Aller au contenu

Test Fire-Wall Sur Video Station En Passant Par Haproxy

Par via78
dans Pare-Feu et QoS

Featured Replies

Posté(e)

bonjour,

je ne comprend pas ce qui se passe, donc je vous solicite.

pour commencer :

NAS DS213

DSM 4.3 A JOUR des updates

Video Station d'installer et fonctionnel

Haproxy d'installer et fonctionnel

voici le test que je fais :

en tete de mon par feu "refus pour tous sur le port 9007" (port de video station pour moi)

en bas j'ai de cocher refus pour tous ce qui n'est pas mentionné dans le Fire-Wall

haproxy qui renvoi sur le port 9007 quand je fait http ou https sur video.mon_nom_de_dolmain.fr

je m'attend a me faire jetté et NON ca passe.

quand je fait IPTABLES -L j'ai bien DROP sur le port 9007.

et quand je fais netstat, j'ai bien du 9007 qui transite.

ou ai je loupé quelque chose ou j'ai pas compris un truc dans la chaine.

merci d'avance

Via

Modifié par via78

  • Citer
    • 0
    Posté(e)
    • Auteur

    non je ne fait pas de regle de ce type ou j'ai loupé quelque chose

    voici le resultat de "iptables -L" :

    Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DOS_PROTECT  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
DROP       tcp  --  anywhere             anywhere            tcp dpt:9007
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:5000
modprobe: chdir(2.6.32.12): No such file or directory
modprobe: chdir(2.6.32.12): No such file or directory
ACCEPT     tcp  --  mon_sous_reseau      anywhere            multiport dports 5001,5000,ssh
ACCEPT     udp  --  mon_sous_reseau      anywhere            multiport dports 1234,9997,9998,9999
ACCEPT     icmp --  mon_sous_reseau      anywhere
ACCEPT     tcp  --  anywhere             anywhere            multiport dports 16881,4662
ACCEPT     udp  --  anywhere             anywhere            multiport dports 6881,4672
ACCEPT     tcp  --  anywhere             anywhere            multiport dports https,http
ACCEPT     tcp  --  anywhere             anywhere            multiport dports 50002,50001
ACCEPT     udp  --  anywhere             anywhere            udp dpt:1900
ACCEPT     udp  --  mon_sous_reseau      anywhere            multiport dports 6001:6010,5353
ACCEPT     tcp  --  mon_sous_reseau      anywhere            multiport dports 9025:9040
ACCEPT     udp  --  mon_sous_reseau      anywhere            multiport sports 65001,5004,rfe
ACCEPT     udp  --  mon_sous_reseau      anywhere            multiport dports 65001,5004,rfe
ACCEPT     tcp  --  mon_sous_reseau      anywhere            tcp dpt:afpovertcp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:8271
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:8280
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:5443
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:5080
DROP       all  --  anywhere             anywhere
                                                                                                                                                                                                                                         
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
                                                                                                                                                                                                                                         
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
                                                                                                                                                                                                                                         
Chain DOS_PROTECT (1 references)
target     prot opt source               destination
RETURN     icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5
DROP       icmp --  anywhere             anywhere            icmp echo-request
RETURN     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST
RETURN     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 10000/sec burst 100
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN

    Via


    et voici mon "netstat -n | grep 9007" :

    tcp        0      0 127.0.0.1:51848         127.0.0.1:9007          ESTABLISHED
tcp        0      0 127.0.0.1:51850         127.0.0.1:9007          ESTABLISHED
tcp        0      0 127.0.0.1:51849         127.0.0.1:9007          ESTABLISHED
tcp        0      0 ::ffff:127.0.0.1%16:9007 ::ffff:127.0.0.1%3199400868:51787 TIME_WAIT
tcp        0      0 ::ffff:127.0.0.1%17:9007 ::ffff:127.0.0.1%3199400868:51848 ESTABLISHED
tcp        0      0 ::ffff:127.0.0.1%18:9007 ::ffff:127.0.0.1%3199400868:51780 TIME_WAIT
tcp        0      0 ::ffff:127.0.0.1%19:9007 ::ffff:127.0.0.1%3199400868:51850 ESTABLISHED
tcp        0      0 ::ffff:127.0.0.1%20:9007 ::ffff:127.0.0.1%3199400868:51849 ESTABLISHED

    lors que je me connecte sur video station

    Via

    Modifié par via78

  • Citer
    • 0
    Posté(e)
    • Auteur

    je pensais qu'avec cette configuration, je ne pourrais meme pas en local me connecter a video station !!

    c'est pour ca que LA je bloque

    Modifié par via78

  • Citer
    • 0
    Posté(e)

    Moi je vois les adresse passe en ipv6 en local --> faudrait voir si il y a un pare-feux ipv6 normalement c'est ip6tables avec les mêmes options

  • Citer
    • 0
    Posté(e)
    • Auteur

    j'ai le même résultat:

    Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DOS_PROTECT  all      anywhere             anywhere
ACCEPT     all      anywhere             anywhere            state RELATED,ESTABLISHED
DROP       tcp      anywhere             anywhere            tcp dpt:9007
ACCEPT     tcp      anywhere             anywhere            tcp dpt:5000
modprobe: chdir(2.6.32.12): No such file or directory
modprobe: chdir(2.6.32.12): No such file or directory
ACCEPT     tcp      anywhere             anywhere            multiport dports 16881,4662
ACCEPT     udp      anywhere             anywhere            multiport dports 6881,4672
ACCEPT     tcp      anywhere             anywhere            multiport dports https,http
ACCEPT     tcp      anywhere             anywhere            multiport dports 50002,50001
ACCEPT     udp      anywhere             anywhere            udp dpt:1900
ACCEPT     tcp      anywhere             anywhere            tcp dpt:8271
ACCEPT     tcp      anywhere             anywhere            tcp dpt:8280
ACCEPT     tcp      anywhere             anywhere            tcp dpt:5443
ACCEPT     tcp      anywhere             anywhere            tcp dpt:5080
ACCEPT     icmpv6    anywhere             anywhere
DROP       all      anywhere             anywhere
                                                                                                                                                                                                                                         
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
                                                                                                                                                                                                                                         
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
                                                                                                                                                                                                                                         
Chain DOS_PROTECT (1 references)
target     prot opt source               destination
RETURN     tcp      anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
DROP       tcp      anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST
RETURN     tcp      anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 10000/sec burst 100
DROP       tcp      anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN

    mais sans les sous réseau (ce qui est normal)

    Via

    Modifié par via78

  • Citer
    • 0
    Posté(e)

    je viens de verifier sur mon pc, et je ne comprend pas :

    pas de regle de loopback dans l'iptables, c'est etrange

    quelqu'un d'autre aura p-e une iddée

  • Citer
    • 0
    Posté(e)
    • Auteur

    Je ne devrais pas avoir une chaîne de ce type

    Chaine INPUT(Policy drop) en tête ???

  • Citer
    • 0
    Posté(e)
    • Auteur

    Bon après les tests que j'ai fais, il semble que mon par feu fonctionne bien .

    Comme tu le souligne, il n'y a pas de règle loopback et comme je passe par haproxy, c'est des requête localhost vers localhost.

    Donc c'est comme si haproxy sert de par feu et que après cest libre comme l'aire.

    Merci pour les réponse

    Si vous avez une solution ou une préconisation, je suis preneur.

    Mais il n'avait pas une histoire de véhicule l'adresse ip de la provenance des requêtes haproxy ??

    Via

  • Citer
    • 0
    Posté(e)
    • Auteur

    Oui mais haproxy lance la requête en son nom ( donc en 127.0.0.1) et nom avec l'adresse ip externe ou entrante

    Comme ça iptable pourrait travailler

    Via

  • Citer
    • 0

    Rejoindre la conversation

    Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

    Invité
    Répondre à ce sujet…
    https://www.nas-forum.com/forum/topic/43495-test-fire-wall-sur-video-station-en-passant-par-haproxy/
    Aller sur la liste des sujets

    Qui est en ligne (Afficher la liste complète)

    • Il n’y a aucun utilisateur enregistré actuellement en ligne

    Information importante

    Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.

    Configure browser push notifications
    Chrome (Android)
    1. Tap the lock icon next to the address bar.
    2. Tap Permissions → Notifications.
    3. Adjust your preference.
    Chrome (Desktop)
    1. Click the padlock icon in the address bar.
    2. Select Site settings.
    3. Find Notifications and adjust your preference.