Archlinux.fr [Forums]

Bonjour,

Je suis en train d'essayer de paramétrer mon iptables sur une machine archlinux.
Je suis le tuto qui est ici : https://wiki.archlinux.fr/Iptables dans la rubrique "configuration pour un client simple".

Après les trois premières règles (que je passe à ACCEPT pour ne pas perdre la main direct), je suis bloqué :

# iptables -t filter -P INPUT ACCEPT
# iptables -t filter -P FORWARD ACCEPT
# iptables -t filter -P OUTPUT ACCEPT
# iptables -t filter -A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name.

J'ai bien la librairie conntrack d'installée.

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-postfix (0 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain f2b-sshd (0 references)
target prot opt source destination
RETURN all -- anywhere anywhere


Je connais pas mal iptables mais les versions que j'utilisais travaillaient encore avec state plutot que conntrack.

Est-ce que quelqu'un a une idée ?

Merci

Aucun souci, ici avec cette règle. Mais il est fort probable que cela vienne des commandes précédentes.

si je la pose dans le fichier /etc/iptables/iptables.rules, le restart de iptables échoue. Si j'enlève ces lignes avec conntrack, ça passe..

Bonjour,

Il vaudrait mieux que tu DROP les tables input et forwad et accept juste la table output.

Voici une configuration simple de iptable:
Cette configuration fonctionne niquel, tu peux essayer de la tester sans crainte

En ésperant que ma réponse puisse t'aider

Oui, enfin s'il applique ceci sur un serveur, il ne pourra plus communiquer avec. En locale il n'y a aucun risque, le clavier fonctionne toujours

Bonjour,

@benjarobin: Je suis tout a fait d'accord sur le faite que la configuration que j'ai envoyé ne fonctionnera pas sur un serveur, elle est juste conçue pour un pc avec un utilisation classique. comme il a écrit

ouafnico a écrit :Je suis le tuto qui est ici : https://wiki.archlinux.fr/Iptables dans la rubrique "configuration pour un client simple".

j'ai supposé que c'etatit destiné a un pc avec une utilisation internet, multimédia, aprés a @ouafnico de nous dire si ma supposition est la bonne ou pas.

En ésperant que mon post t'a aider a mieux comprendre pourquoid je lui ai mis une configuration trés basique.

Salut,

Je ne promet rien, j'essaie des pistes... désolé par avance si je me trompe !

Petite parenthèse pour commencer :

ouafnico a écrit :Je connais pas mal iptables mais les versions que j'utilisais travaillaient encore avec state plutot que conntrack.

En fait, le changement date de fin 2012 (cf. : l'usage de state est déprécié)

Bref;

ouafnico a écrit :si je la pose dans le fichier /etc/iptables/iptables.rules, le restart de iptables échoue. Si j'enlève ces lignes avec conntrack, ça passe..

l'erreur semble bien sur ces lignes mais je ne suis pas sur que "conntrack" soit en cause . Est-ce la même erreur que celle citée dans ton message précédent ? Pour moi ce serait plutôt lié à une faute de frappe par exemple ou un renvoi avec "goto" (option -g) qui ne trouve pas de concordance
Si tu as fait des copier-coller pour ces lignes, essaye en les re-tapant entièrement à la main, un caractère invisible a pu s'insérer .
Sinon le log via journalctl donnera peut-être plus de détails sur l'erreur rencontrée ...

Bonjour

Merci pour vos réponses.
En fait j'avais essayé plusieurs règles simples, dont celles que vous proposez. J'ai des erreurs uniquement lorsque j'utilise conntrack.
J'avais aussi essayé de tout taper à la main.

Le pcduino me sert en serveur, mais quand j'ai testé je le faisais en frontal sinon ça coupe sec :p

Je pense vraiment qu'il s'agit du module.
J'avais posté sur le forum anglais aussi : https://bbs.archlinux.org/viewtopic.php?id=189186

J'ai pris contact avec l'equipe pcduino pour qu'ils ajoutent les modules manquants (il en manque aussi pour d'autres sujets, comme dm_mod).

J'avais déja recompile moi même un noyau pcduino qui avait fonctionné. Mais en ajoutant ces modules manquants il boote même pas :p

A voir :-/

Bonjour a tous,

@ouafnico: tu aurais pu nous dire avant que c'etait pour un mini pc et non pas sur un pc Tour ou portable, car sa change tout.
J'ai été voir le lien que tu nous adonné dans ton précedent post: et la répone des linuxiens qui ton répondu est assez explicite il n'y a pas le conntrack d'activé dans le kernel d'origine.
tu n'a qu'une solution c'est de le rajouter dans le kernel, a tu vu la page http://www.pcduino.com/how-to-build-kernel-for-pcduino/, il explique comment le faire avec ton minipc.
Sinon tu a un forum dédié au machine ARM sous archlinux avec une section sur le pcduino http://archlinuxarm.org/, il pourront peut être plus t'aider que nous, car tu est sur un forum plus PC/serveur

Désolé de ne pas pouvoir plus t'aider

oui en effet j'aurais pu, je pensais l'avoir fait.
J'ai déjà tenté de recompiler le noyau, le premier que j'utilisais je l'avais fait comme ça (ils ne distribuent pas archlinux). Quand je l'ai refait pour l'activer il ne fonctionne pas.

Je vais regarder sur le forum que tu as donné.

Merci;)