Vous n'êtes pas identifié(e).
Pages : 1
j'ai du copier le .so dans /usr/lib/xtables, /lib/xtables n'exitant pas sur ma becane (debian 9 strech, linux 4.9.0-8-amd64)
mon probleme est que, lorsque je tape
ou mene
j'ai toujour ce retour, mene apres un reboot.
or lorsque je tape
le resultat est
du coup selon moi le module est bien chargé. mais iptables ne semble pas le detecter... j'admet ne pas trop connaitre iptables et la doc francaise sur "iptables + ndpi" est introuvables... si quelqu'un peu m'apporté ces lumineres. je lui offre un cookie !
merci d'avance
Dernière modification par woinche (03-03-2019 11:49:31)
Hors ligne
j'ai du copier le .so dans /usr/lib/xtables, /lib/xtables n'exitant pas sur ma becane (debian 9 strech, linux 4.9.0-8-amd64)
/usr/lib/xtables, vraiment ? Ce ne serait pas plutôt /usr/lib/x86_64-linux-gnu/xtables ?
Il vaut mieux montrer que raconter.
Hors ligne
Hors ligne
c'est dans le dossier /usr/lib/x86_64-linux-gnu/xtables que iptables vient charger ces librairies ?
En tout cas c'est là que se trouvent celles du paquet iptables (dans Stretch, car dans Jessie c'étant dans /lib/xtables).
Dernière modification par raleur (01-02-2019 20:00:24)
Il vaut mieux montrer que raconter.
Hors ligne
voici l’ensemble des règles
et mon client (192.168.0.20) établie bien des connexions SSH et SFTP avec le serveur 10.0.0.14. c'est étrange, normalement le SSH est facilement reconnu et bloquer part le pare feu ?
Hors ligne
Dernière modification par raleur (02-02-2019 09:55:31)
Il vaut mieux montrer que raconter.
Hors ligne
et coté client
l'on vois bien que le client arrivé a trouvé son chemin des la couche 2, ainsi lorsque le client envoie ces paquets IP, il dirige directement ces trame a 52-54-00-91-dB-77 (enp8s0 utilisé par le serveur) et non vers 50-3e-aa-02-b0-09 (hyperviseur / routeur) comme je le souhaite.... du coup j'ai, me semble t'il, gagner le droit de faire des vlan.
est ce que vous savez si virsh permet de cloisonner plusieurs interface entre elle ? genre enp6s0:4 ne peut parler qu'a enp8s0:4 et ainsi de suite.
est ce qu'il est possible que j’intègre une logique de vlan a mon hyperviseur virsh - KVM/QEMU comme il ce fait sous vmware avec les vmnet ?
merci d'avance.
PS @raleur tu as raison pour l'icmp, j'avais simplement lancé quelque commande pour vérifier le fonctionnent de nDPI sans y prêter bien plus d'attention.
Hors ligne
Dernière modification par anonyme (20-02-2019 02:19:05)
j'ai, me semble t'il, gagner le droit de faire des vlan
Ou bien deux réseaux virtuels distincts.
Quelle idée aussi (et quel intérêt) de mettre deux sous-réseaux IP distincts sur le même segment Ethernet.
Si les VM étaient reliées à l'hôte par l'intermédiaire d'un pont style br0, il serait possible de filtrer le trafic traversant ce pont avec iptables grâce au module noyau br_netfilter.
est ce que vous savez si virsh permet de cloisonner plusieurs interface entre elle ? genre enp6s0:4 ne peut parler qu'a enp8s0:4
Attention : la notation enp6s0:4 désigne un alias IP (mécanisme obsolète permettant d'affecter une adresse IPv4 supplémentaire à une interface) et non une interface virtuelle de type VLAN qui serait de la forme enp6s0.4 (VLAN ID 4 sur enp6s0).
Note que tu n'as pas besoin que QEMU gère les VLAN, tu peux le faire directement sur l'hôte et les VM en utilisant des interfaces VLAN enp6s0.X et enp8s0.X au lieu des interfaces simples.
Dernière modification par raleur (20-02-2019 16:04:08)
Il vaut mieux montrer que raconter.
Hors ligne
Quelle idée aussi (et quel intérêt) de mettre deux sous-réseaux IP distincts sur le même segment Ethernet.
en effet j'ai là une installation bien poreuse.... que veux-tu je suis jeunes, débutant et j'apprend sur le tas, les erreurs font partie du jeu.
je vais modifier mon réseaux en conséquence. merci pour les pistes que tu me donne raleur.
Hors ligne
avec le gestionnaire de machine virtuelle je donne l'interface enp8s0.5 a l'invité en mode "pont". enp6s0.5 est utilisé par l'hote.
le probleme est que l'invité ne peut pas pinger l'hote (qui sert ici de paserelle vers le web). pourtant l'adresse mac de l'hote remonte bien dans la table ARP de l'invité.
si je ne me tronpe pas, l'hote devrait laisser passer a traver enp6s0.5 tout les trames tagger avec un ID de vlan "5" ? comme mon invité dispose de enp8s0.5 tout ces trames sont automatiquement tagger avec lID 5 ?
je regarderais plus en detail demain (esperons que la nuit me porte conseille). mais pour l'instant je suis dans le flou.... je ne vois pas mon erreur....
pour info,
- j'ai egalment testé avec enp8s0.5 en mode "passtrought", "VEPA" et "pont" (mode disponible dans virt-manager qui est le client que j'utilise pour administer mes VMs)
- le module 8021q est bien chargé par l'hote.
- la comande "systemctl restart networking.service" se deroule sans erreur
- je ne configure rien de particulier sur l'invité (juste l'IP)
Merci beaucoup !
EDIT : apres un "reboot" ce matin mon souci n'est plus.
Dernière modification par woinche (03-03-2019 11:48:22)
Hors ligne
avec le gestionnaire de machine virtuelle je donne l'interface enp8s0.5 a l'invité en mode "pont". enp6s0.5 est utilisé par l'hote.
Ce n'est pas ce que j'ai suggéré, et je n'ai pas la moindre idée de comment QEMU se comporte dans cette configuration.
Il vaut mieux montrer que raconter.
Hors ligne
Ce n'est pas ce que j'ai suggéré
certes, mais j'ai préféré utiliser les vlans car entre mes deux interfaces il y a un switch qui gère également les vlan. donc si l'hyperviseur tag toute les trames sortante de ces cartes, je peux avec le switch faire des réseaux en mélangent VM et machines physique. ce qui m'arrive de temps a autre.
donc voilà j'ai voulu tester avec les vlans avant de toucher au "br". ceci étant dit, le switch n'est pas encore configurer.... donc rien n'est valider....
en tout cas, au niveau des VM je ne vois aucun effet indésirable, les tables ARP ne traduise que des IP "intra-reseaux" et les traduction que je reste a la main me permette pas de court-circuiter le routeur. je ferait un peu plus de test semaine prochaine (là je n'ai pas de temps a consacré au projet perso). donc a voir si je garde cette solution ou pas.
encore merci raleur.
Dernière modification par woinche (06-03-2019 21:44:00)
Hors ligne
mais d'autre le fonctionne pas du tout....
par exemple les différents paramètre que sont --http --http_download --http_application_activesync --http_connect --http_proxy ne "match"' rien du tout
pour en arriver a cette conclusion, j'ai procédé comme ceci:
j'ai taper cette commande afin de vérifier si l'inspection fonctionnait bien.
ensuite je génère du trafic depuis le client avec lynx
en parallèle je vais voir dans le /var/log/syslog si le trafic apparaît
résultat ni le SSH ni les différents "filtre" HTTP ne match, en revanche, et selon le mène protocole de test d'autre filtre fonctionne telle que DNS par exemple.
étrange non ? je fait mal les choses ? ça vous est déjà arrivé ?
merci d'avance
Hors ligne
Pages : 1