Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#26 Le 18/12/2015, à 13:29

robindesbois

Re : iptables sans conntrack

jejeman a écrit :

T'inquietes pas @robindesbois, je pense que le problème n'est pas sur iptables mais sur le serveur.
J'ai repris les règles dans l'ordre que tu donnes dans ton post #20 et ca bloque sur le reject et sur le state

$ sudo iptables -A INPUT --reject-with icmp-port-unreachable -j REJECT
iptables v1.4.21: unknown option "--reject-with"
Try `iptables -h' or 'iptables --help' for more information.
$ sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name.

Alors que ça marche très bien sur un ubuntu 14.04 en mode virtualbox...

On peut installer un autre noyau ?

Mais c'est normal que tes deux règles là bloquent, elles ne sont pas correct pour Iptables, et la deuxième, comme je te le dis dans mes précédent message (en plus de n'être pas correct, elle te bloquera toutes tes règles du dessus, elle ne sert à rien la deuxième. J'ai étudié Iptables pendant sept ans...J'ai lu les page de son mode d'emploi en long en large et en travers, ça ne marchera jamais et iptables te le dit (de consulter l'aide avec sa phrase : Try `iptables -h' or 'iptables --help' for more information. ) Plus clair que cela le logiciel ne peut pas être.

Tant que resteras dans "ta logique" de vouloir lui faire faire des choses qui ne sont pas correct dans leur syntaxe, plus vouloir lui faire faire des choses que tu penses toi, logique, automatiquement ça ne marchera pas, le logiciel possède un mode d'emploi complet mais aussi complexe, tes erreurs je les vois, je les connais, je te les explique, tu continues à en faire à ta tête, là je peux pas faire grand chose pour ça. Bon courage, ça peut marcher tout de suite en rectifiant tes règles, et en ne mettant pas celle qui est la seconde, qui est incorrecte donc et qui te bloquera toutes les autres, bref, repasses quand tu auras compris que je connais Iptables, et que je te dis où sont tes erreurs, ou après avoir été vérifier dans le mode d'emploi d'Iptables, en ligne, en français, et sur le site officiel de Netfilter, pffff, moi je suis débile hein, je lis les modes d'emploi, et je viens les transmettre sur les forums, après les gens qui écoutent pas c'est commun, il faut juste les diriger vers le mode d'emploi officiel du logiciel qu'ils essaient de maîtriser, mais quand ils t'écoutent pas ces gens là, qu'est-ce que tu peux faire ? Il faudra que tu m'expliques big_smile


Repasse après, t'inquiètes, je reste là... Enfin je bouge l'aprem, mais je repasserai ce soir voir que tu as une énième fois fait les trucs qu'il y a dans ta tête, et pas dans le mode d'emploi officiel d'Iptables, et pas suivi les recommandations retournées par ton terminal d'aller consulter la doc, l'aide en ligne quoi, bon à toute wink

Hors ligne

#27 Le 18/12/2015, à 13:42

robindesbois

Re : iptables sans conntrack

Enfin c'est criant, tu ne sais pas ce que tu fais, et je m'en rends compte, je te dis où sont tes erreurs et tu ne les rectifies pas. À quoi ça sert de venir demander de l'aide sur un forum sur tu corriges pas les erreurs que les membres qui connaissent Iptables te signalent ?

Pfff !!! Bon, à plus !

Dernière modification par robindesbois (Le 18/12/2015, à 13:42)

Hors ligne

#29 Le 18/12/2015, à 14:53

jejeman

Re : iptables sans conntrack

robindesbois a écrit :

Pour le statefull, option très utile d'iptables, (quand activée avec l'option "-m state --state"), ça pourrait donner ce type de règles au finales (mais là Jejeman, il faudra que tu réfléchissent avant de mettre NEW ou de l'enlever, moi je te donne ce que j'ai compris de tes règles, donc j'ai mis du NEW là où je pense qu'il le faut, mais à toi de l'ajouter ou de l'enlever selon tes besoin) :

sudo iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -s XX.XX.XX.XXX --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED --dport 2121 -j ACCEPT
sudo iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -s XX.XX.XX.XXX --dport 3306 -j ACCEPT
sudo iptables -A INPUT -p icmp -m state --state NEW,RELATED,ESTABLISHED -s XX.XX.XX.XXX -j ACCEPT
sudo iptables -A INPUT --reject-with icmp-port-unreachable -j REJECT
sudo iptables -A INPUT -i lo -j ACCEPT

sudo iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

Edit : j'ai viré la règle là de tes lignes, elle ne me semble pas utile du tout, et surtout pas logique, cette ligne là ne sert à rien pour moi :

sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Parce que toutes les lignes que je viens te donner au dessus comporte déjà l'option "-m state --state", Iptables a une logique d'utilisation, il faut s'y référer, à plus.


edit 2 : tu n'avais pas non plus autorisé l'interface lo en OUTPUT, je l'ai rajouté.

Merci de ta patience, je reconnais qu'au début certaines de mes règles pouvaient paraître erronées pour iptables, mais ce qui m'épate, c'est pourquoi elles sont acceptées sur un autre iptables d'un autre serveur...
Cependant, j'ai repris mes règles que tu as ré-écrites correctement dans ton post #22 (ci-dessus)

Pour commencer, on repart de zéro, j'ai donc fait un iptables -F et j'ai ensuite vérifié que les règles ont bien disparues...

$ sudo iptables -F
$ sudo iptables -nvL
Chain INPUT (policy ACCEPT 9 packets, 660 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 5 packets, 580 bytes)
 pkts bytes target     prot opt in     out     source               destination     

Ensuite, je prends la 1ère règle que tu as donné et j'essaie de l'appliquer : (bien sûr j'ai remplacé les XX par mon IP)

$ sudo iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -s XX.XX.XX.XX --dport 22 -j ACCEPT
iptables: No chain/target/match by that name.

Elle ne passe pas.

C'est toi qui m'a corrigé cette règle et pourtant elle ne passe pas... D'où ça peut venir ?


Jérôme ;)

Hors ligne

#30 Le 18/12/2015, à 15:37

mazarini

Re : iptables sans conntrack

Sur mon serveur (qui utilise RELATED, etc) :

root@router:~# lsmod | grep conntrack
nf_conntrack_ipv6      13605  3 
nf_defrag_ipv6         33358  1 nf_conntrack_ipv6
xt_conntrack           12681  6 
nf_conntrack_ipv4      18448  4 
nf_defrag_ipv4         12483  1 nf_conntrack_ipv4
nf_conntrack           87424  7 ipt_MASQUERADE,nf_nat,nf_nat_ipv4,xt_conntrack,iptable_nat,nf_conntrack_ipv4,nf_conntrack_ipv6
x_tables               27111  9 xt_physdev,ip6table_filter,ip_tables,xt_tcpudp,ipt_MASQUERADE,xt_conntrack,xt_multiport,iptable_filter,ip6_tables
root@router:~# 

Chez moi (pas d'iptables)

pascal@su740:~/dev/www.symfony.dev/sources$ sudo lsmod | grep conntrack
(pas de résultat)
pascal@su740:~/dev/www.symfony.dev/sources$ sudo modprobe nf_conntrack 
pascal@su740:~/dev/www.symfony.dev/sources$ sudo lsmod | grep conntrack
nf_conntrack           87424  0 
pascal@su740:~/dev/www.symfony.dev/sources$ 

Ca peut te donner une idée si conntrack est chargé/chargeable dans le noyau. (je n'ai pas suivi les pb de syntaxe iptables)

Autrement OVH est présent au Canada si ca peut le faire.(https://www.soyoustart.com/ca/fr/ ou https://www.ovh.com/ca/fr/serveurs-dedies/)


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne

#31 Le 18/12/2015, à 16:13

robindesbois

Re : iptables sans conntrack

jejeman a écrit :

C'est toi qui m'a corrigé cette règle et pourtant elle ne passe pas... D'où ça peut venir ?

Il y a quelque chose qu'il faut que tu assimiles aussi (pour que je puisse répondre à la question que je viens de reprendre de ton dernier message juste au dessus), je suis désolé de le dire comme ça, mais enfin lis la suite.

Lorsque tu demandes de l'aide sur Iptables, il faut donner toutes les règles (quand on travaille sur Iptables et que l'on est amené à les changer pour trouver ce qui ne va pas), et que l'on le fait à distance (ici demande d'aide sur un forum), il est alors impossible à la personne en face(moi, les autres), de comprendre ce qui ne va pas, si tu ne redonnes pas tes règles complètes à chaque fois.

Donc actuellement qu'elles sont exactement toutes les règles que tu tapes pour paramétrer Iptables stp ? Il faut que tu me les transmette dans leur intégralité s'il te plaît, sinon je ne peux rien faire !!!

Qu'elle est ton architecture réseau aussi, (le savoir me permettra de te trouver la règle Iptables adéquate), tu es sur un réseau basé sur eth0 ou tun0 comme interface stp ? (ou autre....) ?

Merci...

Dernière modification par robindesbois (Le 18/12/2015, à 17:00)

Hors ligne

#32 Le 18/12/2015, à 17:42

jejeman

Re : iptables sans conntrack

@robindesbois Je te mets une copie d'écran de ce que je fais, comme ça, ça fera comme si tu étais derrière mon épaule... (j'ai juste enlevé les adresses IP)

$ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:18:51:b5:09:00  
          inet addr:XXX.XXX.XXX.XXX  Bcast:XXX.XXX.XXX.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:23087 errors:0 dropped:0 overruns:0 frame:0
          TX packets:147 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:4130208 (4.1 MB)  TX bytes:16907 (16.9 KB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

$ sudo iptables -nvL
Chain INPUT (policy ACCEPT 274 packets, 28384 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 146 packets, 18563 bytes)
 pkts bytes target     prot opt in     out     source               destination         
$ sudo iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -s XX.XX.XX.XX --dport 22 -j ACCEPT
iptables: No chain/target/match by that name.

Dernière modification par jejeman (Le 18/12/2015, à 17:43)


Jérôme ;)

Hors ligne

#33 Le 18/12/2015, à 19:15

mazarini

Re : iptables sans conntrack

Ca marche pour moi :

pascal@su740:~$ sudo iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -s 1.1.1.1 --dport 22 -j ACCEPT
[sudo] password for pascal: 
pascal@su740:~$ 

Regardes mon poste précédent à tout hasard pour le chargement des modules.

Edit : On voie le changement sur mon PC avec le chargement des modules qui n'était pas la avant :

pascal@su740:~$ lsmod | grep conn
nf_conntrack_ipv4      18448  1 
nf_defrag_ipv4         12483  1 nf_conntrack_ipv4
xt_conntrack           12681  1 
nf_conntrack           87424  2 xt_conntrack,nf_conntrack_ipv4
x_tables               27111  4 ip_tables,xt_tcpudp,xt_conntrack,iptable_filter
pascal@su740:~$ 

Dernière modification par mazarini (Le 18/12/2015, à 19:16)


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne

#34 Le 19/12/2015, à 09:41

bruno

Re : iptables sans conntrack

C'est tout de même extraordinaire cet acharnement sur iptables, alors qu'il est clair que jejeman utilise un serveur virtualisé et qu'il n'a pas accès aux modules du noyau requis.

Avec une confirmation supplémentaire ici :

eth0      Link encap:Ethernet  HWaddr 00:18:51:b5:09:00

-> l'adresse MAC correspond à la société Swsoft (Parrallels) qui fournit des solutions de virtualisation…

Hors ligne

#35 Le 19/12/2015, à 15:44

robindesbois

Re : iptables sans conntrack

wink

Hors ligne

#36 Le 21/12/2015, à 16:08

jejeman

Re : iptables sans conntrack

OK je viens d'avoir la confirmation de godaddy : The state module wont work on the server and cannot be added to the kernel.
je crois que c'est clair.
Merci à tous !


Jérôme ;)

Hors ligne

#37 Le 22/12/2015, à 11:03

mazarini

Re : iptables sans conntrack

Tu peux essayer www.gandi.net, ils ont des vm à Baltimore.
Je les trouve un peu cher, mais il y a un bon service.


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne