Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 20-05-2016 15:34:34

BebBibi9
Membre
Distrib. : Debian 8.4 Jessie
Noyau : LInux: 3.16.0.4 amd64x86_64
(G)UI : XFCE4
Inscription : 06-09-2015

afficher Iptables dans conky

bonjour à tous,
Iptables et Psad sont correctement installés, donc actifs sur mon Debian.
j' ai  besoin d' aide car je souhaite afficher, dans Conky, l' état d' Iptables (actit ou non actif).
via le terminal, je peux utiliser la commande iptables -L mais comment faire afficher le statut d'Iptables dans mon joli Conky.
merci par avance.

Hors ligne

#2 20-05-2016 15:57:14

Thuban
Modérateur
Distrib. : OpenBSD
Noyau : current
(G)UI : xfce ou dwm
Inscription : 09-01-2009
Site Web

Re : afficher Iptables dans conky

Bonjour!
iptables actif ou non? Cela dépend, avec quoi as-tu configuré le parefeu?

YA3HGA-H

Hors ligne

#3 20-05-2016 16:10:05

BebBibi9
Membre
Distrib. : Debian 8.4 Jessie
Noyau : LInux: 3.16.0.4 amd64x86_64
(G)UI : XFCE4
Inscription : 06-09-2015

Re : afficher Iptables dans conky

surement la fin de semaine mais je ne comprends pas le sens de ta question...

Hors ligne

#4 20-05-2016 16:16:36

Thuban
Modérateur
Distrib. : OpenBSD
Noyau : current
(G)UI : xfce ou dwm
Inscription : 09-01-2009
Site Web

Re : afficher Iptables dans conky

La fin de semaine? smile

Je te demandais si tu avais utilisé un logiciel pour configurer iptables (comme ufw) ou si tu l'as fait à la main avec un script personnalisé?

YA3HGA-H

Hors ligne

#5 20-05-2016 16:27:53

BebBibi9
Membre
Distrib. : Debian 8.4 Jessie
Noyau : LInux: 3.16.0.4 amd64x86_64
(G)UI : XFCE4
Inscription : 06-09-2015

Re : afficher Iptables dans conky

je n" ai pas utilisé de logiciel,juste un script personnalisé en m' inspirant de modèles.
j' ai donc deux scripts (iptables et psad-S). iptables le parefeu et psad pour les rapports par mail et sms.

Hors ligne

#6 20-05-2016 16:40:59

Severian
Membre
Distrib. : Debian GNU/Linux 8.6 (jessie)
Noyau : Linux 4.6.0-0.bpo.1-amd64
(G)UI : Openbox 3.6.1-2
Inscription : 13-12-2014

Re : afficher Iptables dans conky

une possiblilité

tu fais pour que les données iptables soient écrites dans un fichier .txt (ou autre) accessible en lecture par l'utilisateur

pour afficher les données dans conky, tu ajoute cette ligne à ton fichier de config conky

${exec cat /chemin-vers-ton-fichier/ton-fichier}



et voila le tour est joué wink


"il est urgent d'attendre" (bendia)
ob3-debian2-150x50.png

Hors ligne

#7 20-05-2016 16:59:57

BebBibi9
Membre
Distrib. : Debian 8.4 Jessie
Noyau : LInux: 3.16.0.4 amd64x86_64
(G)UI : XFCE4
Inscription : 06-09-2015

Re : afficher Iptables dans conky

merci,je teste et reviens tenir informé:)

Hors ligne

#8 20-05-2016 19:11:24

BebBibi9
Membre
Distrib. : Debian 8.4 Jessie
Noyau : LInux: 3.16.0.4 amd64x86_64
(G)UI : XFCE4
Inscription : 06-09-2015

Re : afficher Iptables dans conky

conky affiche la config ( .log) d' Iptables mais pas vraiment son état ( actif ou non) comme je le souhaite.
le .log de Psad ne m' intéresse pas dans conky car je visionne le rapport autrement (dans te terminal).

Hors ligne

#9 20-05-2016 19:40:08

raleur
Membre
Inscription : 03-10-2014

Re : afficher Iptables dans conky

Quel genre d'état veux-tu afficher ? iptables n'a pas vraiment d'état binaire actif/inactif ; son état, c'est le jeu de règles actif.

Hors ligne

#10 20-05-2016 21:10:13

bendia
Admin stagiaire
Distrib. : Jessie
Noyau : 3.16.0-4-amd64
(G)UI : Gnome + XFCE + Console
Inscription : 20-03-2012
Site Web

Re : afficher Iptables dans conky

Salut smile

raleur a écrit :

iptables n'a pas vraiment d'état binaire actif/inactif ; son état, c'est le jeu de règles actif.

Pourquoi dans ce cas ne pas écrire un script qui compare le retour de

iptables -L

avec le jeu de règle qui est sensé être actif ?

Dans l'idée, un script lançé en tâche cron compare ton fichier de règles avec le retour de iptables -L, et écrit dans un fichier l'état de iptables. Ensuite, il ne reste plus qu'à afficher ce fichier avec les indications de Severian smile


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

En ligne

#11 20-05-2016 21:31:53

BebBibi9
Membre
Distrib. : Debian 8.4 Jessie
Noyau : LInux: 3.16.0.4 amd64x86_64
(G)UI : XFCE4
Inscription : 06-09-2015

Re : afficher Iptables dans conky

merci Raleur de préciser qu' Iptables n'a pas vraiment d'état binaire actif/inactif.
Bendia , créer un script pour comparer le résultat d' iptables-L avec le jeu de règle est certainement
la solution mais cela n' est pas dans mes cordes sad
si d' aventure une personne est partante pour me proposer un script,je suis preneur....(bien entendu)

Hors ligne

#12 20-05-2016 21:38:47

Severian
Membre
Distrib. : Debian GNU/Linux 8.6 (jessie)
Noyau : Linux 4.6.0-0.bpo.1-amd64
(G)UI : Openbox 3.6.1-2
Inscription : 13-12-2014

Re : afficher Iptables dans conky

(le plus simple ne serait il pas d'utiliser ufw ?)
enfin je dis ça, mais je ne suis pas très au fait des subtilitées iptables / ufw tongue

"il est urgent d'attendre" (bendia)
ob3-debian2-150x50.png

Hors ligne

#13 22-05-2016 09:55:44

raleur
Membre
Inscription : 03-10-2014

Re : afficher Iptables dans conky

bendia a écrit :

Pourquoi dans ce cas ne pas écrire un script qui compare le retour de "iptables -L" avec le jeu de règle qui est sensé être actif ?


Comment détermines-tu "le jeu de règles qui est censé être actif" et comment effectues-tu la comparaison ?
Il est quasiment impossible de comparer directement le contenu d'un script générateur de règles avec la sortie d'iptables -L.

Et s'il y a la moindre différence, cela signifie-t-il pour autant qu'iptables est inactif ?

Hors ligne

#14 22-05-2016 11:07:55

bendia
Admin stagiaire
Distrib. : Jessie
Noyau : 3.16.0-4-amd64
(G)UI : Gnome + XFCE + Console
Inscription : 20-03-2012
Site Web

Re : afficher Iptables dans conky

@raleur : c'était juste un début d'idée à étudier smile

raleur a écrit :

Comment détermines-tu "le jeu de règles qui est censé être actif" et comment effectues-tu la comparaison ?

Est-ce que ça ne dépend pas de la façon dont les règles sont entrées ? Si elles le sont en leur donnant un nom (c'est l'option -N je crois), on peut savoir si la règle existe simplement avec

iptables -L nom_de_la_règle


Si le code retour de la commande est 0, une règle avec un tel nom existe, sinon, le code retour est 1.

Donc, imaginons une règle avec comme nom ma_regle


#On affiche la règle avec son nom en redirigeant les sorties vers /dev/null, comme ça pas d'affichage
iptables -L ma_regle &> /dev/null
#On teste ensuite le code retour pour savoir si la règle existe et on agit en conséquence.
if [[ $? -eq 0 ]]
then
  echo "Ma règle est chargée"
else
  echo "Ma règle n'est pas chargée"
fi



raleur a écrit :

Et s'il y a la moindre différence, cela signifie-t-il pour autant qu'iptables est inactif ?

C'est de toute façon la question à se poser et tu y a répondu plus haut. Qu'est ce qu'entend BebBibi9 par actif smile


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

En ligne

#15 22-05-2016 11:49:32

raleur
Membre
Inscription : 03-10-2014

Re : afficher Iptables dans conky

bendia a écrit :

Est-ce que ça ne dépend pas de la façon dont les règles sont entrées ?


Oui, dans un cas particulier : si le jeu de règles a été mis en place avec iptables-restore à partir d'un fichier au format d'iptables-save/iptables-restore, alors on doit pouvoir faire assez facilement une comparaison entre ce fichier et la sortie d'iptables-save.

bendia a écrit :

Si elles le sont en leur donnant un nom (c'est l'option -N je crois)


-N sert à créer une chaîne utilisateur, pas une règle. L'existence d'une chaîne utilisateur n'implique pas qu'elle est utilisée (appelée par une règle dans une chaîne de base ou une autre chaîne utilisateur).

Hors ligne

#16 22-05-2016 11:51:40

raleur
Membre
Inscription : 03-10-2014

Re : afficher Iptables dans conky

bendia a écrit :

Qu'est ce qu'entend BebBibi9 par actif


Je soupçonne qu'il/elle ne le sait pas lui/elle-même.

Hors ligne

#17 22-05-2016 13:41:11

bendia
Admin stagiaire
Distrib. : Jessie
Noyau : 3.16.0-4-amd64
(G)UI : Gnome + XFCE + Console
Inscription : 20-03-2012
Site Web

Re : afficher Iptables dans conky

raleur a écrit :

Je soupçonne qu'il/elle ne le sait pas lui/elle-même.

Commençon alors par éclaircir ce point smile Mais je crois que tu as déjà bien commencé

raleur a écrit :

iptables n'a pas vraiment d'état binaire actif/inactif ; son état, c'est le jeu de règles actif.

Or, il semble que BebBibi9 ait un script qui charge ces règle. Pourquoi alors ne pas utiliser la méthode que tu proposes ?

raleur a écrit :

bendia a écrit :

Est-ce que ça ne dépend pas de la façon dont les règles sont entrées ?

Oui, dans un cas particulier : si le jeu de règles a été mis en place avec iptables-restore à partir d'un fichier au format d'iptables-save/iptables-restore, alors on doit pouvoir faire assez facilement une comparaison entre ce fichier et la sortie d'iptables-save.



raleur a écrit :

-N sert à créer une chaîne utilisateur, pas une règle. L'existence d'une chaîne utilisateur n'implique pas qu'elle est utilisée (appelée par une règle dans une chaîne de base ou une autre chaîne utilisateur).

OK smile Cependant, si tu créés dans un script tel que celui qui semble être fait par BebBibi9 (je dis semble, car on ne l'a pas vu) en créant une chaîne par règle, la méthode que je propose fonctionnerait alors ?


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

En ligne

#18 22-05-2016 16:00:43

raleur
Membre
Inscription : 03-10-2014

Re : afficher Iptables dans conky

Je trouve cette idée monstrueuse.
De toute façon la recherche d'une méthode de comparaison est prématurée tant qu'on ne connaît pas le critère.

Hors ligne

#19 22-05-2016 16:12:08

bendia
Admin stagiaire
Distrib. : Jessie
Noyau : 3.16.0-4-amd64
(G)UI : Gnome + XFCE + Console
Inscription : 20-03-2012
Site Web

Re : afficher Iptables dans conky

raleur a écrit :

Je trouve cette idée monstrueuse.

Bon, je la garde pour pour le 31 Octobre alors wink

raleur a écrit :

De toute façon la recherche d'une méthode de comparaison est prématurée tant qu'on ne connaît pas le critère.

Attendons dans ce cas, de s'assurer d'être dans le cas particulier que tu évoques.


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

En ligne

#20 22-05-2016 18:16:34

BebBibi9
Membre
Distrib. : Debian 8.4 Jessie
Noyau : LInux: 3.16.0.4 amd64x86_64
(G)UI : XFCE4
Inscription : 06-09-2015

Re : afficher Iptables dans conky

merci à vous de solliciter vos méninges pour moi.
Raleur, je suis LUI big_smile
je note vos idées et continue de chercher une solution à mon PB.
rappel :
  actif/inactif        on/off    ouvert/fermé     0/lol lol

Hors ligne

#21 22-05-2016 18:49:04

bendia
Admin stagiaire
Distrib. : Jessie
Noyau : 3.16.0-4-amd64
(G)UI : Gnome + XFCE + Console
Inscription : 20-03-2012
Site Web

Re : afficher Iptables dans conky

BebBibi9 a écrit :

actif/inactif        on/off    ouvert/fermé     0/1

En l'occurence, le problème, c'est que iptables n'a pas ce genre d'état. Il faut donc le créer artificielement. Il faut nous dire exactement ce que tu entends par là.

Si j'ai bien compris, tu charges tes règles via un script et tu veux t'assurer via conky que ce script à bien chargé les règles. C'est ça ? As-tu d'autres script qui pourraient les modifier (fail2ban, libvirt ...).

Je pense que voir le script nous serait utile smile


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

En ligne

#22 22-05-2016 19:35:35

raleur
Membre
Inscription : 03-10-2014

Re : afficher Iptables dans conky

(pour le plaisir de compliquer les choses)

bendia a écrit :

En l'occurence, le problème, c'est que iptables n'a pas ce genre d'état


On pourrait aussi dire que le problème est qu'il en a plein, de ce genre d'états, pas qu'un seul.

Par exemple, un état est que le module ip_tables est chargé ou non. Mais seul, il ne fait rien.
Un autre état est que le module iptable_filter qui gère la table "filter" est chargé. Mais par défaut, ça ne filtre rien, tout est autorisé tant qu'on n'a pas exécuté des commandes pour créer des règles ou modifier les politiques par défaut des chaînes.

Soyons réalistes : il y a de grandes chances que les "pare-feu" (gestionnaires de règles iptables) comme ufw ou shorewall ne vérifient pas le jeu de règles iptables actif lorsqu'on les interroge sur leur statut mais se contentent de rapporter leur propre état, du genre : j'ai activé les règles -> actif, j'ai désactivé les règles -> inactif. Mais si le jeu de règles iptables a été modifié par un autre moyen, ils ne le verront pas.

Dernière modification par raleur (22-05-2016 19:36:49)

Hors ligne

#23 23-05-2016 09:48:06

BebBibi9
Membre
Distrib. : Debian 8.4 Jessie
Noyau : LInux: 3.16.0.4 amd64x86_64
(G)UI : XFCE4
Inscription : 06-09-2015

Re : afficher Iptables dans conky

Bendia,tu as compris, je charge mes règles via un script et je veux m'assurer via conky que ce script a bien chargé les règles.
Raleur, même si le jeu de règles iptables est modifié pour diverses raisons je souhaite tout de même m' assurer via conky que mon script a bien chargé mes règles.

Hors ligne

#24 23-05-2016 10:15:21

raleur
Membre
Inscription : 03-10-2014

Re : afficher Iptables dans conky

Donc en gros tu veux juste t'assurer que le script a été exécuté sans erreur, peu importe ce qui se passe ensuite ?

Hors ligne

#25 23-05-2016 10:39:24

BebBibi9
Membre
Distrib. : Debian 8.4 Jessie
Noyau : LInux: 3.16.0.4 amd64x86_64
(G)UI : XFCE4
Inscription : 06-09-2015

Re : afficher Iptables dans conky

si il n'y a pas d' autres moyens, OUI.
actuellement pour vérifier l' état d' iptable j' n" ai que la commande iptables -L dans le terminal.
l' idéal serait un affichage réduit du résultat de la commande dans conky.

Hors ligne

Pied de page des forums