soft pour gerer les ports, le NAT etc sous linux ? - Linux et OS Alternatifs
Marsh Posté le 19-11-2001 à 11:48:23
tu fais cat /etc/services et tu as la listes des ports les plus connus avec leur nom.
Et pour iptables, c facile pourtan, et le howto est assez clair.
Sinon, pour ta question, ya fwbuilder je crois, mais je ne connais pas car je ne l'utilise pas
Marsh Posté le 19-11-2001 à 12:16:15
the_fireball a écrit a écrit : tu fais cat /etc/services et tu as la listes des ports les plus connus avec leur nom. Et pour iptables, c facile pourtan, et le howto est assez clair. Sinon, pour ta question, ya fwbuilder je crois, mais je ne connais pas car je ne l'utilise pas |
FACILE Iptables ?
alors reponds a cette question de "base" :
comment geres tu, dans tes regles (sur les 3 chaines de base, car on peut en créer d'autres comme tu le sais ...), la fragmentation des paquets IP?
Par exemple sur des protocoles commes TCP et + specialement pop, smtp ...
Marsh Posté le 19-11-2001 à 12:36:33
Extrait du chapitre 7.3.5 du howto netfilter :
Si tu utilises le suivid e connexion ou le NAT, alors tous les fragments seront recollés avant qu'ils n'arrivent au code de filtrage de paquets, donc tu n'auras pas à t'occuper des fragments
...
Autrement il est important de comprendre comment les fragments sont traités par les règles de filtrage. Toute règle de filtrage qui demande des infomations qu'on a pas ne conviendra pas. Ca veut dire que le premier fragment est traité comme tout autre paquet, mais que le secon,d et suivants ne le seront pas. Donc une règle -p TCP --sport www (qui specifie loe port source `www' ne conviendra jamais a un fragment (autre que le premier fragment). L'opposé est aussi valable -p TCP --sport ! www.
Sinon, tu peux specifier une règle pour les seconds fragments et suivants , en utilisant l'option `-f' (ou `--fragment'. Il est aussi légal de spécifier une règle qui ne s'applique pas aux secondes fragments et suivants, en précédant `-f' avec `!'.
Habituellement il est sécurisant de laisser passer les seconds fragments et suivants, comme le filtrage sera fait sur le premier, et empèchera le réassemblement sur la machine cible; mais des bugs ont été trouvés qui permettent de crasher la machine simplement en lui envoyant des fragments.
Comme exemple, la règle suivante va laisser tomber tout les fragments qui vont vers 192.168.1.1:
iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
C'est plus clair ? Sinon, je préfère ipfilter des BSD de toute façon
Marsh Posté le 19-11-2001 à 12:58:50
et serieux, c de lalangue de bois ?
tu me ressort effectivement le how to .... mais expliques moi
comment tu peux savoir comment traiter un paquet si celui-ci n'a pas d'entête car fragmenté (seul le premier qui est passé avait cet entete !!!)
sois plus clair, je debute ss linux (alors slow ;-) )
Marsh Posté le 19-11-2001 à 13:07:21
Ben c écrit non ? Je ne suis pas un expert netfilter moi, mais visiblement après une lecture du howto, voila ce que j'ai compris :
Si tu utilises le suivi de connexion (stateful pour les anglophone), tu n'as pas à te préoccuper des fragments car c iptables qui va s'en charger. En gros, il va les stocker dans un tampon et ne les enverra à la partie filtrante du code seulement lorsque le paquet sera entièrement arrivé.
Par contre, si tu n'utilises pas le suivi de connexion (ce qui est mal car c trop pratique), alors la il faut se faire chier et écrire une regle pour le premier fragment puis écrire une regle avec le parametre -f pour les suivant. Mais je n'utilise que le stateful donc je ne maitrise pas cette partie
C mieux ?
Marsh Posté le 19-11-2001 à 14:07:10
Une bonne fois pour toute, et c'est valable pour tous les newbies du forum :
- Cessez de prendre Linux pour windows, cessez de chercher des outils "comme X ou Y sous windows" pour Linux.
- Linux n'est pas windows, Linux est un Unix ou la ligne de commande est encore maitresse, en particulier pour les taches d'administration et de configuration de haut niveau (reseau, firewall etc...)
