Pourtant je le lis mais j'ai du mal à tout capter :-)
J'ai prévu de suivre une formation sur Netfilter je pense que ça va me faire du bien :-)
Merci pour ces remarques constructives
mode idiot sur ON
-t raw -A PREROUTING -d 224.0.0.251/32 -i eth0 -j DROP
Je fais un blocage sur ton PREROUTING !! désolé
Je DROP le multicast du serveur mDNS en entrée (PREROUTING de la table raw), à destination du 224.0.0.251/32 (serveur MDNS interne) et passant par la carte eth0
Moi pas comprendre !!
moi j'aurais mis -t raw -A POSTROUTING -s 224.0.0.251/32 -i eth0 -j DROP
Je DROP mDNS en sortie pour éviter que le multicast DNS se retrouve à l'extérieur de mon LAN
mode idiot sur OFF
Bon je comprend bien que c'était un exemple et qu'en finalité les DROP sur la table RAW à un intérêt mais que cela peu aussi nous jouer des tours si l'on est pas attentif à ce qu'il se passe dans les paquets (fragmentation)
Désolé j'ai encore un question de débutant mais ce coup-ci sur la table RAW
Donc j'ai bien compris le rôle de la table RAW, on peut trouver cette information facilement sur le Net.
(pour info et si j'ai bien compris, elle sert à marquer les paquets avant traçage, grâce à NOTRACK, Conntrack n'effectuera pas de contrôles sur ces paquets et ils seront identifiables grâce à leur marque)
Ok c'est bien mais concrètement quel est l'intérêt qu'il n'y ai pas de suivit sur quelque chose qui rentre ?? Dans quel cas Conntrack ne peut-il pas avoir d'intérêt ?
Bonne journée
Emmanuelt
PS: ce post à t'il toujours un intérêt ici ou devrait-il être dans sécurité ?
En regardant un peu tout cela je comprends que de toute façon avant de délivrer les paquets, transformés ou non, ils doivent passer obligatoirement par un Input ou un Output ou bien un Forward, donc le blocage du Postrouting ou du Prérouting n'a pas de sens (peut être éviter un traitement pour rien en entrée sur le Prérouting en le "Droppant" directement ??)
Pour revenir sur Iptables j'ai une dernière question de débutant
J'ai bien compris l'intérêt des scripts cependant le contenu du fichier installé par défaut /etc/sysconfig/iptables lui doit :
1. tout bloquer et c'est tout ? (le script personnalisé se chargeant de monter les règles).
2. être vide ?
Par contre je ne reviendrait pas sur sa présence qui est nécessaire.
pour l'ordre des scripts je n'ai pas les yeux ouverts ce matin
"update-rc.d c'est pour Debian, CentOS c'est chkconfig et si tu met le script en conformité avec certaines règles spécifiques aux initscripts RedHat, http://fedoraproject.org/wiki/Packaging:SysVInitScript , qui explique aussi comment gérer l'ordre de démarrage, oui ça marchera."
Pour ebtables il y a donc un script par grosse fonction
- ebtables.broute j'imagine qu'il s'occupe du Brouting / routage il gère donc uniquement la chaine Brouting
- ebtables.nat c'est pour gérer le Prerouting et le Postrouting (NAT sur les adresses MAC par exemple) et apparemment le MAN de ebtable indique aussi Output (surement nécessaire au NAT)
- ebtables.filter c'est la ou sont les règles de filtrage entre l'Input l'Output (pour un traitement local ) et aussi le Forward
- ebtables-config rien trouvé à son sujet mais en regardant dedans j'ai cru comprendre qu'il était la uniquement pour définir si les fichiers de configuration étaient en binaire ou en mode texte ??
- /etc/rc.d/init.d/ebtables j'y capte pas grand chose mais en regardant dedans j'ai vu start, stop, reload donc j'imagine qu'il gère le processus lui même
Mon esprit n'a pas bouillonné assez pour penser à chkconfig _^
Ahh dernière petite question peut-on prioritiser (ça se dit ?) un script qui se lance au démarrage plutôt q'un autre ??
Script2-Vital.sh en premier
Script1-important.sh en deuxième
Script3-classique.sh en troisième
Je sèche...
J'ai beau chercher, je ne trouve pas d'autres explications sur l'utilisation de cette règle personnalisée.
Ce qui est assez surprenant c'est que je n'ai trouvé null part sur Internet de définition précise sur cette chaine et pourquoi cet élément à t'il été implémenté dans certaines éditions de Linux
Ok
Donc a voir le résultat de la commande qui tu m'as indiqué et si j'ai bien compris RH-FIREWALL-1-INPUT est une chaine personnalisable
Tu peux donc fixer des règles dans une chaine appelée "TOTO" et tu dit à la chaine INPUT ou OUTPUT ou FORWARD d'utiliser cette même chaine personnalisé nommée "TOTO"
Donc en gros cela permet de centralisé tout dans une chaine ou à l'inverse de créé des chaines perso pour chaque type de fonction.
Ais je bien tout compris ?
Donc dans l'absolu je peux tout dégager et utiliser les chaines par défaut INPUT, OUTPUT, FORWARD
[^] # Re: faut peut-etre le voir avec une image pour comprendre qui fait quoi et ou
Posté par emmanuelt . En réponse au message iptables débutant. Évalué à 0.
Ok
Merci à tous les deux pour ces informations.
[^] # Re: faut peut-etre le voir avec une image pour comprendre qui fait quoi et ou
Posté par emmanuelt . En réponse au message iptables débutant. Évalué à 0.
Bonjour,
lit le manuel d'iptables
Pourtant je le lis mais j'ai du mal à tout capter :-)
J'ai prévu de suivre une formation sur Netfilter je pense que ça va me faire du bien :-)
Merci pour ces remarques constructives
mode idiot sur ON-t raw -A PREROUTING -d 224.0.0.251/32 -i eth0 -j DROP
Je fais un blocage sur ton PREROUTING !! désolé
Je DROP le multicast du serveur mDNS en entrée (PREROUTING de la table raw), à destination du 224.0.0.251/32 (serveur MDNS interne) et passant par la carte eth0
Moi pas comprendre !!
moi j'aurais mis -t raw -A POSTROUTING -s 224.0.0.251/32 -i eth0 -j DROP
Je DROP mDNS en sortie pour éviter que le multicast DNS se retrouve à l'extérieur de mon LAN
mode idiot sur OFFBon je comprend bien que c'était un exemple et qu'en finalité les DROP sur la table RAW à un intérêt mais que cela peu aussi nous jouer des tours si l'on est pas attentif à ce qu'il se passe dans les paquets (fragmentation)
Merci pour ton aide
emmanuelt
[^] # Re: faut peut-etre le voir avec une image pour comprendre qui fait quoi et ou
Posté par emmanuelt . En réponse au message iptables débutant. Évalué à 0.
Ok merci
Désolé j'ai encore un question de débutant mais ce coup-ci sur la table RAW
Donc j'ai bien compris le rôle de la table RAW, on peut trouver cette information facilement sur le Net.
(pour info et si j'ai bien compris, elle sert à marquer les paquets avant traçage, grâce à NOTRACK, Conntrack n'effectuera pas de contrôles sur ces paquets et ils seront identifiables grâce à leur marque)
Ok c'est bien mais concrètement quel est l'intérêt qu'il n'y ai pas de suivit sur quelque chose qui rentre ?? Dans quel cas Conntrack ne peut-il pas avoir d'intérêt ?
Bonne journée
Emmanuelt
PS: ce post à t'il toujours un intérêt ici ou devrait-il être dans sécurité ?
[^] # Re: faut peut-etre le voir avec une image pour comprendre qui fait quoi et ou
Posté par emmanuelt . En réponse au message iptables débutant. Évalué à 1.
Whaouu Neox tu es génial
Merci, trop fort
En regardant un peu tout cela je comprends que de toute façon avant de délivrer les paquets, transformés ou non, ils doivent passer obligatoirement par un Input ou un Output ou bien un Forward, donc le blocage du Postrouting ou du Prérouting n'a pas de sens (peut être éviter un traitement pour rien en entrée sur le Prérouting en le "Droppant" directement ??)
Emmanuelt
[^] # Re: autre petite question concernant Iptables
Posté par emmanuelt . En réponse au message Iptables ebtables scripts - mode débutant. Évalué à 0.
Super merci,
tout est clair maintenant.
Bonne journée
# autre petite question concernant Iptables
Posté par emmanuelt . En réponse au message Iptables ebtables scripts - mode débutant. Évalué à 0.
Pour revenir sur Iptables j'ai une dernière question de débutant
J'ai bien compris l'intérêt des scripts cependant le contenu du fichier installé par défaut /etc/sysconfig/iptables lui doit :
1. tout bloquer et c'est tout ? (le script personnalisé se chargeant de monter les règles).
2. être vide ?
Par contre je ne reviendrait pas sur sa présence qui est nécessaire.
