Contenu | Rechercher | Menus

Annonce

Ubuntu-fr.org recrute toujours de nouveaux modérateurs, avec de l'expérience.

Ubuntu 16.04 LTS
Commandez vos DVD et clés USB Ubuntu-fr !

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

nombre réponses : 25

#0 -1 »  quel NAS pour faire un backup avec rsync ? » Le 24/08/2016, à 10:15

jejeman
Réponses : 0

Bonjour,

Aujourd'hui, je fais un backup de mes données via rsync sur un disque externe que je branche en USB quand je veux faire une sauvegarde.
Je voudrais changer cela par un NAS que je brancherai sur mon réseau local, derrière ma box. Comme ça je pourrais mettre mon script de backup dans un cron et faire des backup régulièrement.
Et de plus, je pensais que je pourrais même faire des backup à distance via internet si besoin.
Du coup il me faut un NAS qui accepte les connexions rsync...
Avez-vous des produits à me conseiller ?
Merci.

#1 -1 »  analyse de paquet tcpdump » Le 14/01/2016, à 15:36

jejeman
Réponses : 5

Bonjour,

J'ai un serveur hébergé chez un prestataire.
Quand je fais un iftop, je vois des connexions "bizarre".
Donc j'ai fait un tcpdump de 10000 paquets que je regarde avec wireshark
Du coup j'ai une question : à chaque connexion, l'adresse IP de mon serveur doit apparaître dans la colonne source ou destination selon la connexion, n'est-ce pas ?
Car la je vois des connexions dont la source et la destination ne concerne pas mon serveur...
Est-ce que ce sont des paquets qu'il prend sur le réseau ? est-ce normal de les voir ?
Merci de vos éclaircissements.

#2 Re : -1 »  analyse de paquet tcpdump » Le 14/01/2016, à 17:01

jejeman
Réponses : 5

Voici une copie d'écran de wireshark
http://img15.hostingpics.net/pics/37032619ws.jpg
En bleu, ce sont les requêtes bizarres
En vert, celles qui sont légitimes, car mon IP est 198.12.XX.XX
Est-ce normal que ces requêtes bleues apparaissent dans la capture ?
Merci.


Modération : merci d'utiliser des images de petite taille (300x300) ou des miniatures pointant sur ces images (Des hébergeurs comme Toile Libre ou TDCT'Pix le permettent).

#3 Re : -1 »  analyse de paquet tcpdump » Le 15/01/2016, à 14:24

jejeman
Réponses : 5

Oui c'est bien un serveur "cloud"
Du coup est-ce normal que je vois ces trames passer ?
Faut-il m'inquiéter ?

#4 -1 »  samba: configuration introuvable » Le 13/01/2016, à 13:39

jejeman
Réponses : 2

Bonjour,
J'ai un ubuntu 12.04 qui sert de serveur de fichier avec samba sur un réseau windows.
Ce matin, mes 2 partages sont inaccessibles : je les vois, mais quand je clique dessus "access denied"
Donc je me suis connecté sur le serveur pour vérifier la configuration.
Dans le fichier /etc/smb.conf aucune trace de mes partages !
Quand je fais un testparm, aucune trace non plus !
Et pourtant ils sont là, il apparaissent bien dans l'explorateur de fichiers...
J'ai ajouté un nouveau partage dans le smb.conf, ça marche, il apparaît bien à côté des 2 autres.
Si je le supprime il disparaît, mais les 2 autres restent. Est-ce un problème de cache ?
Du coup je ne sais plus où chercher...
Une idée ?
Merci.

#5 Re : -1 »  samba: configuration introuvable » Le 14/01/2016, à 14:02

jejeman
Réponses : 2

oui je l'ai arrêté puis redémarré, ça change rien
Mais j'ai trouvé où était caché la configuration de mes partage, ici : /var/lib/samba/usershares/
Pourquoi ? comment ? J'en sais rien...
Mais bon je vais pouvoir les enlever et repartir propre...

#6 -1 »  apache probleme de Require ip » Le 06/01/2016, à 17:34

jejeman
Réponses : 10

Bonjour,

J'ai installé cacti sur mon server ubuntu 14.04 sans problème.
Je voudrais restreindre les droits d'accès à mon adresse IP
Comme je suis avec apache 2.4, dans le fichier de conf, je modifie :

Require all granted

par

Require ip XX.XX.XX.XX

sauf que du coup ça ne fonctionne plus
Dans les logs apache me dit :

[Wed Jan 06 08:27:37.498496 2016] [access_compat:error] [pid 15209] [client XX.XX.XX.XX:48324] AH01797: client denied by server configuration: /usr/share/cacti/site/

Du coup je ne sais plus... une idée ?

#7 Re : -1 »  apache probleme de Require ip » Le 06/01/2016, à 17:55

jejeman
Réponses : 10

Je ne sais pas pourquoi il me donne ce port...
Dans tous les cas, si je précise un port ou * dans la commande Require, j'ai une erreur

AH00526: Syntax error on line 11 of /etc/apache2/sites-enabled/cacti.conf:
ip address 'XX.XX.XX.XX:*' appears to be invalid: The specified IP address is invalid.
Action '-t' failed.

#8 Re : -1 »  apache probleme de Require ip » Le 06/01/2016, à 18:26

jejeman
Réponses : 10

Merci Bruno, je crois que tu as mis le doigt sur le problème.
J'ai regardé dans les modules chargés et j'ai les 2 :

$ apachectl -M
Loaded Modules:
 access_compat_module (shared)
 authz_core_module (shared)
 authz_host_module (shared)
 authz_user_module (shared)

Du coup ce n'est peut-être pas bon d'avoir les 2 chargés en même temps ?
Lequel faut-il garder ?
Merci.

#9 Re : -1 »  apache probleme de Require ip » Le 06/01/2016, à 18:38

jejeman
Réponses : 10

OK je vais regarder.
Par contre pour un virtualhost donné, comment on sait si apache va utiliser un Require ou un Allow/Deny ?

#10 Re : -1 »  apache probleme de Require ip » Le 06/01/2016, à 19:19

jejeman
Réponses : 10

Ah d'accord...
Du coup quels sont ses critères de choix ?
Faut il que je mette les 2 syntaxes dans mes fichiers de configuration ?
Et donc pour simplifier le tout,  ne vaut il pas mieux en désactiver un ?
Merci pour vos conseils

#11 Re : -1 »  apache probleme de Require ip » Le 07/01/2016, à 11:44

jejeman
Réponses : 10

Merci de ta réponse Bruno
je vais mettre tout ça d'aplomb !

#12 -1 »  configuration d'apache dans des sous répertoires » Le 24/12/2015, à 12:40

jejeman
Réponses : 3

Bonjour,
J'utilise un serveur ubuntu 14.04 avec apache qui me gère plusieurs domaine et site web.
J'utilise les virtualhost pour rediriger les requetes entrantes sur apache vers le bon site web.
Pour le moment, j'ai 1 fichier de conf par virtualhost et il se trouve dans /etc/apache2/site-enabled/
Cependant, pour clarifier la configuration, j'aurai bien créé des sous répertoires sous site-enabled/ avec le nom du domain et dedans tous les conf qui vont avec.
Sauf que j'ai l'impression que apache ne lit pas dans les sous répertoires de site-enabled/
C'est possible ?
Merci de votre aide.

#13 Re : -1 »  configuration d'apache dans des sous répertoires » Le 24/12/2015, à 15:16

jejeman
Réponses : 3

OK, merci pour votre retour.

