rc.local et rc.d/ipsec

[Riric]

Salut la compagnie, <BR>bon j'aimerais avoir une clarification de ce qui est fait sous IPCOP (v1.3.0 fixe4 me concernant) sur les scripts rc.local, et ipsec. <BR> <BR>Effectivement, j'avais cru lire quelque part que le rc.local était lancé au démarrage du RED.... <BR> <BR>Or si je regarde bien ce qu'il se passe dans rc.d j'ai : <BR> <BR>rc.sysinit -> lancement du rc.local <BR> <BR>or lors d'un arrêt/démarrage du RED, il y a rc.updatered qui relance rc.firewall donc qui ré-initialise les tables iptables => les chgts iptables du rc.local ne sont pas repris en compte ! <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Dans un autre genre, pourquoi si je fais un rc.red stop, j'ai toujours mon interface ipsec0 ? du coup, je suis obligé de faire un /etc/rc.d/ipsec stop pour vraiment tout nettoyer... <BR>Est-ce normal ? <BR> <BR>Merci d'avance ! <IMG SRC="images/smiles/icon_biggrin.gif">

[grosbedos]

arf ben niveau code c'est normal... <BR>autrement si ils suivent la politique ipcop..ils devraient reprendre le rc.local a chaque connexion........mais si ils le font pas c'est pas normal du tout!!!!!!! <BR> <BR>et ils le font pas..je trouve ca vraiment bizar.....ipcop me decoi de plus en plus.. <BR> <BR>pourquoi recharger toutes les regles concernant ppp0 alors qu'on restart pas les regles utilisateurs???si elles concernent ppp0 on est nik..... <BR> <BR>enfin voila la pensé du jour..je pense pas que ce soit normal....... <IMG SRC="images/smiles/icon_eek.gif">

[Gesp]

Je ne pense pas qu'il y ait d'erreur mais je peux me tromper, certaines subtilités d'Iptables ne me sont pas encore apparues. <BR> <BR>L'astuce est dans le fait que les variables CUSTOM que vous êtes censé utiliser dans rc.local ne sont <!-- BBCode Start --><B>définies</B><!-- BBCode End --> que dans rc.local et <!-- BBCode Start --><B>utilisées</B><!-- BBCode End --> dans rc.firewall. <BR> <BR>Donc si vous n'avez pas fait de modif pour effacer les règles CUSTOM dans rc.firewall à chaque fois que rc.updatered est lancé, IPCop applique les bonnes règles au bon moment. <BR> <BR>C'est pour cela que j'efface les règles CUSTOM dans rc.local sinon il faut attendre de rebooter pour retrouver des règles vides. <BR>J'ai fait comme cela <BR>IFACE=`/bin/cat /var/ipcop/red/iface | /usr/bin/tr -d '012'` <BR># Custom rules <BR>/sbin/iptables -F CUSTOMINPUT <BR>/sbin/iptables -F CUSTOMFORWARD <BR>/sbin/iptables -t nat -F CUSTOMPREROUTING <BR>/sbin/iptables -F InOut # efface les regles <BR>/sbin/iptables -X InOut # supprime la chaine <BR>/sbin/iptables -N InOut # cree la chaine <BR> <BR>C'est très certainement perfectible parce que je crois me souvenir que j'ai un message d'erreur quand je lance la première fois rc.local mais je ne sais pas comment faire pour contourner <BR>Le message est compréhensible car la première fois j'efface InOut alors que la cible n'existe pas. Mais si je ne le fais pas, j'ai un problème quand elle existe déjà. <BR> <BR>Le gros problème qu'il y a, c'est qu'une quantité de fonctionalités ont été ajoutées mais avec une documentation pour les utiliser correctement quasiment inexistante. <BR> <BR>Mais chez moi cela marche, mon log me laisse tout à fait tranquille depuis que je filtre en CUSTOM les ports 135:139, 445 et quelques autres. <BR>Et la réinstallation est un rève, la disquette de sauvegarde s'occupant de tout, aucune bidouille à réaliser.

[Riric]

ok, je vais regarder plus en détail pour essayer de blinder un peu ça... <BR> <BR>Thanks Gesp ! <IMG SRC="images/smiles/icon_up.gif">

[GozerX99]

tiens, c'est marrant, j'ai à peu près comme Gesp dans mes règles situés dans /etc/rc.d/rc.local <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>Par contre, je ne fais la "purge" des règles par rapport à chaque déconnection. <BR>Comme ca m'inquiétait (ce que disait Riric), j'ai fait des tests en mettant un echo "toto" >>/etc/rc.d/toto en plus de mes règles (en me déconnectant manuellement, et en me reconnectant), et .... malheuresement, je confirmes que rc.local n'est pas relancé à la reconnection, cad, dis autrement, il n'est lancé qu'au démarrage de IPCop. <BR> <BR>Heuresement, pour moi, j'ai contruit mes règles dans les chaines CUSTOM, dans la même logique que les règles par défaut du fichier /etc/rc.d/rc.firewall, autrement dit en ne précisant pas les adresses IP de destination (notre @IP à l'instant qui est succeptible de changer avec l'ADSL par ex.). <BR>Ca donne un truc dans le genre : <BR>/sbin/iptables -A CUSTOMINPUT -p tcp -i $IFACE --destination-port 135 -j DROP <BR> <BR>Ce qui donne avec iptables -L CUSTOMINPUT : <BR>DROP tcp -- anywhere anywhere tcp dpt:135 <BR> ^ ^ <BR> |______________|______La règle est valable tout le temps du coup ! <BR> <BR> <BR>En conclusion, ca convient dans mon cas, mais c'est bête pour ceux qui doivent mettre leur adresse IP de destination dans une règle CUSTOM.