Merci par avance,
Emmanuelt
[^] # Re:
Posté par emmanuelt . En réponse au message Iptables ebtables scripts - mode débutant. Évalué à 1.
pour l'ordre des scripts je n'ai pas les yeux ouverts ce matin
[^] # Re: oullaaa j'avais pas tout bon ^_^
Posté par emmanuelt . En réponse au message Iptables ebtables scripts - mode débutant. Évalué à 0.
Ok j'ai bien compris pour les scripts et iptables
Pour ebtables il y a donc un script par grosse fonction
- ebtables.broute j'imagine qu'il s'occupe du Brouting / routage il gère donc uniquement la chaine Brouting
- ebtables.nat c'est pour gérer le Prerouting et le Postrouting (NAT sur les adresses MAC par exemple) et apparemment le MAN de ebtable indique aussi Output (surement nécessaire au NAT)
- ebtables.filter c'est la ou sont les règles de filtrage entre l'Input l'Output (pour un traitement local ) et aussi le Forward
- ebtables-config rien trouvé à son sujet mais en regardant dedans j'ai cru comprendre qu'il était la uniquement pour définir si les fichiers de configuration étaient en binaire ou en mode texte ??
- /etc/rc.d/init.d/ebtables j'y capte pas grand chose mais en regardant dedans j'ai vu start, stop, reload donc j'imagine qu'il gère le processus lui même
Mon esprit n'a pas bouillonné assez pour penser à chkconfig _^
Ahh dernière petite question peut-on prioritiser (ça se dit ?) un script qui se lance au démarrage plutôt q'un autre ??
Script2-Vital.sh en premier
Script1-important.sh en deuxième
Script3-classique.sh en troisième
Merci encore pour toutes ces informations,
[^] # Re: iptables -L -nv
Posté par emmanuelt . En réponse au message Iptables - chaine RH-Firewall-1-INPUT. Évalué à 0.
Merci a vous deux c'est plus clair
[^] # Re: iptables -L -nv
Posté par emmanuelt . En réponse au message Iptables - chaine RH-Firewall-1-INPUT. Évalué à 1.
J'avance,
Avec une règle personnalisée on peut effectuer un appels vers un autre bloc, ce qui est fort interessant.
Au lieu d'indiquer que l'on ACCEPT ou DROP un packet on peu effectuer un appel vers le bloc TOTO qui lui effectuera d'autres traitements.
Je pense ne pas avoir dit trop de bêtises ?!
Cdt,
Emmanuelt
[^] # Re: iptables -L -nv
Posté par emmanuelt . En réponse au message Iptables - chaine RH-Firewall-1-INPUT. Évalué à -1.
J'ai trouvé une info
"La création de chaines personnalisées permettrait de limiter les matches et simplifier les règles"
Il ne faudrait donc pas chercher plus loin ??
Je suis déçu, je m'attendai à quelque chose de plus GRrrrr
^_^
[^] # Re: iptables -L -nv
Posté par emmanuelt . En réponse au message Iptables - chaine RH-Firewall-1-INPUT. Évalué à -1.
Je sèche...
J'ai beau chercher, je ne trouve pas d'autres explications sur l'utilisation de cette règle personnalisée.
Ce qui est assez surprenant c'est que je n'ai trouvé null part sur Internet de définition précise sur cette chaine et pourquoi cet élément à t'il été implémenté dans certaines éditions de Linux
Cdt,
Emmanuelt
[^] # Re: iptables -L -nv
Posté par emmanuelt . En réponse au message Iptables - chaine RH-Firewall-1-INPUT. Évalué à 0.
ahhh ^_^ réponse de Normand
J'ai du mal à imaginer les autres scénarios mais je vais chercher.
# désolé pour les fautes
Posté par emmanuelt . En réponse au message Iptables - chaine RH-Firewall-1-INPUT. Évalué à -1.
..
[^] # Re: iptables -L -nv
Posté par emmanuelt . En réponse au message Iptables - chaine RH-Firewall-1-INPUT. Évalué à 1.
Ok
Donc a voir le résultat de la commande qui tu m'as indiqué et si j'ai bien compris RH-FIREWALL-1-INPUT est une chaine personnalisable
Tu peux donc fixer des règles dans une chaine appelée "TOTO" et tu dit à la chaine INPUT ou OUTPUT ou FORWARD d'utiliser cette même chaine personnalisé nommée "TOTO"
Donc en gros cela permet de centralisé tout dans une chaine ou à l'inverse de créé des chaines perso pour chaque type de fonction.
Ais je bien tout compris ?
Donc dans l'absolu je peux tout dégager et utiliser les chaines par défaut INPUT, OUTPUT, FORWARD
Merciiii
[^] # Re: proxy http + firewall
Posté par emmanuelt . En réponse au message Problématique changement Firewall. Évalué à 1.
Merci