Ubuntu-fr

compte supprimé

[Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

Bonjour, je cherche à installer le logiciel Iptables dans sa dernière version que j'ai trouvé ici :

ftp://ftp.netfilter.org/pub/iptables/

J'ai récupéré l'archive appelée : 1.4.21.tar.bz2

Je l'ai décompressée dans un dossier. Et voilà ce que me dit le fichier Intall s'y trouvant :

Installation instructions for iptables
======================================

iptables uses the well-known configure(autotools) infrastructure.

	$ ./configure
	$ make
	# make install


Prerequisites
=============

	* no kernel-source required

	* but obviously a compiler, glibc-devel and linux-kernel-headers
	  (/usr/include/linux)


Configuring and compiling
=========================

./configure [options]

--prefix=

	The prefix to put all installed files under. It defaults to
	/usr/local, so the binaries will go into /usr/local/bin, sbin,
	manpages into /usr/local/share/man, etc.

--with-xtlibdir=

	The path to where Xtables extensions should be installed to. It
	defaults to ${libdir}/xtables.

--enable-devel (or --disable-devel)

	This option causes development files to be installed to
	${includedir}, which is needed for building additional packages,
	such as Xtables-addons or other 3rd-party extensions.

	It is enabled by default.

--enable-static

	Produce additional binaries, iptables-static/ip6tables-static,
	which have all shipped extensions compiled in.

--disable-shared

	Produce binaries that have dynamic loading of extensions disabled.
	This implies --enable-static.
	(See some details below.)

--enable-libipq

	This option causes libipq to be installed into ${libdir} and
	${includedir}.

--with-ksource=

	Xtables does not depend on kernel headers anymore, but you can
	optionally specify a search path to include anyway. This is
	probably only useful for development.

If you want to enable debugging, use

	./configure CFLAGS="-ggdb3 -O0"

(-O0 is used to turn off instruction reordering, which makes debugging
much easier.)

To show debug traces you can add -DDEBUG to CFLAGS option


Other notes
===========

The make process will automatically build multipurpose binaries.
These have the core (iptables), -save, -restore and -xml code
compiled into one binary, but extensions remain as modules.


Static and shared
=================

Basically there are three configuration modes defined:

 --disable-static --enable-shared (this is the default)

	Build a binary that relies upon dynamic loading of extensions.

 --enable-static --enable-shared

	Build a binary that has the shipped extensions built-in, but
	is still capable of loading additional extensions.

 --enable-static --disable-shared

	Shipped extensions are built-in, and dynamic loading is
	deactivated.

Je n'arrive pas à faire ce qu'il disent quand ils disent ceci :

but obviously a compiler, glibc-devel and linux-kernel-headers
	  (/usr/include/linux)

Je ne comprends pas comment mettre glibc-devel et linux-kernel-headers dans /usr/include/linux, j'ai regardé ils n'y sont pas, et je ne comprends pas le reste de la procédure et des options, je ne comprends pas du tout la procédure globale pour installer IPTABLES sur Ubuntu 12.04.3 LTS, merci de votre aide.

Dernière modification par -pascal34- (Le 10/02/2014, à 14:33)

tiramiseb

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

Salut,

iptables est déjà installé par défaut sur Ubuntu.

As-tu vraiment besoin de compiler la toute dernière version !? Si oui, alors :
- le compilateur c'est gcc ;
- glibc-devel c'est le paquet libc6-dev sur Ubuntu ;
- les headers du noyau c'est le paquet "linux-headers-XXX" correspondant au noyau actuellement installé.

Mais franchement, je ne vois vraiment pas ce que ça peut t'apporter de faire ça.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

compte supprimé

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

Salut et merci de ton aide tiramiseb, je voudrais tester une nouveauté sur la dernière version d'iptables, le module rpfilter exactement (et sa fonction de filtre d'attaques DDOS), c'est tout.

Merci pour tes indications, j'ai déjà tout cela d'installé(tout ce que tu viens de m'indiquer), mais je n'arrive toujours pas à les retrouver dans le dossier spécifié dans le fichier Install fourni avec la dernière version d'IPtables 1.4.21

En fait, quand je vais dans /usr/include/linux  je n'ai pas les deux choses que les conseils du fichier Install me donne, je n'ai pas ça :

_   glibc-devel
_   linux-kernel-headers

Est-ce que tu sais comment les y placer proprement stp ?

compte supprimé

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

Petite remontée si quelqu'un passe par ici, et bon dimanche.

tiramiseb

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

En fait, quand je vais dans /usr/include/linux  je n'ai pas les deux choses que les conseils du fichier Install me donne, je n'ai pas ça :

_   glibc-devel
_   linux-kernel-headers

Le contenu de /usr/include/linux correspond au paquet linux-libc-dev : ce sont les headers (en-têtes) du noyau. Ce paquet est installé automatiquement comme dépendance au paquet libc6-dev. Le paquet "linux-headers-XXX" correspondant au noyau actuellement installé, dans ton cas, est inutile : je suis allé un peu trop loin dans la traduction des besoins que tu as lus.

Il n'est en aucun cas question d'avoir un fichier ou répertoire "glibc-devel" ou "linux-kernel-headers" dans /usr/include/linux. La parenthèse s'applique au terme "linux-kernel-headers" (donc, texto, « les-en-têtes-du-noyau-linux »), pas à l'ensemble de la ligne.

Donc, tout ce qu'il faut que tu installes, c'est gcc et libc6-dev.

je voudrais tester une nouveauté sur la dernière version d'iptables, le module rpfilter exactement

Sur Ubuntu 13.10, iptables inclut déjà l'extension rpfilter (iptables version 1.4.18). Je constate que ce n'est pas le cas dans les versions précédentes d'Ubuntu.

Attention, il faut un noyau récent pour profiter de cette fonctionnalité : le noyau d'origine d'Ubuntu 12.04 (Linux 3.2) n'inclut pas rp_filter. Il ne faut pas oublier de mettre en place un noyau récent, grâce à la "hardware enablement stack".

Note également qu'iptables 1.4.18 est proposé par le PPA suivant :
https://launchpad.net/~debfx/+archive/experimental

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

compte supprimé

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

Salut et merci Tiramiseb, maintenant Synaptic m'indique que j'ai la version d'Iptables 1.4.18, et lorsque je fais cette commande dans un terminal, voilà ce que le terminal me retourne :

Je fais ça :

iptables --version

Le terminal me dit :

iptables v1.4.21

J'ai du louper quelque chose ! Mais j'ai pu affiner les réglages que je voulais !!

Dernière modification par -pascal34- (Le 10/02/2014, à 05:44)

tiramiseb

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

Salut et merci Tiramiseb, maintenant Synaptic m'indique que j'ai la version d'Iptables 1.4.18

Donc tu as installé le paquet du PPA ?

Je fais ça :

iptables --version

Le terminal me dit :

iptables v1.4.21

Tu as compilé iptables et l'as installé à partir des sources ?

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

compte supprimé

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

Oui j'ai installé le paquet du PPA, il y en avait trois dans la liste qu'il m'avait trouvé, j'ai pris les deux qui m'intéressaient concernant iptables. En fait j'ai compilé iptables plein de fois, et à chaque fois j'ai vu que ça ne fonctionnait pas (mais pour moi quand je dis que ça ne fonctionnait pas c'est à dire que j'ai fait plein de fois le :

./configure
make
# make install

Parce que j'avais un compiler et je ne recevais pas de message d'erreur apparemment, mais après chaque compilation, je redémarrai mon PC, et j'allais voir dans Synaptic si j'avais la version 1.4.21 que je venais de compiler, mais non, Synaptic m'indiquait toujours 1.4.12) Cela dit je n'ai jamais fait dans un terminal un :

iptables --version

Car je n'ai appris cette commande qu'hier soir. Il y a quelque chose qui te semble louche du coup stp ??

Pour la compilation, je susi allé sur le site officiel de "netfilter" pour récupérer l'archive d'iptables 1.4.21, je me positionnais à chaque fois dans le dossier où j'avais décompressé l'archive, et je lançai les "./configure" et "make" et " #make install" citées au dessus, voilou.

tiramiseb

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

je redémarrai mon PC, et j'allais voir dans Synaptic si j'avais la version 1.4.21 que je venais de compiler,

Quand tu compiles un logiciel, ça ne crée par magiquement un paquet, ça ne l'insère pas magiquement dans les logiciels gérés par le système.
Quand tu compiles un logiciel, c'est complètement à part de tout ça, c'est non géré par Synaptic et autres outils de gestion de paquets, c'est à toi de le gérer manuellement.

Donc tu as d'un côté iptables géré par le paquet (avant tu avais la version 1.4.12, maintenant tu as la 1.4.18 parce que tu as mis le PPA) et de l'autre côté la commande iptables que tu as compilée.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

compte supprimé

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

Je ne comprends pas la différence ? Je ne comprends pas pourquoi le fait de compiler un logiciel ne l'affiche pas dans Synaptic ? J'indique quand même un nouveau logiciel au système ? Mais mes connaissances s'arrêtent là, je ne sais pas pourquoi d'un côté en tapant dans un terminal j'ai un :

iptables --version

qui me donne ça :

iptables v1.4.21

Et d'un autre côté, dans Synaptic, une version 1.4.18 (qui vient du ppa, ça j'ai compris oui).

Mais je ne comprends pas quelle est la version que le Noyau utilise maintenant ? C'est la version 1.4.18 ou bien c'est la version 1.4.21 active sur mon PC en ce moment svp ?

tiramiseb

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

Je ne comprends pas pourquoi le fait de compiler un logiciel ne l'affiche pas dans Synaptic ?

Synaptic est une interface graphique pour apt.
apt (« advanced packaging tool ») est l'outil qui gère les paquets logiciels de ton système.
Les paquets logiciels, ce sont des fichiers ".deb" qui contiennent différentes informations permettant d'intégrer proprement ce que tu installes sur ton système.

Lorsque tu compiles un logiciel, tu mets "juste" un exécutable dans un répertoire. Tu ne crée pas de paquet logiciel, tu ne touches pas à la base de paquets d'apt.

Je voudrais t'expliquer quelque chose en complément pour que tu comprennes bien, mais d'abord j'ai besoin de savoir ce que donne la commande suivante :

which iptables

----------

je ne comprends pas quelle est la version que le Noyau utilise maintenant

Le noyau n' "utilise" pas iptables.
C'est toi qui utilises la commande iptables pour configurer Netfilter, le pare-feu du noyau.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

compte supprimé

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

Merci Tiramiseb. La commande donne ceci :

/usr/local/sbin/iptables

tiramiseb

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

Ok, c'est bien ce que je pensais.

Tu as donc :

- /sbin/iptables, en version 1.4.18, installée par le paquet.
- /usr/local/sbin/iptables, en version 1.4.21, installée par les sources.

Si tu tapes "iptables", ça utilise /usr/local/sbin/iptables, donc la version 1.4.21, que tu as compilée à partir des sources et qu'apt ne connaît pas (ce qui est normal vu qu'apt ne connaît que les paquets .deb).

/sbin/iptables --version te donnera probablement 1.4.18...

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

compte supprimé

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

Oui c'est bien cela ! As-tu une minute pour me dire la différence entre l'utilisation par le système de ces deux dossiers stp ? J'aimerai aller juste un peu plus loin et comprendre la différence entre ce que nous venons de voir :

et :

/usr/local/sbin/

et :

/sbin/

Si tu  n'as plus le temps aucun soucis, tu m'as déjà bien dépanné, merci beaucoup, et très bonne aprem, salut.

edit : je vais voir trouver un site qui parle d'arborescence de fichier sous Ubuntu, ça sera plus simple, merci à toi

Dernière modification par -pascal34- (Le 10/02/2014, à 14:06)

tiramiseb

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

J'aimerai aller juste un peu plus loin et comprendre la différence entre ce que nous venons de voir :

/usr/local/sbin/

et :

/sbin/

Les sous-répertoires de /usr/local sont dédiés aux programmes compilés manuellement par l'utilisateur.
C'est ce que tu viens de faire avec la dernière version d'iptables, tu l'as compilée et elle s'est placée, par défaut, dans /usr/local (.../sbin en l'occurrence car c'est un binaire système).