#14 -1 »  iptables sans conntrack » Le 15/12/2015, à 17:37

jejeman
Réponses : 36

Bonjour,
Je viens de prendre un serveur "dédié" chez godaddy avec ubuntu 14.04
Mais en fait il n'est pas si dédié que ça puisque à part CPU, ram et disk, le reste est virtualisé et du coup je n'ai pas accès aux modules du kernel.
Je suis en train de configurer iptables pour sécuriser le serveur et je voudrais notamment accepter les connection dont l'état est established
Or pour cela, il a besoin d'avoir le module conntrack activé sur le kernel et j'ai l'impression que ce n'est pas le cas.
Comment configurer proprement iptables sans conntrack ?
Merci de votre aide.

#15 Re : -1 »  iptables sans conntrack » Le 17/12/2015, à 12:53

jejeman
Réponses : 36

Bonjour et merci à tous pour vos réponses.
Alors il s'agit d'un serveur dédié (dedicated server), mais ils proposent aussi des serveurs virtuel (virtual private server).
Après échange avec le support, c'est eux qui gère l'image de la distrib qu'ils mettent et donc tu ne peux pas gérer les modules chargés par le kernel.
Dans mon cas, je voudrai sécuriser l'accès avec iptables :
- autoriser le traffic sortant
- autoriser le traffic HTTP entrant
- autoriser que mon PC en SSH

Voici ce que me donne iptables au départ :

~$ sudo iptables -nvL --line-number
Chain INPUT (policy ACCEPT 19884 packets, 2062K bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 4951 packets, 530K bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Je veux autoriser les connexions entrantes déjà établies et ça bloque avec state

~$ sudo iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name.

Alors que ça, ça passe :

~$ sudo iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx --dport 22 -j ACCEPT

Sur ce site http://www.inetdoc.net/guides/iptables- … gging.html ils disent que ça bloque si le module n'est pas chargé dans le noyau
Et comme j'ai pas accès au noyau, je me posais la question...
Mais peut-être que je suis dans le faux...
Merci de votre aide.

#16 Re : -1 »  iptables sans conntrack » Le 17/12/2015, à 16:38

jejeman
Réponses : 36

Alors voilà les infos noyau :

~$ uname -a
Linux sxxx-xx-xxx-xxx.secureserver.net 3.13.0-042stab111.11 #1 SMP Tue Sep 1 18:19:12 MSK 2015 x86_64 x86_64 x86_64 GNU/Linux

Pour robindesbois, c'est un serveur web essentiellement que je veux mettre en place. Donc au niveau des règles autoriser mon PC a accèder en SSH, ouvrir les ports 80 et 443 pour le web pour tout le monde, ouvrir le port 3306 pour mon PC pour mysql et bloquer tout le reste. J'ai déjà un autre serveur qui fait globalement la même chose et dont voici les règles que j'ai mis en place.

Chain INPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      266  195K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
2      611 64140 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
3        0     0 ACCEPT     tcp  --  *      *       XX.XX.XX.XXX         0.0.0.0/0           tcp dpt:22 flags:0x17/0x02
4        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2121
6        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:40000:40100
7       51  2652 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 flags:0x17/0x02
8        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
9        1    60 ACCEPT     tcp  --  *      *       XX.XX.XX.XXX         0.0.0.0/0           tcp dpt:3306
10       2   168 ACCEPT     icmp --  *      *       XX.XX.XX.XXX         0.0.0.0/0
11      17  2932 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `Reject INPUT packets '
12      17  2932 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      940  578K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
2        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `Reject OUTPUT INVALID packets'

Mon problème est que lorsque je veux ajouter ma règle #2 ça ne marche pas :

~$ sudo iptables -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED 
iptables: No chain/target/match by that name.

#17 Re : -1 »  iptables sans conntrack » Le 17/12/2015, à 18:27

jejeman
Réponses : 36

Pour robindesbois, je commence avec une table de règle vide :

$ sudo iptables -t filter -L --line-numbers -vn
Chain INPUT (policy ACCEPT 15 packets, 1130 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 7 packets, 956 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Ensuite je veux créer la première règle pour autoriser le loopback et donc j'écris :

$ sudo iptables -A INPUT -j ACCEPT -i lo

Je vérifie, pas de souci, la règle est créée :

$ sudo iptables -t filter -L --line-numbers -vn
Chain INPUT (policy ACCEPT 9 packets, 660 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 5 packets, 692 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Ensuite je veux écrire la deuxième règle pour autoriser le trafic entrant d'une connexion déjà établie :

$ sudo iptables -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED 
iptables: No chain/target/match by that name.

Et là ça pêche...
Merci.

#18 Re : -1 »  iptables sans conntrack » Le 18/12/2015, à 11:28

jejeman
Réponses : 36

Pour bruno, le répertoire /boot/ est vide

Pour robindesbois les règles que je montrais dans le #10 sont issues de règles que j'avais écrites pour un autre serveur et j'aurai voulu mettre en place les mêmes règles pour ce nouveau serveur.
Voici les règles que j'avais utilisé à l'époque

sudo iptables -A INPUT -j ACCEPT -i lo
sudo iptables -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED 
sudo iptables -A INPUT -p tcp -s XX.XX.XX.XXX --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 2121 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -s XX.XX.XX.XXX --dport 3306 -j ACCEPT
sudo iptables -A INPUT -p icmp -s XX.XX.XX.XXX -j ACCEPT
sudo iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable

sudo iptables -A OUTPUT -j ACCEPT -m state --state NEW,RELATED,ESTABLISHED 

Mais dès que j'utilise le paramètre "state" la règle ne fonctionne pas

Pour info, j'ai installé un ubuntu 14.04 sur mon PC en vbox, j'ai essayé de recréer mes règles, le parametre "state" ne pose pas de soucis
Il y a donc un problème avec cette version de ubuntu...

#19 Re : -1 »  iptables sans conntrack » Le 18/12/2015, à 12:31

jejeman
Réponses : 36

Pour @mazarani en effet, c'est bien l'offre dont tu parles... Donc ça ressemble plus à du serveur virtuel que du dédié....
Pour @robindesbois, j'ai essayé, le -j ACCEPT à la fin ou non c'est pas mieux ! Et iptables sans pouvoir gérer du "state" ça va pas être facile...
Merci pour les conseil d'hébergeur, mais j'ai une contrainte, il faut qu'il soit aux USA...
Du coup je vais contacter godaddy je crois...
Merci à tous.

#20 Re : -1 »  iptables sans conntrack » Le 18/12/2015, à 13:37

jejeman
Réponses : 36

T'inquietes pas @robindesbois, je pense que le problème n'est pas sur iptables mais sur le serveur.
J'ai repris les règles dans l'ordre que tu donnes dans ton post #20 et ca bloque sur le reject et sur le state

$ sudo iptables -A INPUT --reject-with icmp-port-unreachable -j REJECT
iptables v1.4.21: unknown option "--reject-with"
Try `iptables -h' or 'iptables --help' for more information.
$ sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name.

Alors que ça marche très bien sur un ubuntu 14.04 en mode virtualbox...

On peut installer un autre noyau ?

#21 Re : -1 »  iptables sans conntrack » Le 18/12/2015, à 15:53

jejeman
Réponses : 36
robindesbois a écrit :

Pour le statefull, option très utile d'iptables, (quand activée avec l'option "-m state --state"), ça pourrait donner ce type de règles au finales (mais là Jejeman, il faudra que tu réfléchissent avant de mettre NEW ou de l'enlever, moi je te donne ce que j'ai compris de tes règles, donc j'ai mis du NEW là où je pense qu'il le faut, mais à toi de l'ajouter ou de l'enlever selon tes besoin) :

sudo iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -s XX.XX.XX.XXX --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED --dport 2121 -j ACCEPT
sudo iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -s XX.XX.XX.XXX --dport 3306 -j ACCEPT
sudo iptables -A INPUT -p icmp -m state --state NEW,RELATED,ESTABLISHED -s XX.XX.XX.XXX -j ACCEPT
sudo iptables -A INPUT --reject-with icmp-port-unreachable -j REJECT
sudo iptables -A INPUT -i lo -j ACCEPT

sudo iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

Edit : j'ai viré la règle là de tes lignes, elle ne me semble pas utile du tout, et surtout pas logique, cette ligne là ne sert à rien pour moi :

sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Parce que toutes les lignes que je viens te donner au dessus comporte déjà l'option "-m state --state", Iptables a une logique d'utilisation, il faut s'y référer, à plus.


edit 2 : tu n'avais pas non plus autorisé l'interface lo en OUTPUT, je l'ai rajouté.

Merci de ta patience, je reconnais qu'au début certaines de mes règles pouvaient paraître erronées pour iptables, mais ce qui m'épate, c'est pourquoi elles sont acceptées sur un autre iptables d'un autre serveur...
Cependant, j'ai repris mes règles que tu as ré-écrites correctement dans ton post #22 (ci-dessus)

Pour commencer, on repart de zéro, j'ai donc fait un iptables -F et j'ai ensuite vérifié que les règles ont bien disparues...

$ sudo iptables -F
$ sudo iptables -nvL
Chain INPUT (policy ACCEPT 9 packets, 660 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 5 packets, 580 bytes)
 pkts bytes target     prot opt in     out     source               destination     

Ensuite, je prends la 1ère règle que tu as donné et j'essaie de l'appliquer : (bien sûr j'ai remplacé les XX par mon IP)

$ sudo iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -s XX.XX.XX.XX --dport 22 -j ACCEPT
iptables: No chain/target/match by that name.

Elle ne passe pas.

C'est toi qui m'a corrigé cette règle et pourtant elle ne passe pas... D'où ça peut venir ?

#22 Re : -1 »  iptables sans conntrack » Le 18/12/2015, à 18:42

jejeman
Réponses : 36

@robindesbois Je te mets une copie d'écran de ce que je fais, comme ça, ça fera comme si tu étais derrière mon épaule... (j'ai juste enlevé les adresses IP)

$ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:18:51:b5:09:00  
          inet addr:XXX.XXX.XXX.XXX  Bcast:XXX.XXX.XXX.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:23087 errors:0 dropped:0 overruns:0 frame:0
          TX packets:147 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:4130208 (4.1 MB)  TX bytes:16907 (16.9 KB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

$ sudo iptables -nvL
Chain INPUT (policy ACCEPT 274 packets, 28384 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 146 packets, 18563 bytes)
 pkts bytes target     prot opt in     out     source               destination         
$ sudo iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -s XX.XX.XX.XX --dport 22 -j ACCEPT
iptables: No chain/target/match by that name.

#23 Re : -1 »  iptables sans conntrack » Le 21/12/2015, à 17:08

jejeman
Réponses : 36

OK je viens d'avoir la confirmation de godaddy : The state module wont work on the server and cannot be added to the kernel.
je crois que c'est clair.
Merci à tous !

#24 Re : -1 »  configuration DC avec ubuntu » Le 16/11/2015, à 18:54

jejeman
Réponses : 5

Ca y est ça fonctionne !!
Samba est configuré et j'ai pu, à partir d'un poste windows, installer les RSAT microsoft et administrer mon serverur samba (création des users, etc...)
Par contre concernant les dossiers partagés, j'ai un souci.
Dans mes dossiers et fichiers si on dépasse les 255 caractères, windows n'aime pas et aussi samba !
Or sur mon filesystem linux, si je crée des dossiers/fichiers qui dépassent, ça ne lui pose pas de problème, je peux même les parcourir avec samba sous windows, mais impossible de les renommer/modifier...
Du coup comment est-ce que je peux faire pour partager des dossiers dont les noms dépasseront cette limite ?
Merci de votre aide.