Aller au contenu

Test Fire-Wall Sur Video Station En Passant Par Haproxy


via78

Messages recommandés

bonjour,

je ne comprend pas ce qui se passe, donc je vous solicite.

pour commencer :

NAS DS213

DSM 4.3 A JOUR des updates

Video Station d'installer et fonctionnel

Haproxy d'installer et fonctionnel

voici le test que je fais :

en tete de mon par feu "refus pour tous sur le port 9007" (port de video station pour moi)

en bas j'ai de cocher refus pour tous ce qui n'est pas mentionné dans le Fire-Wall

haproxy qui renvoi sur le port 9007 quand je fait http ou https sur video.mon_nom_de_dolmain.fr

je m'attend a me faire jetté et NON ca passe.

quand je fait IPTABLES -L j'ai bien DROP sur le port 9007.

et quand je fais netstat, j'ai bien du 9007 qui transite.

ou ai je loupé quelque chose ou j'ai pas compris un truc dans la chaine.

merci d'avance

Via

Modifié par via78
Lien vers le commentaire
Partager sur d’autres sites

non je ne fait pas de regle de ce type ou j'ai loupé quelque chose

voici le resultat de "iptables -L" :

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DOS_PROTECT  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
DROP       tcp  --  anywhere             anywhere            tcp dpt:9007
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:5000
modprobe: chdir(2.6.32.12): No such file or directory
modprobe: chdir(2.6.32.12): No such file or directory
ACCEPT     tcp  --  mon_sous_reseau      anywhere            multiport dports 5001,5000,ssh
ACCEPT     udp  --  mon_sous_reseau      anywhere            multiport dports 1234,9997,9998,9999
ACCEPT     icmp --  mon_sous_reseau      anywhere
ACCEPT     tcp  --  anywhere             anywhere            multiport dports 16881,4662
ACCEPT     udp  --  anywhere             anywhere            multiport dports 6881,4672
ACCEPT     tcp  --  anywhere             anywhere            multiport dports https,http
ACCEPT     tcp  --  anywhere             anywhere            multiport dports 50002,50001
ACCEPT     udp  --  anywhere             anywhere            udp dpt:1900
ACCEPT     udp  --  mon_sous_reseau      anywhere            multiport dports 6001:6010,5353
ACCEPT     tcp  --  mon_sous_reseau      anywhere            multiport dports 9025:9040
ACCEPT     udp  --  mon_sous_reseau      anywhere            multiport sports 65001,5004,rfe
ACCEPT     udp  --  mon_sous_reseau      anywhere            multiport dports 65001,5004,rfe
ACCEPT     tcp  --  mon_sous_reseau      anywhere            tcp dpt:afpovertcp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:8271
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:8280
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:5443
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:5080
DROP       all  --  anywhere             anywhere
                                                                                                                                                                                                                                         
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
                                                                                                                                                                                                                                         
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
                                                                                                                                                                                                                                         
Chain DOS_PROTECT (1 references)
target     prot opt source               destination
RETURN     icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5
DROP       icmp --  anywhere             anywhere            icmp echo-request
RETURN     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST
RETURN     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 10000/sec burst 100
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN

Via


et voici mon "netstat -n | grep 9007" :

tcp        0      0 127.0.0.1:51848         127.0.0.1:9007          ESTABLISHED
tcp        0      0 127.0.0.1:51850         127.0.0.1:9007          ESTABLISHED
tcp        0      0 127.0.0.1:51849         127.0.0.1:9007          ESTABLISHED
tcp        0      0 ::ffff:127.0.0.1%16:9007 ::ffff:127.0.0.1%3199400868:51787 TIME_WAIT
tcp        0      0 ::ffff:127.0.0.1%17:9007 ::ffff:127.0.0.1%3199400868:51848 ESTABLISHED
tcp        0      0 ::ffff:127.0.0.1%18:9007 ::ffff:127.0.0.1%3199400868:51780 TIME_WAIT
tcp        0      0 ::ffff:127.0.0.1%19:9007 ::ffff:127.0.0.1%3199400868:51850 ESTABLISHED
tcp        0      0 ::ffff:127.0.0.1%20:9007 ::ffff:127.0.0.1%3199400868:51849 ESTABLISHED

lors que je me connecte sur video station

Via

Modifié par via78
Lien vers le commentaire
Partager sur d’autres sites

j'ai le même résultat:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DOS_PROTECT  all      anywhere             anywhere
ACCEPT     all      anywhere             anywhere            state RELATED,ESTABLISHED
DROP       tcp      anywhere             anywhere            tcp dpt:9007
ACCEPT     tcp      anywhere             anywhere            tcp dpt:5000
modprobe: chdir(2.6.32.12): No such file or directory
modprobe: chdir(2.6.32.12): No such file or directory
ACCEPT     tcp      anywhere             anywhere            multiport dports 16881,4662
ACCEPT     udp      anywhere             anywhere            multiport dports 6881,4672
ACCEPT     tcp      anywhere             anywhere            multiport dports https,http
ACCEPT     tcp      anywhere             anywhere            multiport dports 50002,50001
ACCEPT     udp      anywhere             anywhere            udp dpt:1900
ACCEPT     tcp      anywhere             anywhere            tcp dpt:8271
ACCEPT     tcp      anywhere             anywhere            tcp dpt:8280
ACCEPT     tcp      anywhere             anywhere            tcp dpt:5443
ACCEPT     tcp      anywhere             anywhere            tcp dpt:5080
ACCEPT     icmpv6    anywhere             anywhere
DROP       all      anywhere             anywhere
                                                                                                                                                                                                                                         
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
                                                                                                                                                                                                                                         
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
                                                                                                                                                                                                                                         
Chain DOS_PROTECT (1 references)
target     prot opt source               destination
RETURN     tcp      anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
DROP       tcp      anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST
RETURN     tcp      anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 10000/sec burst 100
DROP       tcp      anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN


mais sans les sous réseau (ce qui est normal)

Via

Modifié par via78
Lien vers le commentaire
Partager sur d’autres sites

Bon après les tests que j'ai fais, il semble que mon par feu fonctionne bien .

Comme tu le souligne, il n'y a pas de règle loopback et comme je passe par haproxy, c'est des requête localhost vers localhost.

Donc c'est comme si haproxy sert de par feu et que après cest libre comme l'aire.

Merci pour les réponse

Si vous avez une solution ou une préconisation, je suis preneur.

Mais il n'avait pas une histoire de véhicule l'adresse ip de la provenance des requêtes haproxy ??

Via

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.