Lier iptables et shorewall [Réglé]
je tourne en rond...
Système et matériels / Réseau Internet Wi-Fi
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
Reprise du message précédent
Re-après avoir monopolisé l'IRC de shorewall, tout le monde était sec.
J'ai appliqué la proposition de jybz de couper les règles dans blrules, même si personne ni croyait, cela fonctionne maintenant !
Apparemment, il semble que je sois le seul à utiliser cela. Ils vont supprimer cette syntaxe de la documentation ! Probablement un bug mais il semble plus simple de ne pas chercher à utiliser cette fonctionnalité !
En résumer ne pas utiliser dans /etc/shorewall/blrules :
Code BASH :
DROP net:+[abusedrop,spamhausdrop,spamhausedrop] all
mais
Code BASH :
DROP net:+abusedrop all DROP net:+spamhausdrop all DROP net:+spamhausedrop all
Merci à tous.
A+
Jybz Membre non connecté
-
- Voir le profil du membre Jybz
- Inscrit le : 10/10/2018
- Groupes :
-
Administrateur
-
Forgeron
Et pourquoi le "all" alors qu'il n'est pas présent dans l'exemple de la documentation ?
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
Jybz :
super !
Et pourquoi le "all" alors qu'il n'est pas présent dans l'exemple de la documentation ?
Et pourquoi le "all" alors qu'il n'est pas présent dans l'exemple de la documentation ?
Je pense qu'il y a un "bug" dans la documentation, car sans le ALL il y a un message d'erreur de configuration...
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
funix Membre non connecté
-
- Voir le profil du membre funix
- Inscrit le : 17/12/2012
- Site internet
- Groupes :
squid-f :
1/Installation des paquets nécessaires :
1/Installation des paquets nécessaires :
Code BASH :
sudo urpmi xtables-addons xtables-geoip xtables-addons-kernel-desktop-latestJ'essaye d'installer ta config sur mon serveur, j'ai plein de question mais on va commencer dans l'ordre, quelles sont les modifs manuelles que tu as faites suite à l'installation de ces packages ?
Dans les messages on voit
Citation :
NOTE1: Be careful, since the xt_ACCOUNT module seems not to be loaded, if
you have shorewall, you'll need to put this module in shorewalls
modules.xtables file.
NOTE2: if you're using shorewall, you can put the following in the
/etc/shorewall/accounting file:
SECTION PREROUTING
ACCOUNT(down,0.0.0.0/0) - eth0 -
ACCOUNT(local,192.168.0.0/24) - eth1 -
SECTION POSTROUTING
ACCOUNT(up,0.0.0.0/0) - - eth0
ACCOUNT(local,192.168.0.0/24) - - eth1
you have shorewall, you'll need to put this module in shorewalls
modules.xtables file.
NOTE2: if you're using shorewall, you can put the following in the
/etc/shorewall/accounting file:
SECTION PREROUTING
ACCOUNT(down,0.0.0.0/0) - eth0 -
ACCOUNT(local,192.168.0.0/24) - eth1 -
SECTION POSTROUTING
ACCOUNT(up,0.0.0.0/0) - - eth0
ACCOUNT(local,192.168.0.0/24) - - eth1
mais concrètement quels fichiers as tu modifié et comment pour que ça marche ?
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
Tout ce que j’ai fait est écrit dans le wiki. J’ai seulement écrit la partie qui commence à «Liste noire des méchants… »
Je ne me souviens pas de cette allusion à l’ajout dans /etc/shorewall/accounting
Je regarde demain.
A+
funix Membre non connecté
-
- Voir le profil du membre funix
- Inscrit le : 17/12/2012
- Site internet
- Groupes :
wget -q -O - "$URL" > $SPAMHAUS_DROP
wget -q -O - "$eURL" > $SPAMHAUS_eDROP
les variables ne sont pas les bonnes, il faut mettre respectivement SPAMURL et eSPAMURL, pour le reste ça a l'air de fonctionner, merci !
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
funix :
j'ai récupéré le script du wiki, je signale deux erreurs dans le script au niveau de wget
wget -q -O - "$URL" > $SPAMHAUS_DROP
wget -q -O - "$eURL" > $SPAMHAUS_eDROP
les variables ne sont pas les bonnes, il faut mettre respectivement SPAMURL et eSPAMURL, pour le reste ça a l'air de fonctionner, merci !
wget -q -O - "$URL" > $SPAMHAUS_DROP
wget -q -O - "$eURL" > $SPAMHAUS_eDROP
les variables ne sont pas les bonnes, il faut mettre respectivement SPAMURL et eSPAMURL, pour le reste ça a l'air de fonctionner, merci !
Effectivement funix et c'est d'ailleurs ce que j'ai actuellement sur mon serveur !
Mauvais copier/coller, a priori. Je corrige le wiki.
Merci de l'avoir signalé !
A+
funix Membre non connecté
-
- Voir le profil du membre funix
- Inscrit le : 17/12/2012
- Site internet
- Groupes :
/usr/sbin/iptables -I INPUT -m set --match-set "$ABUSE" src -j LOG --log-prefix " ABUSEIPD "
/usr/sbin/iptables -I INPUT -m set --match-set "$ABUSE" src -j DROP
ces lignes ne sont pas dans le wiki, sont-elles réellement utiles ?
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
funix :
Dans ce post tu as également mis ces deux lignes au niveau de la récupération de la liste abuseipdb
/usr/sbin/iptables -I INPUT -m set --match-set "$ABUSE" src -j LOG --log-prefix " ABUSEIPD "
/usr/sbin/iptables -I INPUT -m set --match-set "$ABUSE" src -j DROP
ces lignes ne sont pas dans le wiki, sont-elles réellement utiles ?
/usr/sbin/iptables -I INPUT -m set --match-set "$ABUSE" src -j LOG --log-prefix " ABUSEIPD "
/usr/sbin/iptables -I INPUT -m set --match-set "$ABUSE" src -j DROP
ces lignes ne sont pas dans le wiki, sont-elles réellement utiles ?
Je les ai enlevées suite à ce post.
Shorewall gère les iptables lui-même ; c’est son but. Donc, pas la peine de faire une gestion supplémentaire, potentiellement conflictuelle.
Le script alimente des ipsets et shorewall s’occupe du reste.
A+
funix Membre non connecté
-
- Voir le profil du membre funix
- Inscrit le : 17/12/2012
- Site internet
- Groupes :
merci encore
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie