|
Auteur | Sujet : un script iptables spécial serveur. |
---|
Publicité | Posté le 01-09-2005 à 16:51:04 |
duch | ok mais alors dans le cas de mon --syn.
Message édité par duch le 01-09-2005 à 16:53:24 |
l0ky | j'ai édité (deuxieme partie, on s'arrete a la premiere regle matchant le paquet) |
duch | ok et de toute façon, j'avais dit une connerie puisque ma deuxième règle (celle qui contiendra le --syn) c'est une règle ACCEPT pas une règle DROP
|
duch | donc si on s'arrête à la première règle matchant le paquet, les règles qui se trouvent à la fin (lignes 61 à 67) doivent bien être au début, sinon le paquet va être accepté.
Message édité par duch le 01-09-2005 à 16:59:24 |
l0ky | Dans la logique du script ca devrait être au début.
Message édité par l0ky le 01-09-2005 à 17:05:15 |
l0ky | C'est bon. |
Publicité | Posté le 01-09-2005 à 17:30:42 |
l0ky | tu ouvres le port 21, tu rajoutes le conntrack_ftp et ca doit etre bon
|
duch | ouvrir le port 21 en sortie suffit si j'active le conntrack_ftp?
|
l0ky | ip_conntrack_ftp et ip_nat_ftp si tu veux faire du nat. Plus ouverture du port 21 et ca devrait suffire |
duch | port 21 uniquement en sortie ou en entrée/sortie?
|
sebchap Share the knowledge |
--------------- BOFH excuse #400:We are Microsoft. What you are experiencing is not a problem; it is an undocumented feature. |
duch |
Message édité par duch le 01-09-2005 à 18:14:31 |
duch | je veux laisser passer les connexions sortantes pour pouvoir télécharger les mises à jours systèmes par exemple ;-) |
sebchap Share the knowledge |
--------------- BOFH excuse #400:We are Microsoft. What you are experiencing is not a problem; it is an undocumented feature. |
sebchap Share the knowledge |
--------------- BOFH excuse #400:We are Microsoft. What you are experiencing is not a problem; it is an undocumented feature. |
Zzozo ModérateurUn peu, passionément, à la fol |
|
sebchap Share the knowledge | ah bah merde, j'avais même pas vu que tu etais deja allé sur ce site
--------------- BOFH excuse #400:We are Microsoft. What you are experiencing is not a problem; it is an undocumented feature. |
duch | Et oui, je me suis tapé un max de tuto avant de poster.
Message édité par duch le 01-09-2005 à 20:05:33 |
sebchap Share the knowledge | Oui mais ca marche sans aussi a condition que tu accepte les connexion NEW en sortie (ce qui n'est pas le cas pour l'instant)
Message édité par sebchap le 01-09-2005 à 20:06:41 --------------- BOFH excuse #400:We are Microsoft. What you are experiencing is not a problem; it is an undocumented feature. |
duch | euh, là je comprends plus, que veux tu dire ça marche aussi sans?
Message édité par duch le 01-09-2005 à 20:09:56 |
sebchap Share the knowledge | Il y a quelque chose que tu n'arrive pas a comprendre visiblement
alors tu n'as pas besoin de rajouter une regles comme celle-ci:
--------------- BOFH excuse #400:We are Microsoft. What you are experiencing is not a problem; it is an undocumented feature. |
duch | j'ai tout à fait compris, par contre j'ai l'impression que c'est toi qui n'as pas compris que j'avais compris ;-)
Message édité par duch le 01-09-2005 à 21:16:41 |
l0ky | Personnellement j'ouvre au coup par coup, même en sortie
|
duch | Et d'après ce que j'ai vu le célèbre Arno partage notre avis.
Message édité par duch le 01-09-2005 à 21:27:11 |
sebchap Share the knowledge | Je t'ai donné le technique que j'utilise et qui est suffisante pour moi, libre a toi de l'utiliser ou pas
--------------- BOFH excuse #400:We are Microsoft. What you are experiencing is not a problem; it is an undocumented feature. |
Je@nb Kindly give dime |
|
duch | bon bah tout le monde est d'accord.
Message édité par duch le 02-09-2005 à 10:31:46 |
duch | pour les paquets invalides, je propose de commencer par ces règles (issue du script d'Arno):
Message édité par duch le 02-09-2005 à 10:48:11 |
Je@nb Kindly give dime | Ta politique par défaut est déjà en drop donc il se feront automatiquement droppé si tu ne les matches pas avant. Les premiers peut être que c interressant je ne sais pas mais sinon bof |
duch | oui effectivement j'ai du mal à intégré, les lignes 12 à 19 ne servent donc à rien, c'est bien celles-ci? |
l0ky |
|
duch | oui effectivement pour les performances il semble préférable qu'iptables match un paquet invalide dès le début plutôt que de se taper toutes les chaines et d'appliquer la politique par défaut s'il n'a rien trouvé.
Message édité par duch le 02-09-2005 à 11:00:52 |
Je@nb Kindly give dime | Oué mais si tu les mets ça sera plus long à matcher les règles "utiles" |
l0ky |
Message édité par l0ky le 02-09-2005 à 11:12:42 |
duch | mouais, cruel dilemme?
Message édité par duch le 02-09-2005 à 11:14:38 |
Publicité | Posté le |
Sujets relatifs | |
---|---|
[script] séparer des chiffres | Antivirus client(win$$) / serveur(debian) |
fonctionnalités du serveur asterisk | [script] faire une addition avec le flux d'entrée |
Comment créer un sous domaine avec un script ? | Acceder à un serveur de fichiers sous novell |
pb d'affichage de script entre namo 5.5 et firefox 1.0.3 | [iptables?] Plusieurs passerelles |
[iptables] Rediriger certaines ip du port 80 vers ailleurs | Problème Debian et HLDS (serveur CS) 50% idle |
Plus de sujets relatifs à : un script iptables spécial serveur. |