Ceux qui ne peuvent se defaire de ses idees n'ont qu'a retourner sous windows ou un quelconque autre system d'exploitation payant et instable, mais avec de superbes fenetres graphique spour faire tout ce qu'on veut sans rien y comprendre.
Deuxieme option: faire un upgrade du cerveau, apprendre l'anglais et se taper de la doc, sortir du moule micromou et rentrer de l'esprit Linux.
Arno
Marsh Posté le 19-11-2001 à 14:20:50
ah ca c'est du pedagogique, ca... de la vrai diplomatie ki tu!
Marsh Posté le 19-11-2001 à 14:23:28
ouaip, arno c un peu emballé sur le coup
Marsh Posté le 19-11-2001 à 14:56:45
Drdrake a écrit a écrit : ah ca c'est du pedagogique, ca... de la vrai diplomatie ki tu! |
Il est clair que ca n'est pas le post le plus empreint d'empathie a l'egard des newbies.
Cependant, je ne crois pas que la vocation du Forum soit d'etre pedagogique, en particulier quand on sait que la pedagogie est faite de repetition, et aussi parce que ce forum est une tribune libre, animee de maniere benevole. Chacun repond du mieux qu'il peut, quand il peut, et meme repond a cote s'il le souhaite.
Inutile donc de s'attendre a un support on-line, ou toutes les idees facetieuses des newbies ne feraient pas l'objet d'un post de "remise en place" tel que je l'ai fait.
Il n'en demeure pas moins que le bon vieux RTFM a tendance a se perdre, faisant place a la facilite.
Du coup, des choses aussi basiques que "Linux n'est PAS windows, inutile de chercher un windows cache derriere un Linux, meme une Mandrake", ont besoin d'etre repete par des vieux cons de mon espece.
Il n'empeche qu'on peut aider 'jamiroq' a s'en sortir, mais a mon avis c'est une fuite en avant, et il reviendra avec des questions toujours plus newbies, parce qu'il n'a a aucun moment fait l'effort de sortir du moule Microsoft et de comprendre que ce qu'il cherche a faire est faisable sous Linux, mais pas *comme* sous windows.
Sur ces considerations...je me fatigue moi...
Arno
Marsh Posté le 19-11-2001 à 15:06:54
the_fireball a écrit a écrit : Ben c écrit non ? Je ne suis pas un expert netfilter moi, mais visiblement après une lecture du howto, voila ce que j'ai compris : Si tu utilises le suivi de connexion (stateful pour les anglophone), tu n'as pas à te préoccuper des fragments car c iptables qui va s'en charger. En gros, il va les stocker dans un tampon et ne les enverra à la partie filtrante du code seulement lorsque le paquet sera entièrement arrivé. Par contre, si tu n'utilises pas le suivi de connexion (ce qui est mal car c trop pratique), alors la il faut se faire chier et écrire une regle pour le premier fragment puis écrire une regle avec le parametre -f pour les suivant. Mais je n'utilise que le stateful donc je ne maitrise pas cette partie C mieux ? |
ya !
donc tu me rassures qu'on peut esperer y arriver, parcque si fallait gerer en plus la reconstitution des paquéts : moi je dis : INGERABLE
Dans un environnement de pro bien sur, parcuqe l'autre gugus qui me dits on est pas sous Windows je lui dits ok... mais qu'ils sachent que qud on 20 serveurs a gerer eh bien on se pose pas la question pendant 2 jours de savoir comment iptables fonctionne (avec les hoW toutou ) : le truc doit etre operationnel en 2 point barre ; c ca la prod.
si tu travailles sachent que , helas, l'heure n'est plus a l'optimisation mais plutot a la rentabilité a outrance ... ca m'etonnerait que mon (ton ) chef te pays pour comprendre pendant 4 comment marche iptables ? je sais je dis vrai !!
je suis bilingue tetard !
Marsh Posté le 19-11-2001 à 15:27:40
jamiroq a écrit a écrit : ya ! donc tu me rassures qu'on peut esperer y arriver, parcque si fallait gerer en plus la reconstitution des paquéts : moi je dis : INGERABLE Dans un environnement de pro bien sur, parcuqe l'autre gugus qui me dits on est pas sous Windows je lui dits ok... mais qu'ils sachent que qud on 20 serveurs a gerer eh bien on se pose pas la question pendant 2 jours de savoir comment iptables fonctionne (avec les hoW toutou ) : le truc doit etre operationnel en 2 point barre ; c ca la prod. si tu travailles sachent que , helas, l'heure n'est plus a l'optimisation mais plutot a la rentabilité a outrance ... ca m'etonnerait que mon (ton ) chef te pays pour comprendre pendant 4 comment marche iptables ? je sais je dis vrai !! je suis bilingue tetard ! |
Affligeant.
Tu es donc bilingue... a en juger par la qualite de ton francais (je te passe les fautes de frappe ca arrive a tout le monde), j'ose esperer que ta langue natale est l'anglais dans ce cas.
Je constate une fois de plus que des personnes qui ont de soit-disant imperatifs de production ont tendance a prendre le forum pour une hot-line, ou un support operationnel.
Ca n'est pas le cas, c'est une erreur grossiere et je pense que tes patrons ont du souci a se faire, si ce forum constitue ton seul moyen de t'en sortir avec tes 20 serveurs (dis donc, ca fait peur ca comme chiffre hien...)
J'espere bien ne pas avoir a faire a toi ou a ta societe (je suis a peu pres sur que tu n'es pas representatif) sur le plan professionnel.
Je vais finir par avoir pite de toi et de tes 20 serveurs "de production", ainsi que tes "contraintes operationnelles". A mon avis, toi ou ta boite vous etes fourvoyes en pensant que le choix de Linux pour vos serveurs n'etait pas un investissement.
Le temps a prendre pour maitriser ce genre de technologie EST un investissement, le manque de support operationnel pour linux EST un investissement et tu te trompe lourdement en prenant ce forum pour une hot-line.
Mais tu t'en apercevras bien assez tot...
L'apprentissage est la clef de voute de ton probleme, et tu refuses de passer par cette etape sous pretexte de contrainte de temps... c'est regrettable et non-professionel comme comportement.
Pour finir, tache de ne pas tomber dans la vulgarite en me repondant, c'est en effet le dernier recours des faibles, et j'aurais alors completement pite de toi.
Bien cordialement,
Arno.
Marsh Posté le 19-11-2001 à 15:30:51
le truc doit etre operationnel en 2 point barre ; c ca la prod.
Je me demandais comment des softs pouvaient être installé avec les mots de passe par défaut, maintenant, je le sais.
si tu travailles sachent que , helas, l'heure n'est plus a l'optimisation mais plutot a la rentabilité a outrance ... ca m'etonnerait que mon (ton ) chef te pays pour comprendre pendant 4 comment marche iptables ? je sais je dis vrai !!
Bah si, mon boulot, c'est d'étudier TOUS les aspects des technos avec de s'investir dessus. Les choix sur des plaquettes marketings, on a déjà donné, et derrière, quand il faut ramer pour rattraper les choix de merde au départ, tu va en perdre du temps sur des conneries.
[edtdd]--Message édité par kadreg--[/edtdd]
Marsh Posté le 19-11-2001 à 16:28:07
PAS d'ACCORD avec vous.
Oui JE VEUX QUE LINUX devienne aussi FACILE a utiliser, configurer que windows. Et que les interfaces graphique soient puissante et ergonomique : c a ce prix que linux s'imposera !
On sait deja tous qu'il est le plus stable.
Et je suis sur que c ce qui va arriver ... mais pas avec les refractaire qui ne pronnent que la ligne de commande ...
Comme pour se reserver une certaine exclusivité ou plutot pour penser etre au dela des autres
Eh oui nombreux sont ceux qui aprés une dure journée a galerer sur les pb de windobe serveur ... aimeraient pouvoir tater du vrai os STABLE (Lin...) sans pour autant se taper la bible avant que ca marche.
Un os parfait c un os stable, puissant mais a la portée de tout le monde ... pas que de ARNO
Taper 30 lignes de parametres (encore faut-il trouver les bons !!) est tres dure (j'aime la programmation mais a petite dose qd meme)
Marsh Posté le 19-11-2001 à 16:37:53
Jamriroq,
Je te remercie de poursuivre le debat de maniere sociable.
En fait tes arguments sont recevables,neamoins la ligne de commande a encore de beaux jours devant elle.
En effet, des qu'il est question d'integrer une commande quelconque a un procede programatique (automatise quoi), dans le style d'un script par exemple, un bout de C ou quoique ce soit d'autre, la ligne de commande est indispensable.
J'ai malheureusement des exemples tous les jours qui me tombent sous la main.
Comment automatiser une suite de click dans divers fenetres ? (c'est certe possible, mais restons realiste)
Une ligne de commande s'automatise tres bien. Et c'est indispensable, en particulier dans des cas de monitoring, mais bref je m'egare la, disons que j'ai des tonnes d'exemple.
En outre, je ne crois toujours pas qu'une application 'simple' a utiliser (il s'entend avec des fenetres graphiques, pour ton cas) ne doivent t'eviter une phase d'apprentissage de ce qui ce passe "derriere"...
Enfin...
Arno
Marsh Posté le 19-11-2001 à 17:12:48
[citation][nom]arnaud a écrit[/nom]Jamriroq,
Je te remercie de poursuivre le debat de maniere sociable.
>>> NOMALE ON EST PAS DES SAUVAGES ;-)
En fait tes arguments sont recevables,neamoins la ligne de commande a encore de beaux jours devant elle.
>>> Oui et Oui et un peu non !
En effet, des qu'il est question d'integrer une commande quelconque a un procede programatique (automatise quoi), dans le style d'un script par exemple, un bout de C ou quoique ce soit d'autre, la ligne de commande est indispensable.
J'ai malheureusement des exemples tous les jours qui me tombent sous la main.
Comment automatiser une suite de click dans divers fenetres ? (c'est certe possible, mais restons realiste)
Une ligne de commande s'automatise tres bien. Et c'est indispensable, en particulier dans des cas de monitoring, mais bref je m'egare la, disons que j'ai des tonnes d'exemple.
>>> totale d'accord, sous NT mais script (batch ou VB) sont la >>> puissance a l'etat pure , sans equivoque !
>>> ... mais ecoutes bien ce qui va suivre :
>>> configurer un FireWall puissant EST BCP simple, efficace et >>> performant avec une interface graphx, une preuve ???
>>> Facile, elle tourne sous LINUX (eh oui!) elle est hyper
>>> conviviale, belle (oh!),on l'appelle : WatchGuard (FIREBOXII)
>>> WatchGuard parametre totalement et ce graphiquement le fameux
>>> IPCHAINS du firebox linux, alors le graphique pas puissant?
>>> ... je dois te dire que ce firewall je le gere au quotidien >>> et c un pied totale d'ouvrir les ports,les fermer,faire du >>> NAT etc...et c sous ipchains !! seulement y'a une puissante >>> interface graphique qui pilote tous ca !!!(je comprends ce >>> que je fais et ca me prends 2 ou 3 clics pas 15000 pages de >>> howto ou seul 70 lignes m'interesse !!)
>>> ma philosophie est la :
>>> la puissance de la ligne de commande (qd necessaire) ALLIé à
>>> l'ergonomie d'une interface graphique !
En outre, je ne crois toujours pas qu'une application 'simple' a utiliser (il s'entend avec des fenetres graphiques, pour ton cas) ne doivent t'eviter une phase d'apprentissage de ce qui ce passe "derriere"...
>>> c mon avis .
Enfin...
Arno
>>> STEPH
Marsh Posté le 19-11-2001 à 17:53:48
aïe ... pfff
que de réactions
Je suis un peu d'accord avec les tous les avis exprimé ici.
Cependant Jamiroq, j'aimerai qd même te faire remarquer, au vu des questions que tu as déjà posté sur ce forum concernant entre autre les firewalls, que je me demande si tu saurais en faire (configurer) un sous les os Microsoft.
Ne le prends pas comme une attaque personnelle stp, ce n'est qu'une constatation et ça vaut pour bcp de personnes qui arrivent sur ce forum en voulant absolument un réseau sécurisé qui puisse accéder au net par l'intermédiaire de linux.
