Forum général.général Réseau : Iptables

Posté par phoenix (site web personnel) le 18 août 2005 à 22:22.

Étiquettes : aucune

août

2005

Bonjour.

Voila ! J'utilisais P3scan avec un noyau 2.6.11

P3scan est un proxy pop3 qui me sert d'antivirus.

Pour faire ma table de routage, je faisait du nat :

-A OUTPUT -p tcp -m tcp --dport 110 -m owner --uid-owner p3scan -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 110 -j REDIRECT --to-ports 8110

Je disais que tout ce qui était pop3 allé vers p3scan et tout ce qui est pop3 et appartenant à l'utilisateur p3scan pouvait sortir.

Quand je faisait un
nc pop.free.fr 110

Par nat il me le transferer sur p3scan, qui lui se connecté sur Internet (car il a le bon uid).

Manque de pot, je viens d'installer le noyau 2.6.12.1 qui a l'air de marché différrement.

En effet, il se fiche de la partie Accept.
Donc p3scan se reconnecte sur lui-même et boucle. C'est génant.

Je voulais savoir si vous aviez le même genre d'expérience ? des solutions ? ...

# possibilités...

Posté par Nicolas Bernard (site web personnel) le 18 août 2005 à 22:28. Évalué à 2.

ca fait longtemps que je n'ai plus touché à iptables (pf bien mieux, tout ca...), mais l'ordre des régles n'est-il pas important: ne serait-ce pas la dernière qui correspond à un cas donné qui s'applique? Dans ce cas, en les inversant...
- [^] # Re: possibilités...
  
  Posté par phoenix (site web personnel) le 19 août 2005 à 09:03. Évalué à 2.
  
  J'ai déjà essayé de les inversés sans succés.
  - [^] # Re: possibilités...
    
    Posté par Nicolas Bernard (site web personnel) le 19 août 2005 à 11:07. Évalué à 2.
    
    Dans la seconde règle, n'est-il pas possible de rajouter une option pour dire "owner différent de p3scan" (avec pf ce serait "user !p3scan" par exemple) ?
    - [^] # Re: possibilités...
      
      Posté par phoenix (site web personnel) le 19 août 2005 à 11:19. Évalué à 2.
      
      Héhé !
      J'ai beaucoup pensé hier (c'est rare).
      J'ai déjà essayé et on ne peux pas faire ca sur les utilisateurs.
      
      Ce que je ne comprend pas c'est qu'en 2.6.11 ca marchais.
      
      J'ai même essayé de ne le bloqué que sur l'utilisateur phoenix (le miens).
      Et dans ce cas ca plante toujours. Comme si c'était phoenix qui envoyé le paquet la seconde fois, au lieu de p3scan !
      
      Y a t il moyen d'avoi des traces sur le nom des utilsateurs qui envoie les paquets ?
      - [^] # Re: possibilités...
        
        Posté par Nicolas Bernard (site web personnel) le 19 août 2005 à 11:32. Évalué à 2.
        
        Ce ne serait pas simplement qu'il manque un module/option a ton nouveau noyau par hasard?
        
        Sinon une solution pourrait être de créer une interface virtuelle sur lo avec une ip privée et faire écouter p3scan uniquement sur cette interface, réécrire les régles pour faire du filtrage en fonction de l'IP.
        
        [^] # Re: possibilités...
        
        Posté par phoenix (site web personnel) le 19 août 2005 à 22:52. Évalué à 2.
        
        Bon j'ai pas eu le temps de tester ....
        En effet, je suis passé du noyau 2.6.12.1 au 2.6.12.5, et ca a refonctionné comme avant.
        Surrement que c'était un bug.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.