via78 Posté(e) le 6 octobre 2014 Partager Posté(e) le 6 octobre 2014 (modifié) bonjour, je ne comprend pas ce qui se passe, donc je vous solicite. pour commencer : NAS DS213 DSM 4.3 A JOUR des updates Video Station d'installer et fonctionnel Haproxy d'installer et fonctionnel voici le test que je fais : en tete de mon par feu "refus pour tous sur le port 9007" (port de video station pour moi) en bas j'ai de cocher refus pour tous ce qui n'est pas mentionné dans le Fire-Wall haproxy qui renvoi sur le port 9007 quand je fait http ou https sur video.mon_nom_de_dolmain.fr je m'attend a me faire jetté et NON ca passe. quand je fait IPTABLES -L j'ai bien DROP sur le port 9007. et quand je fais netstat, j'ai bien du 9007 qui transite. ou ai je loupé quelque chose ou j'ai pas compris un truc dans la chaine. merci d'avance Via Modifié le 6 octobre 2014 par via78 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 6 octobre 2014 Partager Posté(e) le 6 octobre 2014 Oui, haproxy accède en local et il y a sûrement dans iptables une règle qui autorise tout en local 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
via78 Posté(e) le 6 octobre 2014 Auteur Partager Posté(e) le 6 octobre 2014 (modifié) non je ne fait pas de regle de ce type ou j'ai loupé quelque chose voici le resultat de "iptables -L" : Chain INPUT (policy ACCEPT) target prot opt source destination DOS_PROTECT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED DROP tcp -- anywhere anywhere tcp dpt:9007 ACCEPT tcp -- anywhere anywhere tcp dpt:5000 modprobe: chdir(2.6.32.12): No such file or directory modprobe: chdir(2.6.32.12): No such file or directory ACCEPT tcp -- mon_sous_reseau anywhere multiport dports 5001,5000,ssh ACCEPT udp -- mon_sous_reseau anywhere multiport dports 1234,9997,9998,9999 ACCEPT icmp -- mon_sous_reseau anywhere ACCEPT tcp -- anywhere anywhere multiport dports 16881,4662 ACCEPT udp -- anywhere anywhere multiport dports 6881,4672 ACCEPT tcp -- anywhere anywhere multiport dports https,http ACCEPT tcp -- anywhere anywhere multiport dports 50002,50001 ACCEPT udp -- anywhere anywhere udp dpt:1900 ACCEPT udp -- mon_sous_reseau anywhere multiport dports 6001:6010,5353 ACCEPT tcp -- mon_sous_reseau anywhere multiport dports 9025:9040 ACCEPT udp -- mon_sous_reseau anywhere multiport sports 65001,5004,rfe ACCEPT udp -- mon_sous_reseau anywhere multiport dports 65001,5004,rfe ACCEPT tcp -- mon_sous_reseau anywhere tcp dpt:afpovertcp ACCEPT tcp -- anywhere anywhere tcp dpt:8271 ACCEPT tcp -- anywhere anywhere tcp dpt:8280 ACCEPT tcp -- anywhere anywhere tcp dpt:5443 ACCEPT tcp -- anywhere anywhere tcp dpt:5080 DROP all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain DOS_PROTECT (1 references) target prot opt source destination RETURN icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5 DROP icmp -- anywhere anywhere icmp echo-request RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 10000/sec burst 100 DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN Via et voici mon "netstat -n | grep 9007" : tcp 0 0 127.0.0.1:51848 127.0.0.1:9007 ESTABLISHED tcp 0 0 127.0.0.1:51850 127.0.0.1:9007 ESTABLISHED tcp 0 0 127.0.0.1:51849 127.0.0.1:9007 ESTABLISHED tcp 0 0 ::ffff:127.0.0.1%16:9007 ::ffff:127.0.0.1%3199400868:51787 TIME_WAIT tcp 0 0 ::ffff:127.0.0.1%17:9007 ::ffff:127.0.0.1%3199400868:51848 ESTABLISHED tcp 0 0 ::ffff:127.0.0.1%18:9007 ::ffff:127.0.0.1%3199400868:51780 TIME_WAIT tcp 0 0 ::ffff:127.0.0.1%19:9007 ::ffff:127.0.0.1%3199400868:51850 ESTABLISHED tcp 0 0 ::ffff:127.0.0.1%20:9007 ::ffff:127.0.0.1%3199400868:51849 ESTABLISHED lors que je me connecte sur video station Via Modifié le 6 octobre 2014 par via78 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
via78 Posté(e) le 6 octobre 2014 Auteur Partager Posté(e) le 6 octobre 2014 (modifié) je pensais qu'avec cette configuration, je ne pourrais meme pas en local me connecter a video station !! c'est pour ca que LA je bloque Modifié le 6 octobre 2014 par via78 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 6 octobre 2014 Partager Posté(e) le 6 octobre 2014 Moi je vois les adresse passe en ipv6 en local --> faudrait voir si il y a un pare-feux ipv6 normalement c'est ip6tables avec les mêmes options 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
via78 Posté(e) le 6 octobre 2014 Auteur Partager Posté(e) le 6 octobre 2014 (modifié) j'ai le même résultat: Chain INPUT (policy ACCEPT) target prot opt source destination DOS_PROTECT all anywhere anywhere ACCEPT all anywhere anywhere state RELATED,ESTABLISHED DROP tcp anywhere anywhere tcp dpt:9007 ACCEPT tcp anywhere anywhere tcp dpt:5000 modprobe: chdir(2.6.32.12): No such file or directory modprobe: chdir(2.6.32.12): No such file or directory ACCEPT tcp anywhere anywhere multiport dports 16881,4662 ACCEPT udp anywhere anywhere multiport dports 6881,4672 ACCEPT tcp anywhere anywhere multiport dports https,http ACCEPT tcp anywhere anywhere multiport dports 50002,50001 ACCEPT udp anywhere anywhere udp dpt:1900 ACCEPT tcp anywhere anywhere tcp dpt:8271 ACCEPT tcp anywhere anywhere tcp dpt:8280 ACCEPT tcp anywhere anywhere tcp dpt:5443 ACCEPT tcp anywhere anywhere tcp dpt:5080 ACCEPT icmpv6 anywhere anywhere DROP all anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain DOS_PROTECT (1 references) target prot opt source destination RETURN tcp anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 DROP tcp anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST RETURN tcp anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 10000/sec burst 100 DROP tcp anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN mais sans les sous réseau (ce qui est normal) Via Modifié le 6 octobre 2014 par via78 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 6 octobre 2014 Partager Posté(e) le 6 octobre 2014 je viens de verifier sur mon pc, et je ne comprend pas : pas de regle de loopback dans l'iptables, c'est etrange quelqu'un d'autre aura p-e une iddée 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
via78 Posté(e) le 6 octobre 2014 Auteur Partager Posté(e) le 6 octobre 2014 Je ne devrais pas avoir une chaîne de ce type Chaine INPUT(Policy drop) en tête ??? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 6 octobre 2014 Partager Posté(e) le 6 octobre 2014 la dernière ligne le remplace DROP all anywhere anywhere 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
via78 Posté(e) le 8 octobre 2014 Auteur Partager Posté(e) le 8 octobre 2014 Bon après les tests que j'ai fais, il semble que mon par feu fonctionne bien . Comme tu le souligne, il n'y a pas de règle loopback et comme je passe par haproxy, c'est des requête localhost vers localhost. Donc c'est comme si haproxy sert de par feu et que après cest libre comme l'aire. Merci pour les réponse Si vous avez une solution ou une préconisation, je suis preneur. Mais il n'avait pas une histoire de véhicule l'adresse ip de la provenance des requêtes haproxy ?? Via 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 8 octobre 2014 Partager Posté(e) le 8 octobre 2014 Le via c'est dans les entête http. Iptables fonctionne au niveau ip 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
via78 Posté(e) le 8 octobre 2014 Auteur Partager Posté(e) le 8 octobre 2014 Oui mais haproxy lance la requête en son nom ( donc en 127.0.0.1) et nom avec l'adresse ip externe ou entrante Comme ça iptable pourrait travailler Via 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.