Comportement curieux d'IPTABLES
Comportement curieux d'IPTABLES - Codes et scripts - Linux et OS Alternatifs
Marsh Posté le 07-12-2008 à 22:10:59
Non je ne pense pas, le port 22 est bien le port source de l'ordinateur sur lequel j'exécute iptables.
Marsh Posté le 07-12-2008 à 22:38:26
tu es sur que -p et -m peuvent être utilisé ensemble ? une lecture rapide du man me laisserait plutôt penser le contraire
---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Marsh Posté le 07-12-2008 à 22:45:13
D'après le man:
Code :
|
Celà ne me semble pas être contradictoire d'apres moi, surtout que ce que je veux c'est matcher le paquet à partir de 2 modules différents (layer7 et tcp), on procède bien de cette manière pour faire un test "AND" dans iptables ?
Message édité par redvivi le 07-12-2008 à 22:46:28
Marsh Posté le 08-12-2008 à 08:50:57
| Mjules a écrit : tu es sur que -p et -m peuvent être utilisé ensemble ? une lecture rapide du man me laisserait plutôt penser le contraire |
Je t'assure que l'on peut utiliser -m et -p en même temps, j'utilise tous les jours -p tcp -m state
---------------
Relax. Take a deep breath !
Marsh Posté le 08-12-2008 à 09:47:32
| HNO3 a écrit : inversion sport/dport ? |
En supposant que redvivi utilise --set-mark pour que ses paquets soient bucketisés par tc, que la machine sur laquelle tourne iptables soit son routeur/passerelle, et que le traffic ssh dont il parle soit celui des gens qui sont derrière le routeur et se connectent à des serveurs ssh sur l'intairnet, la ligne kivabien dans POSTROUTING pour marquer le traffic ssh, c'est bien "-m layer7 --l7proto ssh -p tcp --dport 22 -j MARK --set-mark 20"
![[:ojap]](https://forum-images.hardware.fr/images/perso/ojap.gif "[:ojap]")
Marsh Posté le 08-12-2008 à 10:07:36
Heu....J'avoue que je suis un peu perdu là...pourquoi serait-ce --dport et non --sport ? Je raisonne comme ceci: Je veux prioriser l'upload du protocole ssh (de la passerelle vers l'internet). Donc ce sont des paquets qui partent de la passerelle vers l'internet, ainsi il s'agit vient du sport de la passerelle. J'ai oublié quelquechose ?
Marsh Posté le 08-12-2008 à 10:19:18
Tu es dans le scénario quelqu'un se connecte depuis internet à ta passerelle en SSH ?
=> le trafic qui part de ta passerelle a bien en port source 22.
=> le trafic arrivant a le port destination 22.
---------------
Relax. Take a deep breath !
Marsh Posté le 08-12-2008 à 15:33:18
Oui c'est bien ça, quelqu'un se connecte en ssh sur la passerelle, donc le traffic sortant a le port source 22, donc a priori ma ligne de commande devrait fonctionner :-S
Sujets relatifs:
- Question à propos d'iptables et du comportement des tables
- Probleme IPTABLES, avec un bridge (application de virtualisation)
- probleme iptables -F
- iptables et log -résolu-
- [RESOLU] Comportement bizarre
- Aide avec IPTABLES et OpenVPN
- Logs Arno-iptables-firewall
- packet filter <> iptables
- SOCKS5 "transparent" via netfilter / iptables
Marsh Posté le 07-12-2008 à 14:10:17
Bonjour à tous !!
Il semble que quelquechose ne fonctionne pas avec iptables, je veux prioriser le protocole ssh pour accéder au serveur, voici le code que je suis censé utilisé:
Le problème c'est que si une personne utilise un tunnel ssh pour transférer des données P2P par exemple, le P2P sera prioriser, donc je voudrais utiliser celà:
Mais alors là le protocole n'est plus matché, on dirait que iptables ne prends pas 2 conditions de filtrage (à savoir le l7 filter et le -p tcp)
Ais-je loupé qqchose ?
Merci à tous !
RedVivi