sunfun Posté(e) le 10 octobre 2006 Partager Posté(e) le 10 octobre 2006 bonjour à tous, j'ai un serveur sous debian 2.6.12-2-686 j'essaie d'installer chillispot j'ai donc suivi ce tutorial http://www.pervasive-network.org/SPIP/Inst...llispot-sur-une tout se passe bien jusqu'à ce que je lance la commande suivante /etc/chilli.iptables il me renvoie l'erreur suivante : FATAL: Module ip_tables not found. iptables v1.2.11: can't initialize iptables table `nat': iptables who? (do you n eed to insmod?) Perhaps iptables or your kernel needs to be upgraded. voici le contenu du fichier /etc/chilli.iptables #!/bin/sh # # Firewall script for ChilliSpot # A Wireless LAN Access Point Controller # # Uses $EXTIF (eth0) as the external interface (Internet or intranet) and # $INTIF (eth1) as the internal interface (access points). # # # SUMMARY # * All connections originating from chilli are allowed. # * Only ssh is allowed in on external interface. # * Nothing is allowed in on internal interface. # * Forwarding is allowed to and from the external interface, but disallowed # to and from the internal interface. # * NAT is enabled on the external interface. IPTABLES="/sbin/iptables" EXTIF="eth0" INTIF="eth1" $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD ACCEPT $IPTABLES -P OUTPUT ACCEPT #Allow related and established on all interfaces (input) $IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #Allow releated, established and ssh on $EXTIF. Reject everything else. $IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 --syn -j ACCEPT $IPTABLES -A INPUT -i $EXTIF -j REJECT #Allow related and established from $INTIF. Drop everything else. $IPTABLES -A INPUT -i $INTIF -j DROP #Allow http and https on other interfaces (input). #This is only needed if authentication server is on same server as chilli $IPTABLES -A INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT $IPTABLES -A INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT #Allow 3990 on other interfaces (input). $IPTABLES -A INPUT -p tcp -m tcp --dport 3990 --syn -j ACCEPT #Allow everything on loopback interface. $IPTABLES -A INPUT -i lo -j ACCEPT # Drop everything to and from $INTIF (forward) # This means that access points can only be managed from ChilliSpot $IPTABLES -A FORWARD -i $INTIF -j DROP $IPTABLES -A FORWARD -o $INTIF -j DROP #Enable NAT on output device $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE # serveur SSH $IPTABLES -A INPUT -i tun0 -p tcp -m tcp --dport 22 --syn -j ACCEPT # imap over SSL $IPTABLES -A INPUT -i tun0 -p tcp -m tcp --dport 993 --syn -j ACCEPT pouvez-vous me dire comment est-ce que je peux recompiler le kernel pour avoir le module ip_tables ? merci de votre aide sunfun Lien vers le commentaire Partager sur d’autres sites More sharing options...
naparuba Posté(e) le 10 octobre 2006 Partager Posté(e) le 10 octobre 2006 Il me semblait que iptables était juste la partie UserLand et que la partie dans le noyau était netfilter? Le noyau c'est ta compilation perso? Lien vers le commentaire Partager sur d’autres sites More sharing options...
sunfun Posté(e) le 10 octobre 2006 Auteur Partager Posté(e) le 10 octobre 2006 Il me semblait que iptables était juste la partie UserLand et que la partie dans le noyau était netfilter? Le noyau c'est ta compilation perso? bonjour, à vrai dire, je ne connais pas du tout les subtilités entre netfilter et iptables le noyau est une compilation qui n'a pas été faite par moi meme j'ai juste repris le cd avec ce noyau précompilé et je l'ai installé est-ce que ça veut dire que je dois installer netfilter sur ce serveur pour avoir le module iptables ou pas ? merci de ta réponse sunfun Lien vers le commentaire Partager sur d’autres sites More sharing options...
naparuba Posté(e) le 10 octobre 2006 Partager Posté(e) le 10 octobre 2006 Netfilter est le "vrai" firewall, c'est lui qui reçoit les règles et fait le travail de filtre. Iptables permet "simplement" de le commander si j'ai tout compris. Je pense qu'il faut que tu cherche à activer les modules en "ip*" et surtout: ip_tables ip_conntrack iptable_nat iptable_filter iptable_mangle il me semble. Si tu es sous bash, active bash_completion si ce n'est pas déjà fait (/etc/bash_completion a priori) puis fait un: #modprobe ip<TABULATION> pour voir ce qu'il te propose. Il semblerai donc que le ip_tables n'y soit pas, si c'est le cas il faudrait mieux en fait mettre un noyau fourni avec la distrib pour ne pas t'ennuyer avec ça si tu n'es pas trop chaud pour une recompilation de noyau. Sous zsh même pas besoin de la completion, c'est de base Il y a ausi la solution d'y aller à la mano pour chercher les .ko mais bon commençons simplement J'espère t'avoir aidé. Lien vers le commentaire Partager sur d’autres sites More sharing options...
sunfun Posté(e) le 10 octobre 2006 Auteur Partager Posté(e) le 10 octobre 2006 bonjour naparuba, quand je fais un modprobe ip<TABULATION>, voici ce que j'ai : aquarius:/usr/src/iptables-1.3.6# modprobe ip ip6tables ip6tables-standalone.c iptables-restore.8 ip6tables.8 iptables iptables-restore.c ip6tables.8.in iptables.8 iptables-save ip6tables.c iptables.8.in iptables-save.8 ip6tables.o iptables.c iptables-save.c ip6tables-restore.8 iptables.d iptables-standalone.c ip6tables-restore.c iptables-multi.c iptables-standalone.d ip6tables-save.8 iptables.o ip6tables-save.c iptables-restore visiblement, le fichier ko associé au module iptables n'existe pas comment pourrais-je faire sans recompiler le noyau et avoir le module iptables ? si possible sans installer à nouveau debian ? merci de tes conseils sunfun PS : s'il faut recompiler, alors recompilons Lien vers le commentaire Partager sur d’autres sites More sharing options...
naparuba Posté(e) le 10 octobre 2006 Partager Posté(e) le 10 octobre 2006 visiblement tu n'as pas activé la completion car il te propose des fichier .c par exemple, fait un : (en root) . /etc/bash_completion cd /tmp modprobe ip<TABULATION> S'il n'y a rien on va recompiler, tuXXX a fait un bon tuto dessus Lien vers le commentaire Partager sur d’autres sites More sharing options...
sunfun Posté(e) le 10 octobre 2006 Auteur Partager Posté(e) le 10 octobre 2006 visiblement tu n'as pas activé la completion car il te propose des fichier .c par exemple, fait un : (en root) . /etc/bash_completion cd /tmp modprobe ip<TABULATION> S'il n'y a rien on va recompiler, tuXXX a fait un bon tuto dessus bonjour, tu peux me donner le lien vers le tuto de tuXXX s'il te plait ??? merci naparuba sunfun Lien vers le commentaire Partager sur d’autres sites More sharing options...
naparuba Posté(e) le 10 octobre 2006 Partager Posté(e) le 10 octobre 2006 Cadeau : là. Lien vers le commentaire Partager sur d’autres sites More sharing options...
sunfun Posté(e) le 10 octobre 2006 Auteur Partager Posté(e) le 10 octobre 2006 Cadeau : là. merci bien naparuba je vais regarder ça de plus près sunfun Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.