Greywolf

Hello Y@k, le --limit-burst correspond, d'après ce que j'ai compris des man, à la valeur à partir de laquelle la règle va s'appliquer. --limit-burst 5 -j LOG => les 5 premiers paquets ne sont pas loggés, ceux qui viennent après le sont. ça reste que très théorique et sujet à caution concernant ma compréhension de l'option étant donné que je ne l'utilise pas les différents log-level sont, par ordre ascendant de criticité (de 1 à 8 ): debug, info, notice, warning, err, crit, alert, emerg en debug, ça va se coller dans /var/log/debug en info, notice et warning dans /var/log/messages. tu peux également créer un fichier spécial pour le logging du FW, faudra regarder plus en détailler syslogd alors (à moins que quelqu'un dans l'assistance ne veuille participer également, ça m'arrangerait pour le syslogd ) //j'étais pas là => réponse tardive

Alt+PrintScreen capture uniquement la fenêtre active. Pratique pour éviter d'uploader un bmp > 1Mo (sinon après faudrait le transformer en jpg ou gif mais bon ...)

les Cd audio et les DVD ne se montent pas, la lecture est directe. vérifies tes paramètres de mixer audio, le device utilisé pour la lecture (/dev/hdc ou scd). pour les DVD, y'a ptet la libdvdcss qui manque

je connais pas le driver eagle mais apparemment le fichier cocnernant les paramètres de connexion adsl n'existe pas: /etc/ppp/peers/adsl n'est pas un fichier exécutable mais précisément le fichier de config pour ton fai, c'est pour ça que y'a pas un script de configuration avec les drivers eagle? sinon, fais toujours voir les fichiers /etc/ppp/options.adsl et /etc/ppp/peers/adsl. qu'appelle le script startadsl?

encore mea maxima culpa, en y regardant de plus près, mark ne prend qu'une valeur numérique et non une chaine de caractères (ou alors je sais pas comment faire ) j'ai essayé avec ce code et ça fonctionne: #!/bin/bash # Create the logdrop chain to log & drop a packet /sbin/iptables -t filter -N BLACKLST_LOGDROP /sbin/iptables -t filter -F BLACKLST_LOGDROP /sbin/iptables -t filter -A BLACKLST_LOGDROP -m limit --limit 1/min -j LOG --log-prefix "BLACKLST" /sbin/iptables -t filter -A BLACKLST_LOGDROP -j DROP for i in `cat /root/test` { # List of ip ranges to mark /sbin/iptables -t mangle -I PREROUTING 1 -s $i -j MARK --set-mark 1 } #Ajout du filtrage dans INPUT /sbin/iptables -t filter -I INPUT 1 -m mark --mark 1 -j BLACKLST_LOGDROP

/sbin/iptables -t mangle -I PREROUTING 1 -s $i -j MARK --set-mark blacklst doit manquer le -j je pense. (MARK est une cible de la table mangle => -j MARK) //mea culpa, c'est de ma faute j'avais pas vérifié mon script donné en page 1 pour le listing ci-dessus j'ai des doutes; ce serait mieux en xxx.yyy.www.zzz xxx.yyy.www.zzz/mm etc...

le dernier pilote est le 3.0.1: http://www.speedtouchdsl.com/download/driv...ws_R3.0.1.2.zip lors de tes déconnexions, les diodes du modem s'éteignent-elles? (quelle est la carte-mère? avec Aida32 par exemple... le système d'exploitation également?)

arrives tu à pinger une adresse IP externe quand tu es connecté? dans une fenêtre de commandes DOS: ping 66.102.9.104 si oui, vérifies tes paramètres DNS dans les propriétés de ta connexion. si non, soit y'a un problème du côté de la passerelle de ton FAI soit le ménage que tu as fais la veille a été trop poussé. Dans ce cas, réinstalle ta connexion.

ligne par ligne, ça fonctionne la table mangle permet de modifier les en-têtes des paquets et de les regrouper en vue de QoS ou d'une gestion avancée des règles. Elle s'occupe de tous les hooks de filtrage (PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING) et est consultée en deuxième par netfilter (après conntrack). => http://www.greywolf.ht.st/iptables/node12.html http://christian.caleca.free.fr/netfilter/et_le_reste.htm Une fois toutes les opérations de suivi et de modification de paquets réalisées, entre en scène la table filter qui s'occupe de INPUT (pour la machine bastion), FORWARD (pour les paquets natés) et OUTPUT (en provenance de la machine bastion) la table filter accepte plusieurs cibles: un REJECT qui renvoie un TCP RST pour dire que le port est fermé un DROP qui ne renvoie rien => port caché la cible LOG est spéciale car le paquet continue son chemin dans les règles de filtrage jusqu'à une règle finale s'y appliquant ou la politique par défaut de la chaine et est envoyé à syslog. Si tu logges tout ce que tu droppe, il y aura des accès disques fréquents et à terme des performances machines détériorées si elle sert à d'autres choses <= d'où l'idée de logger les paquets avec une limite temporelle. Evidemment, si tu ne logges rienet droppe tout, y'aura pas d'accès disque mais tu n'auras pas de trace. A toi de voir. Je t'ai conseillé de marquer les paquets dans mangle afin d'établir une seule règle dans filter pour les envoyer dans ta chaine spéciale blacklist => Chaque paquet est évalué de la règle 1 jusqu'à la règle n jusqu'à une décision finale; le fait d'avoir mille lignes de règle de filtrage s'appliquant à chaque IP de ton fichier en début de la chaine FILTER implique que les paquets autorisés doivent les passer avant de rencontrer une règle les concernant, d'où peut-être un certain temps de latence observés dans tes connexions. Le marquage de paquet te permet de résumer tout ça en une seule ligne dans filter <= ça n'encombre pas ta table de filtrage.

ben c'est quoi ton modem? tu vas sur le site du fabricant et tu devrais trouver dans un section téléchargement, les derniers pilotes qui vont bien. (désinstaller les anciens avant d'installer les nouveaux => dans ajout/suppr de programmes peut être) sinon, quel est le modèle de ta carte-mère? le modem est connecté en USB ou ethernet? ton système d'exploitation?

openvpn a l'air de très bien focntionner sous windows XP: http://forum.zebulon.fr/index.php?showtopi...10entry340942 sinon pour les dossiers partagés, faut voir si tout le mode arrive à se pinger convenablement avec les IP privées et ensuite vérifier que le netbios passe bien dans le lien vpn. Pour IE, doit y avoir une case à cocher dans la config du client pptp pour ne pas utiliser la passerelle vpn comme passerelle internet.

réponse plus complète également . s'il ferme le service rdr, il ne pourra plus rien partager sur son LAN, non?

la limite en ethernet filaire avec un câble de catégorie 5 est de 100 mètres (même si c'est pas esthétique). On peut faire transporter tout ce qui est IP au wifi. pour le CPL, va falloir attendre. A ma connaissance c'est toujours en phase de test dans une ville de région parisienne, il paraitrait que ça coute plus cher également. Si tu optes pour le Wifi, tâche de bien choisir le type d'AP (Access Point) en terme de puissance d'émission et d'antenne (orientable, omnidirectionnelle,...) tout en respectant les lois en vigueur en terme d'émissions électromagnétiques. Au pire, on peut brancher des répéteurs aux 4 coins de la maison si le signal initial faiblit de trop. http://guide-wifi.blogspot.com/2004_01_14_...fi_archive.html http://www.wlanfr.net/

en gros, tu bloques. le service 445 c'est pour les partages réseaux locaux isakmp, c'est le protocole d'échange de clés d'IPSEC (protocole VPN) 135, c'est le RPC, à fermer également

Bon anniversaire nick667 ainsi qu'à LNA

exact -m limit --limit -j LOG te donnera la valeur par défaut. ça marche mieux avec mangle?

après avoir rajouté la ligne deb dans sources.list, tu as bien mis à jour la liste des paquets et upgradé les paquets nécessaires au 2.6? apt-get update apt-get install gcc make module-init-tools binutils util-linux pour télécharger l'archive kernel-source-2.6.4, tu fais apt-get install kernel-source-2.6.4 (tu peux chercher des paquets avec apt-cache search <nom_du_paquet>) si tu décompresses l'archive tar.bz2 en tant que root, les fichiers appartiendront à root:root et non flo:src; donc seul root aura les droits dessus. y'a ptet un binz avec l'archive de ton 2.6.5

man ls ou ls --help | less le | (Alt-Gr+6) te permet de rediriger la sortie de la première commande (ls --help) vers une autre commande (ici, le pager less qui te permet d'afficher page par page) a priori tu dois etre en woody, si tu n'as pas changé ton fichier de sources apt (elles pointent toujours vers tes CD d'install ou vers un dépot HTTP ou FTP => /etc/apt/sources.list le noyau 2.6 n'est pas encore inclus dans woody, qui est une version ultra-stable et secure pour des serveurs de prod par exemple. Pour profiter du 2.6 (ses avantages et ses défauts), - tu peux rajouter une ligne dans ton /etc/apt/sources.list pointant vers un dépôt contenant un portage de tout ce qu'il faut pour le kernel 2.6 adapté à la woody (les sources des log ont été compilés avec des libs de la woody en gros). Comme ça tu restes en woody (avec ses avantages) en profitant des dernières nouveautés kernel. http://www.backports.org un coup d'apt-get update et tu fais la màj des dépendances pour le 2.6 (module-init-tools, gcc), tu installes le package kernel-source-2.6.x (ça te donne un tar.bz2 dans /usr/src à décompresser, ensuite make [menu|x|g]config selon tes préférences et tu compiles. - tu peux passer directement en unstable (=SID, Still In Development). Pour cela, tu modifies les sources dans /etc/apt/sources.list : tu changes woody (ou stable) par sid (ou unstable) un coup d'apt-get update, apt-get upgrade et apt-get dist-upgrade et te voila en sid. gcc --version pour vérifier (les autres commandes sont listées ci-dessus dans mon post précédent) préfères les kernel-source (ou kernel-image) debian, ils incluent les patchs debian dedans. un peu de lecture supplémentaire: http://www.debian.org/doc/manuals/apt-howt...r.html#contents http://www.debian.org/doc/manuals/referenc...r.html#contents

tu peux faire un -m limit --limit 1/min -j LOG si tu veux quand même en logger quelques uns (ici 1 par minute) et dropper directement tous les autres

en su touch /var/lock/console/<ton_username> quand tu feras clore la session, tu auras un menu te permettant de redémarrer, éteindre le PC ou changer de session /edit: ah ben ça reste pas après un reboot.... (ça m'étonne qu'à moitié pour un fichier dans /var) va falloir trouver autre chose

soit le compresser (MPEG4) soit le couper en 2 (tMPGEnc) y'a des CD 800Mb

#!/bin/bash # Create special BLACKLST chain /sbin/iptables -t filter -N BLACKLST /sbin/iptables -t filter -F BLACKLST # Create the logdrop chain to log & drop a packet /sbin/iptables -t filter -N BLACKLST_LOGDROP /sbin/iptables -t filter -F BLACKLST_LOGDROP /sbin/iptables -t filter -A BLACKLST_LOGDROP -j LOG --log-prefix "BLACKLST" /sbin/iptables -t filter -A BLACKLST_LOGDROP -j DROP # Jump to the special BLACKLST chain at the end of the INPUT chain (commented out) #/sbin/iptables -t nat -A INPUT -j BLACKLST for i in `cat /path/to/blacklist` { # List of ip ranges to mark /sbin/iptables -t mangle -I PREROUTING 1 -s $i -MARK --set-mark blacklst } #Ajout du filtrage dans INPUT /sbin/iptables -t filter -I INPUT 1 -m mark --mark blacklst -j BLACKLST_LOGDROP ça devrait te donner ça

autre approche: avec la table mangle, tu marque chaque paquet dont la source correspond à une des adresses IP, que tu droppes ensuite dans la table filter iptables -t mangle -A prerouting -s $i -j MARK --set-mark blacklst iptables -t filter -A INPUT -m mark --mark blacklst -j DROP ça déplace le problème dans mangle, y'aura toujours mille lignes à se cogner pour comparer les adresses sources des paquets afin de les marquer ou non.

mettre le script dans /etc/rc.d/rc.local devrait l'appeler à chaque démarrage non? et ce n'est pas ce que tu veux faire d'après ce que j'ai compris. ta liste d'IP faudrait la transformer avec awk pour récupérer que les adresses IP pour les obtenir sous cette forme dans un fichier blacklist: IP1 IP2 IP3 . . . IP1000 ensuite dans ton script ipfilter.sh, au lieu de te cogner toutes les adresses IP à recopier tu colles une boucle if qui lit chaque entrée de ton fichier blacklist et les déclarer à iptables comme ça: #!/bin/bash # Create special BLACKLST chain /sbin/iptables -t filter -N BLACKLST /sbin/iptables -t filter -F BLACKLST # Create the logdrop chain to log & drop a packet /sbin/iptables -t filter -N BLACKLST_LOGDROP /sbin/iptables -t filter -F BLACKLST_LOGDROP /sbin/iptables -t filter -A BLACKLST_LOGDROP -j LOG --log-prefix "BLACKLST" /sbin/iptables -t filter -A BLACKLST_LOGDROP -j DROP # Jump to the special BLACKLST chain at the end of the INPUT chain (commented out) #/sbin/iptables -t nat -A INPUT -j BLACKLST for i in `cat /path/to/blacklist` { # List of ip ranges to ban /sbin/iptables -t filter -I INPUT 1 -s $i -j BLACKLST_LOGDROP } pour awk, j'ai encore un peu de mal avec les expressions régulières pour extraire les IP de ton fichier comme séparateur les : mais ce qui m'embete ce sont les plages d'adresses déclarées: RIAA:208.225.90.0-208.225.90.255 iptables n'accepte pas le -s 208.225.90.0-208.225.90.255 ou alors faut déterminer le masque de chaque sous-réseau pour le déclarer en 208.225.90.0/24... bizarre, je vois pas trop pourquoi (mis à part le fait que le fichier d'iptables a pris plus de 1000 lignes supplémentaires) le script me parait bon... mais je suis pas une référence en scripting shell ;-p la façon de s'y prendre également, je vois pas trop comment y arriver autrement que comme ça... // edit: A quoi te sert ta nouvelle chaine BLACKLST dans ton script, elle ne fait pas l'objet d'une redirection. c'est pour "protéger" ta machine bastion ou une machine derrière la passerelle? INPUT c'est la chaine de filtrage en entrée de la machine bastion FORWARD c'est la chaine de filtrage en entrée et sortie des machines "NATées" peut être avec l'option match ça serait moins lourd en terme de charge de filtrage, plutôt que d'avoir une entrée par adresse IP à rediriger vers BLACKLST_LOGDROP Avec le script tel qu'il est, les connexions autorisées doivent se cogner les 1000 et quelques lignes de filtrage de la chaine INPUT (-I INPUT 1) avant d'arriver aux règles qui vont les autoriser sur ton réseau <= peut être que ça vient de là

ça fait longtemps que je suis passé par ici Donc Joyeux anniversaire à Myki, Betov, Ame, toitoinefr, Bubule, doogy et à tous les autres que j'ai pu manqué.