de filtrage (à savoir le l7 filter et le -p tcp)
 
Ais-je loupé qqchose ?
 
Merci à tous !
RedVivi

mood
Publicité
Posté le 07-12-2008 à 14:10:17  profilanswer
 

n°1095658
HNO3
I can't use what I can't abuse
Posté le 07-12-2008 à 21:32:37  profilanswer
 

inversion sport/dport ?

Message cité 1 fois
n°1095662
redvivi
Posté le 07-12-2008 à 22:10:59  profilanswer
 

Non je ne pense pas, le port 22 est bien le port source de l'ordinateur sur lequel j'exécute iptables.

n°1095665
Mjules
Modérateur
Parle dans le vide
Posté le 07-12-2008 à 22:38:26  profilanswer
 

tu es sur que -p et -m peuvent être utilisé ensemble ? une lecture rapide du man me laisserait plutôt penser le contraire

Message cité 1 fois

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
n°1095667
redvivi
Posté le 07-12-2008 à 22:45:13  profilanswer
 

D'après le man:

Code :
  1. iptables peut utiliser des modules additionnels de correspondance de paquets. Ceux-ci peuvent être chargés de deux manières : implicitement, lorsque -p ou --protocol est employé, ou avec l'option -m ou --match, suivie du nom du module de correspondance ; après cela, des options supplémentaires en ligne de commande deviennent disponibles, en fonction du module. Vous pouvez spécifier plusieurs modules de correspondance sur une même ligne, et utiliser l'option -h ou --help après avoir spécifié le module, pour visualiser l'aide relative à ce module.
 

Celà ne me semble pas être contradictoire d'apres moi, surtout que ce que je veux c'est matcher le paquet à partir de 2 modules différents (layer7 et tcp), on procède bien de cette manière pour faire un test "AND" dans iptables ?


Message édité par redvivi le 07-12-2008 à 22:46:28
n°1095707
o'gure
Modérateur
Multi grognon de B_L
Posté le 08-12-2008 à 08:50:57  profilanswer
 

Mjules a écrit :

tu es sur que -p et -m peuvent être utilisé ensemble ? une lecture rapide du man me laisserait plutôt penser le contraire


Je t'assure que l'on peut utiliser -m et -p en même temps, j'utilise tous les jours -p tcp -m state


---------------
Relax. Take a deep breath !
n°1095721
FCKGW
◥▶◀◤
Posté le 08-12-2008 à 09:47:32  profilanswer
 

HNO3 a écrit :

inversion sport/dport ?


 
En supposant que redvivi utilise --set-mark pour que ses paquets soient bucketisés par tc, que la machine sur laquelle tourne iptables soit son routeur/passerelle, et que le traffic ssh dont il parle soit celui des gens qui sont derrière le routeur et se connectent à des serveurs ssh sur l'intairnet, la ligne kivabien dans POSTROUTING pour marquer le traffic ssh, c'est bien "-m layer7 --l7proto ssh -p tcp --dport 22 -j MARK --set-mark 20"
 
[:ojap]

n°1095726
redvivi
Posté le 08-12-2008 à 10:07:36  profilanswer
 

Heu....J'avoue que je suis un peu perdu là...pourquoi serait-ce --dport et non --sport ? Je raisonne comme ceci: Je veux prioriser l'upload du protocole ssh (de la passerelle vers l'internet). Donc ce sont des paquets qui partent de la passerelle vers l'internet, ainsi il s'agit vient du sport de la passerelle. J'ai oublié quelquechose ?

n°1095729
o'gure
Modérateur
Multi grognon de B_L
Posté le 08-12-2008 à 10:19:18  profilanswer
 

Tu es dans le scénario quelqu'un se connecte depuis internet à ta passerelle en SSH ?
=> le trafic qui part de ta passerelle a bien en port source 22.
=> le trafic arrivant a le port destination 22.


---------------
Relax. Take a deep breath !
n°1095793
redvivi
Posté le 08-12-2008 à 15:33:18  profilanswer
 

Oui c'est bien ça, quelqu'un se connecte en ssh sur la passerelle, donc le traffic sortant a le port source 22, donc a priori ma ligne de commande devrait fonctionner :-S


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Codes et scripts

  Comportement curieux d'IPTABLES

 

Sujets relatifs
Question à propos d'iptables et du comportement des tablesProbleme IPTABLES, avec un bridge (application de virtualisation)
probleme iptables -Fiptables et log -résolu-
[RESOLU] Comportement bizarreAide avec IPTABLES et OpenVPN
Logs Arno-iptables-firewallpacket filter <> iptables
SOCKS5 "transparent" via netfilter / iptables 
Plus de sujets relatifs à : Comportement curieux d'IPTABLES

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.046 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR