Blog Blog - Balise - Iptables - Commentaires

Serveur Debian - versionning de fichiers - Merwok

Merwok — Thu, 21 Aug 2008 21:06:03 +0200

Pas mal ce guide, merci :)

Je préfère largement les systèmes de gestion de versions décentralisés (Mercurial ♥) aux centralisés (dont Subversion est le meilleur, je reconnais), mais les scripts sont des bons modèles.

Cordialement

Serveur Debian - Iptables - Seza

Seza — Mon, 04 Aug 2008 20:12:33 +0200

EDIT : J'ai fait une petite mise à jour du tuto pour que ça soit plus clair.

Serveur Debian - Iptables - Seza

Seza — Mon, 04 Aug 2008 19:52:38 +0200

Oui ! Exact dans la précipitation je n'ai pas fait attention.

Néanmoins cette ligne n'est pas obligatoire si les connexions déjà établies sont autorisées par la ligne :

iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -m state --state RELATED,ESTABLISHED -j ACCEPT

La ligne que j'ai indiqué avec le --dport permet à la machine distante d'utiliser sont client ssh pour se connecter elle-même à une machine.

Serveur Debian - Iptables - Jb

Jb — Mon, 04 Aug 2008 14:04:23 +0200

La règle qu'il faut ajouter en OUTPUT n'est pas
iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -p tcp --dport 22 -j ACCEPT
mais
iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -p tcp --sport 22 -j ACCEPT
(il suffit de changer dport en sport), en effet, les connexions quittant le serveur SSH ont pour ORIGINE le port 22 mais pour DESTINATION un port arbitraire, déterminé par le client.

Serveur Debian - Iptables - Seza

Seza — Wed, 30 Jul 2008 12:11:55 +0200

Je n'ai jamais eu ce genre de problème. As-tu vérifié que les règles étais bien lancée au démarage ? J'imagine que oui. Et ça ne te le fait que pour SSH ou pour toutes les règles entrées ?

Désolé de poser autant de questions mais il faut des infos pour cerner le problème (quand on y arrive).

Serveur Debian - Iptables - Gaara

Gaara — Wed, 30 Jul 2008 06:26:15 +0200

Rien changé car comme dit plus haut, il me suffit de redémarrer iptables pour que cela marche ...
La règle n'est pas prise en compte lors du redémarrage du serveur, mais que lorsque je redémarre iptables ...

Bizarre non ?

Serveur Debian - Iptables - Seza

Seza — Fri, 18 Jul 2008 13:05:55 +0200

Ton ssh est bien sur le port 22 ? Tu n'a pas changer le port pour le sécuriser par hasard ?

Serveur Debian - Iptables - Gaara

Gaara — Fri, 18 Jul 2008 11:26:22 +0200

Bonjour,

Pour se qui est de l'IP j'ai mit celle de mon serveur et j'ai aussi supprimé le proto UDP.
Par contre cela ne marche toujours pas, je dois toujours redémarrer iptables-conf pour que ma règle 22 soit prise en compte... ?

Cordialement.

Serveur Debian - Iptables - Seza

Seza — Thu, 17 Jul 2008 15:11:52 +0200

Bonjour,

Merci pour tes compliments. La première chose que je remarque c'est l'adresse IP dans ta ligne de commande. Es-tu sûr de celle-ci ?
Sinon seul le proto TCP est nécessaire tu peux enlever la seconde ligne avec le proto UDP pour le SSH. Une dernière chose si tu filtres en entrant et en sortant comme dans mes exemples. N'oublies pas d'autoriser SSH à sortir avec cette ligne :

iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -p tcp --dport 22 -j ACCEPT

J'espère que je t'aurais aidé.

Serveur Debian - Iptables - Gaara

Gaara — Wed, 16 Jul 2008 20:28:20 +0200

Bonjour,

Tout d'abord je tiens à te dire que ton tutos est génial j'ai réussi à config mon iptables.

Par contre j'ai un soucis lorsque je redémarre mon serveur je ne peut plus accéder en ssh à ma machine ...

J'ai pourtant ajouté :

iptables -t filter -A INPUT -i eth0 -d 10.0.0.2 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -d 10.0.0.2 -p udp --dport 22 -j ACCEPT

Dans les règles du fichier iptables ...

Cordialement.

Serveur Debian - Serveur email (MTA + MDA) - Alpha-Omega

Alpha-Omega — Thu, 19 Jun 2008 16:18:06 +0200

"le répertoire utilisateur est créer par le MTA automatiquement." Certes, mais la documentation de Postfix conseille de les créer manuellement. :

Le courrier livré est ajouté avec les privilèges des UID/GID indiqués par les paramètres virtual_uid_maps et virtual_gid_maps. Les versions 2.0 et supérieures de Postfix ne créent pas les répertoires de boîtes-aux-lettres dans des répertoires positionnés en écriture pour tout le monde Vous devez les créer par avance. Postfix peut être en mesure de créer les boîtes-aux-lettres lui-même suivant les permissions d'écriture sur le répertoire parent, mais il est préférable de les créer avant.

source: http://postfix.traduc.org/index.php...

Serveur Debian - vsftpd - Seza

Seza — Sun, 06 Apr 2008 15:32:42 +0200

Bonne nouvelle Castrogne !

Les commentaires sont là pour montrer les variantes =) Je mettrai le tuto à jour quand la version stable sera mise à jour pour rester cohérent avec le reste des autres tutoriels.

Merci pour les nouvelles :)

Serveur Debian - vsftpd - castrogne

castrogne — Sun, 06 Apr 2008 08:21:48 +0200

Salut,

Merci, ça marche impec avec la ligne de commande db4.6_load. En fait j'avais cherché via "apt-cache search" une commande dont le nom approchait, mais je sais pas pourquoi, je l'avais pas vu :).

Je vais essayer de mieux comprendre ta recherche, afin que je sois cappable de la refaire. N'oublies pas de signaler la modif au cas ou dans l'article.

Merci bien!!

Serveur Debian - vsftpd - matthieu

matthieu — Thu, 03 Apr 2008 17:59:13 +0200

Re.. c'est bon en ouvrant les ports de 62000 a 63000 en udp et TCP ça fonctionne, Merci à toi :)

Serveur Debian - vsftpd - Seza

Seza — Thu, 03 Apr 2008 12:16:09 +0200

Castrogne,

Ce sont les aléas du testing ! Néanmoins puisque le testing est sensé devenir le futur debian stable autant se renseigner de suite.

Les paquets utilisant la base de donnée berkeley évolue, aujourd'hui dans la version testing de debian on trouve les versions 4.3 à 4.6. http://packages.debian.org/lenny/db...

Je me suis ensuite renseigné sur PAM (le système d'authentification) car c'est lui qui est charger de lire cette petite base berkeley. http://packages.debian.org/source/l... qui en est donc à sa version 0.99.7.1-6 actuellement. (celle que tu dois donc avoir sur ton serveur si tu te tiens à jour)

L'information qu'il faut trouver c'est : quelle version de base berkeley utilise le module pam_userdb dans cette version ?

Je vais donc voir le changelog du paquet PAM : http://packages.debian.org/changelo... . Il ne reste plus qu'à lire... enfin faire une recherche texte est plus rapide. En cherchant les termes "berkeley", "pam_userdb", "userdb" ceci n'a pas été très concluant mais en cherchant le terme "db4" je trouve dans le changelog de la version 0.99.7.1-2 datant du 26 aout 2007 ceci : " Migrate from db4.3 to db4.6; once again, no administrator action should be needed for upgrading on-disk database formats. "

J'en conclu que la version actuelle de berkeley pour PAM est la 4.6.

installe donc le paquet " db4.6-util ". Tu y trouvera une commande comme " db3_load " qui s'appelle " db4.6_load ". Tiens moi au courant que ça fonctionne ou pas.

Merci !

Serveur Debian - vsftpd - matthieu

matthieu — Thu, 03 Apr 2008 11:24:00 +0200

Ok je vais testé ça, pour le paramétrage de la Freebox, pas de soucis je sais faire ^^ !

Je te tiens au courant !

Merci :)

Serveur Debian - vsftpd - Seza

Seza — Thu, 03 Apr 2008 11:13:07 +0200

Matthieu > Tu utilise ton client FTP en mode passif ( commande PASV ) alors qu'il faut l'utiliser en mode actif (commande PORT ). Tu trouvera ceci dans les paramétrage de ton client FTP.

Si toutefois ta freebox bloque la connection. Une solution existe (moins belle certe) :

Dans le fichier /etc/vsftpd.conf ajoute ceci :
port_enable=YES
pasv_enable=YES
pasv_min_port=62000
pasv_max_port=63000

Redémarre vsftp ave la commande /etc/init.d/vsftpd restart

ajoute les règles iptables suivantes (voir mon tuto iptables) :

iptables -t filter -A INPUT -i eth0 -p tcp --dport 62000:63000 -d $MYIP -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p udp --sport 62000:63000 -s $MYIP -j ACCEPT

Il te reste à ouvrir les ports 62000 à 63000 de ta freebox =)

Voilà tu pourras utiliser ton FTP comme bon te semble et le mode passif fonctionnera tout comme le mode actif.
Pour le paramétrage de la freebox je ne peux t'aider mais quelques me dis qu'en cherchant du côté des aides des logiciels P2P comme emule ou shareazaa tout trouvera toutes les explications nécessaires.

Serveur Debian - vsftpd - matthieu

matthieu — Thu, 03 Apr 2008 10:13:05 +0200

Hello Castrogne, mois je l'ai installé hier libdb3-util

deb http://ftp.fr.debian.org/debian/ etch main
deb-src http://ftp.fr.debian.org/debian/ etch main

avec ces sources... t'as fait un apt-get update && apt-get upgrade?

Serveur Debian - vsftpd - castrogne

castrogne — Wed, 02 Apr 2008 22:48:42 +0200

Salut!

J'ai suivi ton excellent tuto il y a quelques temps et tout était nickel. J'ai du réinstaller ma bête entre temps, et je reviens installer mon ftp. Seulement là : plus de libdb3-util!!! (apt-get ne connait plus)

Je suis en testing...

Quelque chose peut remplacer? Car du coup, je n'ai plus la commande db3_load... C'est dommage...

Serveur Debian - vsftpd - matthieu

matthieu — Wed, 02 Apr 2008 21:41:44 +0200

Hello,

Merci pour ce tuto.. je l'ai suivi à la lettre, mon serveur ftp fonctionne très bien mais j'ai un problème, je n'arrive pas à me connecter depuis l'extérieur, en local pas de problème..

J'ai la Freebox, j'ai rediriger les ports 21 et 20 ..

L'erreur que j'ai :

Réponse : 227 Entering Passive Mode (192,168,0,100,238,86)
Statut : Le serveur a retourné une adresse non routable, remplacée par l'adresse du serveur.
Commande : LIST

Voilà..

Serveur Debian - Serveur email (MTA + MDA) - Seza

Seza — Mon, 31 Mar 2008 05:04:15 +0200

le répertoire utilisateur est créer par le MTA automatiquement.

Serveur Debian - Serveur email (MTA + MDA) - spado

spado — Mon, 31 Mar 2008 01:42:18 +0200

il manque la creation du repertoire des utilisateur mail dans userdb-utils

mkdir /var/mail/$DOMAIN
maildirmake /var/mail/$DOMAIN/$EMAIL
chown -R virtual.virtual /var/mail/$DOMAIN

Serveur Debian - openssh - Seza

Seza — Wed, 13 Feb 2008 13:54:32 +0100

Bonjour,

Le mot de passe demandé coresspond à celui de "user" puisque que tu te connecte au serveur avec user@....