En effet, sous windows, tu peux utiliser un norton firewall ou autre (que je n'ai jamais utilisé, je ne sais pas trop de quoi je parle, faites le moi remarquer ) qui le fait facilement pour toi... Ils ont tous je pense une config par défaut qui doit être +- vallable (je suppose).
Si la configuration de ton réseau n'est pas standard, tu devras qd même avoir un minimum de connaissances en réseau pour ouvrir ou fermer certains ports, en d'autres redirriger, etc ...
Si tu n'as pas cette connaissance, tu te retrouveras dans le même cas que sous Linux, cad, rechercher de la doc.
Comme sous windows, ces programmes font tout pour toi, tu n'acquiereras jamais cette connaissance ! Oui je sais, c'est dur, je suis passé par là aussi.
Sous Linux il existe fwbuilder, qui m'a-t'on dit est très efficace, mais un peu difficile à comprendre au départ. Pourtant, je remarque que la plupart des gens l'abandonnent vite fait pour repasser en script... ?? pq ?
Sous Windows, vous avez aussi dû apprendre le maniement de votre programme de firewall... c'est pas inné, souvent intuitif, mais pas inné !!!
Alors accepte d'apprendre de nouvelles choses, elles te seront toujours utiles et tu verras que sous Windows tu comprendras mieux aussi.
Marsh Posté le 19-11-2001 à 18:51:12
Non je ne prends rien pour attaque perso.
Mais je peux t'affirmer que je configure et reconfigure qd le besoin s'en fait sentir IPCHAINS souvent ... et je comprends ce que je fais mais c via une interface tres etudié et qui permet bcp de chose (WatchGuarD !, d'ailleurs le gars qui bosse sur IPCHAINS bosse pour Watch Guard ;-) ).
Tu parles de FwBuilder je me prepare a l'etudier, mais il n'y^pas encore assez de doc. beton dessus.
et pour info. Notre Web et parfaitement operationnel et securisé sous du IIS,MSProxy IMs et pour fermer la boutique evidement LINUX via watchGuard, et je comprend ce que je fais !!! (heureusement pour moi et ma place d'ailleurs !!)
Seulement si le Firebox sous Linux je devais le parametrer via la ligne de commande ben j'y passerai des journées entieres !!!
qd on fais hotline, admin syst&net,+ mise en route site en frame Relay etc .. en meme tmps on a pas le temps de lire les howTO pendant trois plombes !
Ceux qui comprennent tant mieux les autres tant pis.
NB ce n'est pas une attaque juste un affirmation.
Marsh Posté le 19-11-2001 à 19:23:47
Je ne pense pas que celà prenne toi plombes pour configurer un firewall via ipchains ou mieux, iptables, surtout avec de l'entrainement. C sur qu'utiliser CheckPoint Firewall-1 est plus agréable (j'aime bien ce soft) mais bon, iptable ou ipchains ou ipfilter, faut une ou deux heures pour assimiler le principe et ça roule, c pas un grand investissment. Mais je comprends aussi ton point de vue sur les interfaces graphiques, après, c une question de gout.
Marsh Posté le 19-11-2001 à 20:16:51
jamiroq > je repose ma question a tout ceux qui viennent sous linux , qui ne s'en sortent pas et qui rale de pas avoir une belle fenetre à la windoz : pourquoi viens tu sous linux ?
T'esperais y trouver un windoz stabnle ?
Marsh Posté le 19-11-2001 à 20:52:11
nicotine a écrit a écrit : jamiroq > je repose ma question a tout ceux qui viennent sous linux , qui ne s'en sortent pas et qui rale de pas avoir une belle fenetre à la windoz : pourquoi viens tu sous linux ? T'esperais y trouver un windoz stabnle ? |
L'esprit ... et d'ailleurs ca ne pleut pas les insultes ici :
c ca que je viens chercher !!!
Même si je me fais un peu allumer ..parfois, c souvent constructif et on sent l'entraide !!
En fait je viens aussi pour me dire ca y est c bon LINUX ...
(ca fait bien 7 ans que l'install test un peu ... puis je me dis pas encore abordable avec un temps minimum d'apprentissage ...)
... mais la je me dis ca y'est on a un os stable et tres puissant mais ....
il faut convaincre les gourous d'apporter la touche accessibilité (ca passe par des interface graphx simple mais completes) et C GAGNE !!! oui gagné pour enfin montrer ce qu'est un vrai OS et surtout le vrai visage de l'info. : un monde de passioné avant tout !!!
qd je vois le debut du Web l'epoque des BBS sur AMiga , et que je vois ou l'on en est avec internet tout est quasi payant maintenant !!! C triste sniff
Alors LINUX c la bouffé d'air.
A+
je vais sombreer ds les méhendres du TITA....
Marsh Posté le 19-11-2001 à 22:49:25
C'est à cause du temps nécessaire à lire la doc que les experts Linux/Unix sont payés si chères
[edtdd]--Message édité par ethernal--[/edtdd]
Marsh Posté le 20-11-2001 à 09:05:48
ethernal a écrit a écrit : C'est à cause du temps nécessaire à lire la doc que les experts Linux/Unix sont payés si chères |
ouaih ca c sure, mais il doit pas y'en avoir des masses, des vrais des experts en archi syst. et réseau. !
Marsh Posté le 20-11-2001 à 09:06:18
ethernal a écrit a écrit : C'est à cause du temps nécessaire à lire la doc que les experts Linux/Unix sont payés si chères |
Ah bon, tu es paye correctement toi ? Il faudra que tu m'expliques, j'ai surement beaucoup de choses a apprendre dans le domaine de la negociation des salaires.
Je pense faire un bon boulot ici, si j'en juge par la confiance que me porte mon directeur technique, et pourtant j'ai l'impression de ne pas etre paye comme je le devrai
Enfin... tant qu'on s'amuse...
Arno (le matin, et deja fatigue)
Marsh Posté le 20-11-2001 à 09:36:25
pouahh :!!!
Arno, fais pas le calimero avec ton salaire.
j'ai bossé 3 ans chez cap gemini et le salaire = misere ...
(Mais c vrai j'y ai appris lpein de chose sur la prod. etc ..)
Pour te dire : qd je me suis barré en province, en changeant de boite, j'ai pris 30KF !!!
Marsh Posté le 20-11-2001 à 11:36:38
Je ne fais pas mon calimero. Je plaisantais, je pensais que les smileys servaient ce but...
Ceci dit, c'est vrai que Cap Gemini a la reputation de tres mal payer les ingenieurs debutants, qu'en est-il apres quelques annees de bons et loyaux services dans leur societe...aucune idee, et honnetement, je m'en fous.
Personnellement, j'ai deja donne dans la SSII, pendant un an et demi, et maintenant que je suis dans une start-up (ou plutot une petite PME, comme il convient desormais de le dire) je ne m'en plains pas pour ce qui est du travail, des possibilites (je fais vraiment ce que je veux, comme je veux ici, et imposer Linux a ete tres facile) et surtout l'ambiance...
En revanche, je reste persuade d'etre paye moins bien que la moyenne... mais apres tout cela ne regarde que moi, et cela n'a surtout plus rien a voir avec la discussion de ce topic
Arno.
Marsh Posté le 20-11-2001 à 11:46:35
arnaud a écrit a écrit : Ah bon, tu es paye correctement toi ? Il faudra que tu m'expliques, j'ai surement beaucoup de choses a apprendre dans le domaine de la negociation des salaires. Je pense faire un bon boulot ici, si j'en juge par la confiance que me porte mon directeur technique, et pourtant j'ai l'impression de ne pas etre paye comme je le devrai Enfin... tant qu'on s'amuse... Arno (le matin, et deja fatigue) |
je bosse pas (je "recherche" ) Ce qui explique que ça me laisse bcp de temps pour lire la doc
Mais on a jamais assez de temps
Mais j'imagine qu'un consultant indépendant en Linux se fait payer un pont d'or... qd tu entends le prix auquel est loué un consultant par jour !! Enfin, je rêve là visiblement
[edtdd]--Message édité par ethernal--[/edtdd]
Marsh Posté le 19-11-2001 à 11:29:42
tout est ds la question.
un soft avec interface graphique genre watchguard sous Vindoze, mais sous LINUX .... parcque IPTABLES, netfilter ipchaines etc ... c un peu le boxon tous c truc !!!
on sait plus lequel faut utiliser et pour quoi ...