Question sur iptables

Question sur iptables - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 20-09-2004 à 23:19:04    

Je n'ai pas bien compris une chose : la règle FORWARD marche à la fois pour les paquets entrant et sortant de l'ordinateur avec qui on partage la connexion ? Il n'y a pas d'équivalent d'INPUT et OUTPUT ?
Si ma question n'est pas claire dites le j'essairai de préciser au maximum.
Merci d'avance :jap:

Reply

Marsh Posté le 20-09-2004 à 23:19:04   

Reply

Marsh Posté le 20-09-2004 à 23:26:36    

http://christian.caleca.free.fr/netfilter/iptables.htm


---------------
Intermittent du GNU
Reply

Marsh Posté le 21-09-2004 à 10:23:04    

Merci pour le lien (j'ai trouvé le lien de lea qui était pas mal aussi).
J'ai décidé d'installer arno's iptables d'après plusieurs liens que j'ai trouvé.
Cela fonctionne bien sauf pour une chose : j'ai des erreurs avec la table mangle qui n'est pas en mémoire. Hors je pense que je n'ai pas besoin de cette table pour mon utilisation, donc comment faire pour que arno's iptables n'utilise pas cette table ?

Reply

Marsh Posté le 21-09-2004 à 10:31:18    

je ne sais pas , peut etre demandé au créateur du script .
 

Reply

Marsh Posté le 21-09-2004 à 11:07:57    

ou alors faire un modprobe iptable_mangle déjà :o

Reply

Marsh Posté le 21-09-2004 à 11:20:56    

bmo> c'est inclus dans le script tous les modprobe & co .


---------------
Intermittent du GNU
Reply

Marsh Posté le 21-09-2004 à 11:45:45    

je dis ça parce que c'est géré par kmod et les dépendances des modules, c'est pas le script qui les charge et vu que j'ai eu le problème au passage au 2.6 :o
 
mais bon, ça vient peut-être pas de là, je propose

Reply

Marsh Posté le 21-09-2004 à 14:22:16    

Je n'ai pas de module iptable_mangle en fait (rien dans le rep de /lib/modules qui contient iptable_filter).
 
Au fait : Debian avec 2.6.8.1


Message édité par freewol le 21-09-2004 à 14:22:27
Reply

Marsh Posté le 21-09-2004 à 15:52:20    

Ds le noyaux, recompile avec ca :
 
Device Drivers  --->
Networking support  --->    
Networking options  --->  
Network packet filtering (replaces ipchains)  --->
IP: Netfilter Configuration  --->
<M> Packet mangling
_<M>   TOS target support
_<M>   ECN target support                                                                            
_<M>   DSCP target support                                                                        
_<M>   MARK target support                                                                            
_<M>   CLASSIFY target support


Message édité par seb666 le 21-09-2004 à 15:53:57
Reply

Marsh Posté le 21-09-2004 à 15:55:20    

ok ça c'est si je veux activer Mangle, mais si je ne veux pas l'utiliser, je ne peux pas ?
Merci pour ta réponse :jap:

Reply

Marsh Posté le 21-09-2004 à 15:55:20   

Reply

Marsh Posté le 21-09-2004 à 16:03:54    

essaye dans la conf (General settings) :
MANGLE_TOS=0


Message édité par seb666 le 21-09-2004 à 16:04:44
Reply

Marsh Posté le 21-09-2004 à 16:38:33    

Ok ça enlève toutes les erreurs de la fin.
J'ai par contre toujours qques erreurs au début, mais c'est déjà bcp moins génant. Pour info :

Flushing rules in the filter table.
iptables v1.2.6a: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.2.6a: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Setting default secure policies.
iptables v1.2.6a: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.2.6a: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Enabling anti-spoof with rp_filter.


Reply

Marsh Posté le 21-09-2004 à 16:59:25    

Ouaip c'est rien, si tu regarde le code tu comprendra vite fait :D
 
T'as moins d'erreurs car :

Code :
  1. if [ "$MANGLE_TOS" == "1" ]; then
  2.       modprobe iptable_mangle           # Implements the mangle table
  3.       modprobe ipt_tos                  # Permits TOS checking on a packet
  4.     fi


et le chargement de la table TOS est zappé :

Code :
  1. if [ "$MANGLE_TOS" == "1" ]; then
  2.     # Mangles the TOS on standard ports so they get priority in routers
  3.     ###################################################################
  4.     [...]


 
Mais t'as des trucs non conditionnés que tu peux conditionner ou virer :

Code :
  1. [...]
  2.       $IPTABLES -t mangle -Z
  3.   [...]   
  4.   # Flush rules/delete user chains
  5.   ################################
  6.   [...]
  7.   $IPTABLES -t mangle -F
  8.   $IPTABLES -t mangle -X
  9.   [...]
  10.   # Set standard policies for the tables (drop = very secure)
  11.   ###########################################################
  12.   [...]
  13.   $IPTABLES -t mangle -P OUTPUT ACCEPT
  14.   $IPTABLES -t mangle -P PREROUTING ACCEPT
  15.   [...]
  16.   ## Flush Rules/Delete User Chains
  17.   [...]
  18.   $IPTABLES -t mangle -F
  19.   $IPTABLES -t mangle -X
  20.   [...]


Message édité par seb666 le 21-09-2004 à 17:04:30
Reply

Marsh Posté le 21-09-2004 à 18:05:38    

Ah ok merci bcp.
C'est vrai que j'ai pas vraiment le réflexe de regarder le programme en lui même, plutôt le fichier de conf, et du coup j'avais pas trouvé ça.
Merci encore :jap:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed