filtrer par application

bloodaxe · 22/06/2007 22:28:29

Bonjour,

Je cherche un moyen de filtrer les ports par applications avec iptable (ou autre moyen), c'est a dire authoriser l'accès pour une certaine application a un port et pas a d'autre.
En fouillant sur le net j'ai vu que c'était possible avec
iptables -A OUTPUT -m owner --cmd-owner httpd

ca me sort : iptables: Invalid argument et dans le syslog:
Jun 22 22:26:01 Etch kernel: ipt_owner: pid, sid and command matching not supported anymore

Apparament ce n'est plus supporter depuis les noyaux 2.6.16 :-(. Est ce que ca a été remplacer par d'autres commandes? Ou y a t'il d'autre solution pour le faire?

Merci

krato · 23/06/2007 00:06:17

Bonjours,
Je n'ai jamais expérimenté mais il me semble que la présentation du firewall applicatif dans le guide de référence ultime de iptable propose une piste à explorer :

http://olivieraj.free.fr/fr/linux/infor … l#fw-03-11

Gune · 25/06/2007 12:44:22

Salut,

pour ton problème avec iptables il faut que ton noyau soit compilé avec l'option CONFIG_IP_NF_MATCH_OWNER

++

scorpio810 · 25/06/2007 13:39:20

Pour connaître le numéro d'un grand nombre de port, tapez :
less /etc/services

ioguix · 25/06/2007 13:41:08

Pour DNS, tapez 1
Pour HTTP, tapez 2
pour SMTP, tapez 3
...

Pour la toute dernière sonneries : "mon serveur MySQL est tombé et je suis d'abstrinte avec mon blackberry", envoyez "et meeeerde " par sms au 3306

pardon :S

/me mode digestion

PS: savez vous planquer les trolls ? à la modeuh à la moooodeuh ? savez vous planquer les trolls, à la mode de guigui

bloodaxe · 25/06/2007 18:43:45

CONFIG_IP_NF_MATCH_OWNER est deja compiler en module dans mon noyau. Apparament owner --cmd-owner n'est plus supporter depuis les noyaux 2.6.15, pour faire ce que je veux je dois passer par un firewall applicatif, iptable ne jouant plus que sur la couche 3 de tcp. Je vais tester sois FireFlier. ou tuxguardian. J'ai une preferance pour tuxguardian malgrès le faite qu'il soit pas packager alors que FireFlier si, mais le projet est stopper :-(. Si quelqu'un a un retour sur ces deux firewall applicatif ca m'interresse.

scorpio810 a écrit :

Pour connaître le numéro d'un grand nombre de port, tapez :
less /etc/services

je vois pas le rapport mais bon...

y0m · 26/06/2007 10:45:51

ioguix a écrit :

Pour la toute dernière sonneries : "mon serveur MySQL est tombé et je suis d'abstrinte avec mon blackberry", envoyez "et meeeerde " par sms au 3306

Attention, cette sonnerie n'est disponible que pour les terminaux ne supportant pas la replication master-master.

ioguix · 26/06/2007 13:23:49

y0m a écrit :

...
Attention, cette sonnerie n'est disponible que pour les terminaux ne supportant pas la replication master-master.

Pffff, t'es vraiment qu'un empêcheur de tourner en rond toi hein

mais dit moi, quand un master tombe, personne ne s'en inquiette ?

Je veux dire, vos réplications et autre load-balancing justifient-ils de ne pas réagir en qques heures à la panne d'un des serveurs ?

/me pollueur...pardon

y0m · 26/06/2007 14:38:59

ioguix a écrit :

mais dit moi, quand un master tombe, personne ne s'en inquiette ?
Je veux dire, vos réplications et autre load-balancing justifient-ils de ne pas réagir en qques heures à la panne d'un des serveurs ?

Si, mais ca ne provoque aucune interruption de service. Tu peux donc continuer a boire avec tes amis en attendant qu'un UP remonte sur ton blackberry. Quand je te dis que MySQL c'est l'ami des admins alcooliques !

Andesi - forum

#1 22/06/2007 22:28:29

filtrer par application

#2 23/06/2007 00:06:17

Re : filtrer par application

#3 25/06/2007 12:44:22

Re : filtrer par application

#4 25/06/2007 13:39:20

Re : filtrer par application

#5 25/06/2007 13:41:08

Re : filtrer par application

#6 25/06/2007 18:43:45

Re : filtrer par application

#7 26/06/2007 10:45:51

Re : filtrer par application

#8 26/06/2007 13:23:49

Re : filtrer par application

#9 26/06/2007 14:38:59

Re : filtrer par application

Pied de page des forums