Bonsoir,
J'ai suivis le tuto de Grand'Pa (un grand merci au passage pour son site plus que très utile !) afin de bloquer de façon permanente des adresses ip extérieur via un fichier /etc/masq_DropListOfIP.
Jusque là, tout fonctionne bien !
Lorsque je modifie le fichier, je lance le "signal-event remoteaccess-update" pour la mise à jour.
Mon seul petit problème : en faisant cela, iptable rajoute en plus de ce qu'il a déjà les ip contenus dans le fichier.
Après une mise à jour, on se retrouve donc avec les premières adresse ip (celles avant la mise à jour) en double.
Pour remettre tout en ordre, je dois faire un : signal-event post-upgrade; signal-event reboot et là, plus de doublon...
Le serveur n'étant pas sous W*****S, je pense qu'il doit avoir un moyen de faire cela plus "proprement".
Si quelqu'un a une astuce...
Cordialement
Mise à jour iptable
Modérateur: modos Ixus
3 messages
• Page 1 sur 1
Mise à jour iptable
par grabeul78 » 11 Nov 2010 23:24
- grabeul78
- Aspirant
- Messages: 132
- Inscrit le: 26 Mai 2007 13:56
Re: Mise à jour iptable
par unnilennium » 14 Nov 2010 02:57
effectivement le How to de rgand pa n'es tpas optimisé de ce coté là.
Il assume que masq flush tout iptable quand un signal-event remoteaccess-update est fait, mais ce n'est pas le cas.
Il faut que chaque règle prévois de supprimer son ancien petit avant d'ajouter le nouveau .
regarde les autres regles dans etc/e-smith/templates/etc/rc.d/init.d/masq/ vers le 91 .... il y'a un replace, un flush et un insert et il ya une detection du numero de regle deja present pour le replace ou flush.
donc c'est a améliorer ou a defaut faire un petit script qui les efface avant de lancer le signal event
JP
Il assume que masq flush tout iptable quand un signal-event remoteaccess-update est fait, mais ce n'est pas le cas.
Il faut que chaque règle prévois de supprimer son ancien petit avant d'ajouter le nouveau .
regarde les autres regles dans etc/e-smith/templates/etc/rc.d/init.d/masq/ vers le 91 .... il y'a un replace, un flush et un insert et il ya une detection du numero de regle deja present pour le replace ou flush.
donc c'est a améliorer ou a defaut faire un petit script qui les efface avant de lancer le signal event
JP
Unnilennium / http://smeserver.pialasse.com
________________________
IRC: chat.freenode.net/6667 channel: #sme-fr
newsgroup: alt.e-smith.fr
____________________
________________________
IRC: chat.freenode.net/6667 channel: #sme-fr
newsgroup: alt.e-smith.fr
____________________
- unnilennium
- Vice-Amiral
- Messages: 749
- Inscrit le: 21 Sep 2004 10:30
- Localisation: Québec, Qc, Canada
Re: Mise à jour iptable
par unnilennium » 14 Nov 2010 03:29
de mon coté sans être un expert de iptables je tenterais de remplacer la ligne :
$OUT .= " /sbin/iptables -I INPUT -i \$OUTERIF -s $ipaddress -j DROP\n";
par deux lignes dans cet ordre
$OUT .= " /sbin/iptables --delete INPUT -i \$OUTERIF -s $ipaddress -j DROP\n";
$OUT .= " /sbin/iptables -I INPUT -i \$OUTERIF -s $ipaddress -j DROP\n";
Il y'a des chances que tu es une erreur qui te revienne soit sur la console soit dans /var/log/message t'indiquant que la regle pour l'ip que tu as rajouté n'existe pas et que par conséquent il peut pas la supprimer ... a verifier.
apres on peut améliorer en faisant une vérification si la ligne existe et ne la rajouter que si elle n'existe pas
en bash je ferais : /sbin/iptables -L INPUT|grep $ipaddress |grep "DROP" et si ca me retourne quelque chose je fais rien , si ca me retourne rien j'ajoute la règle.
voila l'esprit , maintenant reste à adapter sous perl
après on peut encore améliorer ...
je me suis rendu compte que mon ip n'est pas à banir .... je veux que cela soit supprimé si je la supprime du fichier ....
arrivé la je pense qu'on gagne du temps a créer une nouvelle chaine Banned_IP si elle n'existe pas, et flusher le contenu, puis créer les nouvelles regles dedans plutot que de $%#&! le bordel dans INPUT
le troll est lancé
JP
$OUT .= " /sbin/iptables -I INPUT -i \$OUTERIF -s $ipaddress -j DROP\n";
par deux lignes dans cet ordre
$OUT .= " /sbin/iptables --delete INPUT -i \$OUTERIF -s $ipaddress -j DROP\n";
$OUT .= " /sbin/iptables -I INPUT -i \$OUTERIF -s $ipaddress -j DROP\n";
Il y'a des chances que tu es une erreur qui te revienne soit sur la console soit dans /var/log/message t'indiquant que la regle pour l'ip que tu as rajouté n'existe pas et que par conséquent il peut pas la supprimer ... a verifier.
apres on peut améliorer en faisant une vérification si la ligne existe et ne la rajouter que si elle n'existe pas
en bash je ferais : /sbin/iptables -L INPUT|grep $ipaddress |grep "DROP" et si ca me retourne quelque chose je fais rien , si ca me retourne rien j'ajoute la règle.
voila l'esprit , maintenant reste à adapter sous perl
après on peut encore améliorer ...
je me suis rendu compte que mon ip n'est pas à banir .... je veux que cela soit supprimé si je la supprime du fichier ....
arrivé la je pense qu'on gagne du temps a créer une nouvelle chaine Banned_IP si elle n'existe pas, et flusher le contenu, puis créer les nouvelles regles dedans plutot que de $%#&! le bordel dans INPUT
le troll est lancé
JP
Unnilennium / http://smeserver.pialasse.com
________________________
IRC: chat.freenode.net/6667 channel: #sme-fr
newsgroup: alt.e-smith.fr
____________________
________________________
IRC: chat.freenode.net/6667 channel: #sme-fr
newsgroup: alt.e-smith.fr
____________________
- unnilennium
- Vice-Amiral
- Messages: 749
- Inscrit le: 21 Sep 2004 10:30
- Localisation: Québec, Qc, Canada
3 messages
• Page 1 sur 1
Retour vers E-Smith / SME Server
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité