Vous n'êtes pas identifié(e).
Pages : 1
Bonjour,
Je cherche un moyen de filtrer les ports par applications avec iptable (ou autre moyen), c'est a dire authoriser l'accès pour une certaine application a un port et pas a d'autre.
En fouillant sur le net j'ai vu que c'était possible avec
iptables -A OUTPUT -m owner --cmd-owner httpd
ca me sort : iptables: Invalid argument et dans le syslog:
Jun 22 22:26:01 Etch kernel: ipt_owner: pid, sid and command matching not supported anymore
Apparament ce n'est plus supporter depuis les noyaux 2.6.16 :-(. Est ce que ca a été remplacer par d'autres commandes? Ou y a t'il d'autre solution pour le faire?
Merci
Hors ligne
Bonjours,
Je n'ai jamais expérimenté mais il me semble que la présentation du firewall applicatif dans le guide de référence ultime de iptable propose une piste à explorer :
Hors ligne
Salut,
pour ton problème avec iptables il faut que ton noyau soit compilé avec l'option CONFIG_IP_NF_MATCH_OWNER
++
Hors ligne
Pour connaître le numéro d'un grand nombre de port, tapez :
less /etc/services
Hors ligne
Pour DNS, tapez 1
Pour HTTP, tapez 2
pour SMTP, tapez 3
...
Pour la toute dernière sonneries : "mon serveur MySQL est tombé et je suis d'abstrinte avec mon blackberry", envoyez "et meeeerde " par sms au 3306
pardon :S
/me mode digestion
PS: savez vous planquer les trolls ? à la modeuh à la moooodeuh ? savez vous planquer les trolls, à la mode de guigui
[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222
Hors ligne
CONFIG_IP_NF_MATCH_OWNER est deja compiler en module dans mon noyau. Apparament owner --cmd-owner n'est plus supporter depuis les noyaux 2.6.15, pour faire ce que je veux je dois passer par un firewall applicatif, iptable ne jouant plus que sur la couche 3 de tcp. Je vais tester sois FireFlier. ou tuxguardian. J'ai une preferance pour tuxguardian malgrès le faite qu'il soit pas packager alors que FireFlier si, mais le projet est stopper :-(. Si quelqu'un a un retour sur ces deux firewall applicatif ca m'interresse.
Pour connaître le numéro d'un grand nombre de port, tapez :
less /etc/services
je vois pas le rapport mais bon...
Hors ligne
Pour la toute dernière sonneries : "mon serveur MySQL est tombé et je suis d'abstrinte avec mon blackberry", envoyez "et meeeerde " par sms au 3306
Attention, cette sonnerie n'est disponible que pour les terminaux ne supportant pas la replication master-master.
- Tu sais ce qui ferait bien sur le bar ?
- Uh ?
- TON NEZ ! *BUNK*
-+- Culture générale in GPJ: Full Throttle -+-
Hors ligne
...
Attention, cette sonnerie n'est disponible que pour les terminaux ne supportant pas la replication master-master.
Pffff, t'es vraiment qu'un empêcheur de tourner en rond toi hein
mais dit moi, quand un master tombe, personne ne s'en inquiette ?
Je veux dire, vos réplications et autre load-balancing justifient-ils de ne pas réagir en qques heures à la panne d'un des serveurs ?
/me pollueur...pardon
[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222
Hors ligne
mais dit moi, quand un master tombe, personne ne s'en inquiette ?
Je veux dire, vos réplications et autre load-balancing justifient-ils de ne pas réagir en qques heures à la panne d'un des serveurs ?
Si, mais ca ne provoque aucune interruption de service. Tu peux donc continuer a boire avec tes amis en attendant qu'un UP remonte sur ton blackberry. Quand je te dis que MySQL c'est l'ami des admins alcooliques !
- Tu sais ce qui ferait bien sur le bar ?
- Uh ?
- TON NEZ ! *BUNK*
-+- Culture générale in GPJ: Full Throttle -+-
Hors ligne
Pages : 1