[iptables mais pas sûr] ecran noir au log (résolu)

[Antoine6]

Salut à tous ,
voilà j'ai un problème que je ne parviens pas à comprendre (je débute sous arch et linux).

J'ai dernièrement configuré iptables ; je tape les commandes, je sauve la config, et je rajoute iptables dans mon rc.conf.
Après redémarrage je m'aperçois que les sauvegardes n'ont pas prises en compte les configs ip6tables. Je tente donc au hasard de refaire la même procédure de sauvegarde qu'avec iptables, et je rajoute ip6tables dans le rc.conf. --> Redémarrage : écran noir au log, pas de curseur, rien.

Je retire ip6tables du rc.conf, et je rajoute ses règles en démarrage de session via openbox (oui c'est moche mais mieux que rien en attendant^^).
Redémarrage : ecran slim apparait je me log tout va bien. Mais peu après je me rends compte qu'il y a toujours ce bug, quand je tente de me délog depuis une session ouverte :ecran noir, plus de slim. Ctrl +alt+F1 me permet par un startx de relancer la session, mais bon...

Un petit coup de main plz ?

[FoolEcho]

Après redémarrage je m'aperçois que les sauvegardes n'ont pas prises en compte les configs ip6tables. Je tente donc au hasard de refaire la même procédure de sauvegarde qu'avec iptables, et je rajoute ip6tables dans le rc.conf. --> Redémarrage : écran noir au log, pas de curseur, rien.

Il y a des légères adaptations à faire: https://wiki.archlinux.org/index.php/Si ... ewall#IPv6.

Pour slim et/ou ta session, il faudrait aussi consulter le log, /var/log/slim.log .

[Antoine6]

Merci de ta réponse,

Bon je suis perplexe; après pleins d'essais, au final j'ai juste rajouté une ligne pour ipv6 dans /etc/sysct1.conf, comme l'indique ton lien . Et ça marche, plus d'écran noir lors d'un changement de users, avec mes règles parefeu au démarrage.
Mais je ne vois pas le lien de cause à effet quant à /var/log/slim.log, je n'y vois que des anciens bugs de conky/vlc

[benjarobin]

Ce serait mieux de voir ces dites règles

[Antoine6]

ben je t'avouerai que tu y es pour beaucoup je les ai prises sur ta réponse au post http://forums.archlinux.fr/topic10447.h ... t=iptables

Code : Tout sélectionner

#!/bin/bash

# Suppression de toutes les chaînes pré-définies de la table FILTER
iptables -t filter -F

# Suppression de toutes les chaînes utilisateur de la table FILTER
iptables -t filter -X

# Suppression de toutes les chaînes pré-définies de la table NAT
iptables -t nat -F

# Suppression de toutes les chaînes utilisateur de la table NAT
iptables -t nat -X

# Suppression de toutes les chaînes pré-définies de la table Mangle
iptables -t mangle -F

# Suppression de toutes les chaînes utilisateur de la table Mangle
iptables -t mangle -X

# Par defaut, toute les paquets de la table FILTER sont détruits
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

# Par defaut, toute les paquets de la table NAT sont DROP
iptables -t nat -P PREROUTING  ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT      ACCEPT

# Autorise l'interface loopback à dialoguer avec elle-même
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT  -i lo -j ACCEPT

iptables -A OUTPUT -o eth0 -s 192.168.1.10  -d 0.0.0.0/0 -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -i eth0 -s 0.0.0.0/0 -d 192.168.1.10  -p all -m state --state RELATED,ESTABLISHED -j ACCEPT


# Suppression de toutes les chaînes pré-définies de la table FILTER
ip6tables -t filter -F

# Suppression de toutes les chaînes utilisateur de la table FILTER
ip6tables -t filter -X

# Par defaut, toute les paquets de la table FILTER sont détruits
ip6tables -t filter -P INPUT DROP
ip6tables -t filter -P OUTPUT DROP
ip6tables -t filter -P FORWARD DROP

edit : j'ai aussi parcouru le document que tu avais mis en lien. Bien complet. J'intégrerai conntrack plus tard après d'autres install/config plus urgentes.

[benjarobin]

Hum, c'est un peu de ma faute alors rajoute ceci à la fin :

Code : Tout sélectionner

# Autorise l'interface loopback à dialoguer avec elle-même
ip6tables -t filter -A OUTPUT -o lo -j ACCEPT
ip6tables -t filter -A INPUT  -i lo -j ACCEPT

Ce qui c'est passé c'est que l'on a tout bloqué pour IPv6 mais certain daemon utilise IPv6 car il apparait comme activé (la ligne net.ipv6.conf.all.disable_ipv6 = 1 n'était pas présente).
Personnellement je préfères garder IPv6

Juste pour le test peux tu enlever la ligne que tu as rajouté dans sysctl.conf et de rajouter les 2 règles ci-dessus et de nous tenir au courant, normalement cela devrait fonctionner... Mais c'est peut être mieux ce que tu fait actuellement...

[Antoine6]

Ce qui c'est passé c'est que l'on a tout bloqué pour IPv6 mais certain daemon utilise IPv6 car il apparait comme activé (la ligne net.ipv6.conf.all.disable_ipv6 = 1 n'était pas présente).

ah ok c'est donc pour ça.

uste pour le test peux tu enlever la ligne que tu as rajouté dans sysctl.conf et de rajouter les 2 règles ci-dessus et de nous tenir au courant, normalement cela devrait fonctionner...

je viens de test, apparemment dès que je retire la ligne du sysctl.conf le bug revient : écran noir quand je change de user au chargement de slim.

[benjarobin]

Même en rajoutant les règles que je t'ai donné ?! Cela ne devrait pas être le cas !

[Antoine6]

rectifié ! une erreur dans rc.conf. bah du coup ça marche comme ça je vais garder ipv6 en loopback