Retourner aux forums || Retourner au forum general.general
Voila ! J'utilisais P3scan avec un noyau 2.6.11
P3scan est un proxy pop3 qui me sert d'antivirus.
Pour faire ma table de routage, je faisait du nat :
-A OUTPUT -p tcp -m tcp --dport 110 -m owner --uid-owner p3scan -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 110 -j REDIRECT --to-ports 8110
Je disais que tout ce qui était pop3 allé vers p3scan et tout ce qui est pop3 et appartenant à l'utilisateur p3scan pouvait sortir.
Quand je faisait un
nc pop.free.fr 110
Par nat il me le transferer sur p3scan, qui lui se connecté sur Internet (car il a le bon uid).
Manque de pot, je viens d'installer le noyau 2.6.12.1 qui a l'air de marché différrement.
En effet, il se fiche de la partie Accept.
Donc p3scan se reconnecte sur lui-même et boucle. C'est génant.
Je voulais savoir si vous aviez le même genre d'expérience ? des solutions ? ...
> Lire le message (6 commentaires, moyenne: 2).
possibilités...
ca fait longtemps que je n'ai plus touché à iptables (pf bien mieux, tout ca...), mais l'ordre des régles n'est-il pas important: ne serait-ce pas la dernière qui correspond à un cas donné qui s'applique? Dans ce cas, en les inversant...
-
[^]Re: possibilités...
Posté par Diplodocus (Jabber id, page perso, ) le 19/08/2005 à 07:03. (lien). Évalué à 2.J'ai déjà essayé de les inversés sans succés.
-
[^]Re: possibilités...
Posté par Nicolas Bernard (page perso, ) le 19/08/2005 à 09:07. (lien). Évalué à 2.Dans la seconde règle, n'est-il pas possible de rajouter une option pour dire "owner différent de p3scan" (avec pf ce serait "user !p3scan" par exemple) ?
-
[^]Re: possibilités...
Posté par Diplodocus (Jabber id, page perso, ) le 19/08/2005 à 09:19. (lien). Évalué à 2.Héhé !
J'ai beaucoup pensé hier (c'est rare).
J'ai déjà essayé et on ne peux pas faire ca sur les utilisateurs.
Ce que je ne comprend pas c'est qu'en 2.6.11 ca marchais.
J'ai même essayé de ne le bloqué que sur l'utilisateur phoenix (le miens).
Et dans ce cas ca plante toujours. Comme si c'était phoenix qui envoyé le paquet la seconde fois, au lieu de p3scan !
Y a t il moyen d'avoi des traces sur le nom des utilsateurs qui envoie les paquets ?-
[^]Re: possibilités...
Posté par Nicolas Bernard (page perso, ) le 19/08/2005 à 09:32. (lien). Évalué à 2.Ce ne serait pas simplement qu'il manque un module/option a ton nouveau noyau par hasard?
Sinon une solution pourrait être de créer une interface virtuelle sur lo avec une ip privée et faire écouter p3scan uniquement sur cette interface, réécrire les régles pour faire du filtrage en fonction de l'IP.
-
[^]Re: possibilités...
Posté par Diplodocus (Jabber id, page perso, ) le 19/08/2005 à 20:52. (lien). Évalué à 2.Bon j'ai pas eu le temps de tester ....
En effet, je suis passé du noyau 2.6.12.1 au 2.6.12.5, et ca a refonctionné comme avant.
Surrement que c'était un bug.
-
-
-
-
Revenir en haut de page || Retourner aux forums || Retourner au forum general.general
Cette page a été générée par Templeet en 0.0524s (dont 0.0052 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.