Si tu te connecte avec root@serveur le mot de passe de "root" sera demandé, si tu te conecte avec seza@serveur ce sera celui de "seza" etc...

En fait c'est tout simple.
Bon courage !

Serveur Debian - openssh - nT

nT — Tue, 12 Feb 2008 17:11:40 +0100

Je ne suis pas sur d'avoir tout compris ...
une fois " ssh user@server.com " entrée
On me demande un mot de passe: " user@server.com's password : "
Et je souhaiterais savoir a quelle mot de passe cela correspond ? Car je ne sais pas du tout quoi mettre...

Serveur Debian - vsftpd - Seza

Seza — Tue, 04 Sep 2007 21:10:33 +0200

Salut, merci de ta remarque c'est corrigé !

Serveur Debian - vsftpd - ElMatheo

ElMatheo — Sun, 02 Sep 2007 20:36:09 +0200

Salut Seza... petite correction ou du moins chez moi sa marche pas ... au moment de créer la commande vsftpd-makedb, si on suit ton processus tu créer ton fichier sur ~ ce qui est le dossier par defaut
mais il faudrait le créer dans /etc/vsftpd/ ou alors faire un cp vsftpd-makedb /etc/vsftpd... sinon sa marchait pas ...

Serveur Debian - openssh - Seza

Seza — Thu, 30 Aug 2007 16:25:30 +0200

Salut ElMatheo, tu as tout a fait raison c'est une erreur grossière que j'ai du faire en rédigeant cet article. Pour le deuxième point l'erreur découle du fait que la ligne est en effet mal écrite.

Pour ta dernière question je t'invite à poursuivre par email pour qu'on puise en discuter comme tu l'as déjà fait. Vérifie néanmoins les bases, la configuration est faite pour ne pas autoriser de connexion avec root. As tu penser à mettre le nom de ton ou tes utilisateur(s) dans la ligne AllowUsers (et d'enlever ALBAN)

Serveur Debian - openssh - ElMatheo

ElMatheo — Thu, 30 Aug 2007 09:38:12 +0200

Bonjour, après une multitude de site farfouillé c'est ici que j'ai trouvé mon bonheur, malheureusement il y'a un début a tous et pour moi c'est le début de linux et j'ai 2-3 petite question... : On first,
Éditez le fichier « /etc/network/iptables » et ajoutez les lignes suivantes :

iptables -t filter -A INPUT -p tcp --dport 22 -i eth0 -d $MYIP -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 22 -o eth0 -s $MYIP -j ACCEPT
la deuxième ligne de devrait elle pas être en OUTPUT puisque -o -s lui appartienne déduction après avoir fais une erreur de ce genre sur un autre fichier... 2eme question si je rentre ces deux lignes comme sa dans le fichier impossible de redémarrer iptables en cause BAD argument for ACCEPT...

et dernière question après avoir modifié ces deux ligne pour qu'elle correspond aux autre, et en ayant remplace MYIP par l'adresse du serveur Putty ne veut pas se connecter ??...

Merci d'avoir pris du temps pour écrire ce blog et merci par avance pour la future réponse....

Serveur Debian - openssh - Seza

Seza — Fri, 03 Aug 2007 21:47:16 +0100

En fait je le précise dans le premier épisode de la série.
Le contexte est posé et je précise qu'il faudra adapter à son contexte les noms et adresses utilisés.

Mais c'est toujours bon de le rappeler. Je te remercie pour ton message.

Serveur Debian - openssh - san_antonio_37

san_antonio_37 — Thu, 02 Aug 2007 10:32:24 +0100

Peut-être serait bon de préciser que les adresses IP figurant dans le fichier iptables doivent être adaptées.

Merci pour cette série d'articles sur ce sujet que j'avais, jusqu'à aujourd'hui, du mal à maîtriser.