Les autres répertoires (/bin, /sbin, /usr, /var, etc) sont prévus pour les logiciels gérés par les paquets (ici, les paquets .deb).

Si les deux approches utilisaient les mêmes répertoires, alors tu aurais pu créer un gros bordel en écrasant les fichiers du paquet par tes fichiers compilés : le système aurait toujours cru que l'exécutable est celui du paquet (car il n'aurait pas été prévenu qu'il a été écrasé) et il aurait pu y avoir du grabuge.

N'oublie pas qu'un logiciel compilé doit être maintenu (mises à jour, sécurité, etc) par la personne qui l'a compilé. En l'occurrence, toi.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Haleth

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

Pour troller un peu :

1% [alex:~]dpkg -l | grep iptables
ii  iptables                              1.4.21-1                       amd64        administration tools for packet filtering and NAT

Et pour enchainer dans le quasi-hors-sujet : c'est quoi le rapport entre rpfilter et DDOS ?

---

Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

compte supprimé

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

Pour troller un peu :

1% [alex:~]dpkg -l | grep iptables
ii  iptables                              1.4.21-1                       amd64        administration tools for packet filtering and NAT

Et pour enchainer dans le quasi-hors-sujet : c'est quoi le rapport entre rpfilter et DDOS ?

Pas compris le trollage, pas les connaissances pour analyser ce que tu as mis. Sinon, absolument aucun rapport, j'ai écris DDOS alors que je pensais anti-spoofing, qui lui est géré par rpfilter, (par les lignes de commandes suivantes), désolé !

Ligne Ipv4 :

iptables -A PREROUTING -t raw -m rpfilter --invert -j DROP

et Ipv6 :

ip6tables -A PREROUTING -t raw -m rpfilter --invert -j DROP

(Ces deux lignes sont données dans le Misc 64 sur les Firewalls (Le dossier est très bon, mais il faut déjà quelques connaissances sur IPTABLES et Netfilter) sinon c'est difficile d'accès, ils sont relativement précis et fournis).

C'est ce numéro exactement : http://www.unixgarden.com/index.php/mis … en-kiosque

compte supprimé

Re : [Résolu] Cherche à installer IPTABLES + compilation noyau svp ?

J'aimerai aller juste un peu plus loin et comprendre la différence entre ce que nous venons de voir :

/usr/local/sbin/

et :

/sbin/

Les sous-répertoires de /usr/local sont dédiés aux programmes compilés manuellement par l'utilisateur.
C'est ce que tu viens de faire avec la dernière version d'iptables, tu l'as compilée et elle s'est placée, par défaut, dans /usr/local (.../sbin en l'occurrence car c'est un binaire système).

Les autres répertoires (/bin, /sbin, /usr, /var, etc) sont prévus pour les logiciels gérés par les paquets (ici, les paquets .deb).

Si les deux approches utilisaient les mêmes répertoires, alors tu aurais pu créer un gros bordel en écrasant les fichiers du paquet par tes fichiers compilés : le système aurait toujours cru que l'exécutable est celui du paquet (car il n'aurait pas été prévenu qu'il a été écrasé) et il aurait pu y avoir du grabuge.

N'oublie pas qu'un logiciel compilé doit être maintenu (mises à jour, sécurité, etc) par la personne qui l'a compilé. En l'occurrence, toi.

Merci beaucoup pour toutes ces explications et ces derniers conseils, j'ai créé un fichier odt où je stocke les commandes à faire régulièrement pour entretenir le système ou bien l'analyser, anti-rootkit etc... Je vais mettre l'adresse de http://netfilter.org/ pour choper les mises à jours dès qu'elles tombent du coup.

Je me sens moins con, merci.

Dernière modification par -pascal34- (Le 10/02/2014, à 14:49)