# [reseau] installer un firewall (iptables)

## Admin-galere

Bonjour!!

Je me permet de vous solliciter afin de savoir s'il y a un tutoriel précis (pas à pas) pour installer un fire-wall. 

Je vais installer ip tables et le tutoriel de gentoo dit d'aller sur une page:

http://iptables-tutorial.frozentux.net/chunkyhtml/kernelsetup.html

et le pb c que je ne trouve pas ces options a "cocher" ds mon make menuconfig!

Sont ils caches? suis-je alcoolique??   :Question: 

Vous savez vous??

merci de votre aide!Last edited by Admin-galere on Mon Jan 12, 2004 9:17 am; edited 1 time in total

----------

## mickey08

 *Admin-galere wrote:*   

> 
> 
>  suis-je alcoolique??  
> 
> 

 

souffle un peu pour voir   :Razz: 

----------

## yuk159

A prioris tous les modules dont tu a besoin sont indiqués par les : CONFIG_*

Je te l'accorde ce n'est pas sous cette formes qu'il sont dans le menu.(Ils sont par contre només comme ca dans l'aide  :Wink: )

Perso pour la config de netfilter je mets tout en module a par les modules experimentaux.

[EDIT] voici trois liens qui devraient t'aider :

http://lea-linux.org/reseau/murdefeu.php3

http://lea-linux.org/reseau/firewall.php3

http://lea-linux.org/reseau/iptables.php3

----------

## Admin-galere

c donc pas la meme facon de les nommer... 

ha les petits malins!!   :Surprised: 

Mais on peut les trouver ou??

code maturity level option??

loadable module support

processor type and features??

..

Sinon le site de lea, je vis deja dessus   :Wink: 

----------

## yuk159

Dans Networking Options et IP:Netfilter Configuration  :Wink: 

[EDIT] Tu obtiendras la configuration de netfilter que quand tu auras coché

Network paquet filtering dans le menu Networking Options

Désolé j'ai pas été très clair la première fois    :Embarassed: 

----------

## Admin-galere

ca peut sembler incroyable mais je n'ai pas cette proposition, j'ai bien networking options mais pas l'autre.

Comment est ce possible? ai-je mal configure qqchose?

----------

## yuk159

up  :Wink: 

----------

## Admin-galere

ok desole, j'ai mal fait un truc c bon j'ai trouve ipchains.

Merci car vraiment je voyais pas ...

c pas de bol qu'il faille cocher qqchose pour que ca s'affiche   :Confused: 

Je passe pour un naze!   :Embarassed: 

----------

## yuk159

iptables tu veux dire ?

Et, non t'inquitete pas tu passe pas pour un naze  :Wink: 

----------

## Admin-galere

oui iptables

je le cherchais depuis ce matin: j'ai epluché chaque option!!!

tu me sauves je finissais par croire que j'etais dingue!

MERCI!!!

----------

## Admin-galere

 *Quote:*   

> Si vous désirez re-compiler votre kernel, il faut spécifier les options nécessaires au fonctionnement d'iptables.
> 
> Les options suivantes doivent êtres activées en module (M) ou dans le kernel (Y) : 
> 
> CONFIG_PACKET 
> ...

 

c'est sur le site de lea mais je ne vois pas bien si cest pareil que de selectionner iptables et recompiler le noyau.

puis apres je vais faire un emerge iptables

C'est bien ca??

----------

## Koon

Pour installer Shorewall (=iptables facilité par un générateur de règles) :

http://www.shorewall.net/standalone_fr.html (firewall personnel)

http://www.shorewall.net/two-interface_fr.html (routeur-firewall)

http://www.shorewall.net/three-interface_fr.html (firewall avec DMZ)

Installation sous Gentoo : emerge shorewall  :Wink: 

Attention compilation du kernel : http://www.shorewall.net/kernel.htm (en anglais)

-K

----------

## Admin-galere

Merci mais je voulais vraiment iptable car c'est un imperatif de mon chef.

Le pb c'est que je ne voit pas ce que c'est tous les config_packet, config_netfilter,...

j'ai bien selectionné IpNetfilter et iptables avant de compiler le noyau cependant, je ne vois pas si je fais ce qu'il faut ou pas.   :Confused: 

est ce que le guide de lea:

http://lea-linux.org/reseau/iptables.php3

va aussi pour une gentoo? Car c'est a la base pour une red hat...

Pouvez-vous me conseiller?

merci d'avance

----------

## yoyo

Pour savoir si tu as bien configurer ton noyau (si tu as bien sélectionné les options données par lea-linx) :

soit tu édites "/usr/src/linux/.config" et tu cherches les lignes qui t'intéressent,

 soit tu fais un "grep CONFIG_etc. /usr/src/linux/.config" pour chaque option (casse importante).

Pour la config du noyau, il ne doit y avoir aucune différence entre les distributions linux; pour le reste, je ne suis pas un spécialiste mais mis à part le "rpm -Uvh" à remplacer par un "emerge", je pense que le reste est applicable à Gentoo (et autre)...

----------

## Admin-galere

ok merci je vais tenter.

Je me demandais car souvent, c'est pas pareil entre gentoo et les autres distributions.

POur le emerge c'est bon mais les modules a charger c'est pas encore ca... ;o)

en effet modprobe ne semble pas adequat... que faire???

----------

## yoyo

 *Admin-galere wrote:*   

> en effet modprobe ne semble pas adequat... que faire???

 

Si modprobe ne fonctionne pas, c'est que tu n'as pas compilé les modules dans ton noyau courant.

Si tu les as compilés en dur (option Y dans le fichier ".config"), les "modprobe" sont inutiles car il permettent de charger les modules (compilés en dur = inclus dans le noyau => pas de modules). Tu peux sauter cette étape des modprobes (à condition d'être sur d'avoir bien tout chargé).

En espérant avoir été clair   :Confused:  .

----------

## Admin-galere

oui merci de m'aider. je vais verifier si j'ai ecrit en modules ou en dur.

Cependant, je ne vois toujours pas les options pre-citees a cocher dans le kernel...

Alors si qqun peut me dire s'il s'agit d'options a cocher ou est-ce une petite astuce pour me rendre chevre??

 :Laughing: 

A bientot...

----------

## Admin-galere

J'ai fait comme Yoyo m'a dit. Hélas, le module n'est pas là a ce qu'il semblerait.

grep CONFIG_PACKET /usr/src/linux/.config

on me repond:

CONFIG_PACKET=y

# CONFIG_PACKET_MMAP is not set

Peut etre devrais je re selectionner mes modules ds le noyau et le re compiler....

QU'en pensez vous??

----------

## yoyo

 *Admin-galere wrote:*   

> J'ai fait comme Yoyo m'a dit. Hélas, le module n'est pas là a ce qu'il semblerait.
> 
> grep CONFIG_PACKET /usr/src/linux/.config
> 
> on me repond:
> ...

 

Il te sembles mal ...   :Wink: 

Ici, tu as "CONFIG_PACKET=y", cela signifie que cette option est inclues dans le noyau ("y") et pas en module (dans ce cas, tu aurais eu ""CONFIG_PACKET=M").

Ceci est décrit sur la page de lea-linux que tu donnes en lien.

Par contre, le support de "CONFIG_PACKET_MMAP" n'est pas activé. Mais il n'est pas cité sur lea-linux. Je pense que tu n'en as pas besoin.

EDIT : apparemment, c'est "grep" qui t'as induit en erreur.

"grep xx yy" recherche les caractères "xx" dans le fichier "yy" en tenant compte de la casse et affiche toutes les lignes correpondantes. 

Essaie un "grep CONFIG /usr/src/linux/.config") et regarde le man de grep.

----------

## Admin-galere

avis a la population:

Voila je dois installer un firewall. Au debut gt parti pour installer iptables, puis la je me tatais pour shorewall car c'est censé etre un peu plus simple car il y a un générateur de regles. 

Hélas, la doc n'est pas aussi fournie que ce que j'avais espere...

Puisque pour installer shorewall il faut installer iptable, c'est peut etre mieux d'installer directement iptable et voila. non??

Merci de votre aide!   :Confused: 

----------

## mickey08

en fait shorewall est un peu une interface pour iptables ... enfin du moins c'est ce que j'en ai compris.

----------

## Bastux

Petit problème avec IPTABLES

je me demande si c'est normal.

J'ai entré tout un tas de règles sympa, mais à l'arrivée quand je tape :

```

iptables -L

```

pour lister toutes mes règles, j'ai ça :

```

...

Chain OUTPUT (policy DROP)

target     prot opt source               destination

ACCEPT     all  --  anywhere             anywhere

ACCEPT     all  --  anywhere             anywhere

ACCEPT     tcp  --  anywhere             anywhere           multiport dports www,https state NEW,RELATED,ESTABLISHED

ACCEPT     tcp  --  anywhere             anywhere           tcp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED

...

```

entres autres, alors que j'ai bien saisi mes interfaces, je tombe quand même sur "source"-> anywhere et "destination"-> anywhere.

Pour info, j'ai suivi le script de lea http://lea-linux.org/reseau/murdefeu.php3

C'est normal ou je me suis planté quelque part?

ça me parait pas trop normal le ACCEPT     all  --  anywhere             anywhere  :Wink: 

----------

## Koon

As-tu bien défini $INTERNAL_IF et $EXTERNAL_IF dans ton script ? Si non, ça doit être remplacé par rien et donc concerner toutes les interfaces...

[EDIT] Poste ton script sinon

-K

----------

## Bastux

 *Koon wrote:*   

> As-tu bien défini $INTERNAL_IF et $EXTERNAL_IF dans ton script ? Si non, ça doit être remplacé par rien et donc concerner toutes les interfaces...
> 
> -K

 

j'ai suivi le script à la lettre et les interfaces correspondait déjà.

Je vais recommencer en saisissant carrément les interfaces mais à priori c'est pas ça...  :Sad: 

----------

## Admin-galere

pour ma part, je tente de suivre le tutoriel de LEA aussi mais cette fois sur les iptables et je ne sais pas ou ecrire les regles dans /etc/rc.d/init.d

Mais ce fichier n'existe pas chez moi!!

Aie aie aie c ien complique pour le petit noob que je suis...   :Question: 

----------

## Bastux

ça ne marche pas non plus...

je vous le remets donc  :Smile: 

```

#!/bin/sh

# (suite du script...)

# mettez ici l'emplacement d'iptables :

IPTABLES=/sbin/iptables

# mettez ici le nom de l'interface réseau vers internet :

#EXTERNAL_IF="ppp0"

# mettez ici le nom de l'interface réseau vers votre lan :

#INTERNAL_IF="eth0"

# (suite du script...)

# si vous voulez pouvoir autoriser les connections ftp :

#modprobe iptable_filter

#modprobe iptable_nat

#modprobe ip_conntrack

#modprobe ip_conntrack_ftp

# si vous voulez pouvoir autoriser le DCC sous IRC :

#modprobe ip_conntrack_irc

# (suite du script...)

$IPTABLES -P INPUT DROP

$IPTABLES -P OUTPUT DROP

$IPTABLES -P FORWARD DROP

 # (suite du script...)

# "On accepte le traffic sur 'lo'"

$IPTABLES -A INPUT -i lo -j ACCEPT

$IPTABLES -A OUTPUT -o lo -j ACCEPT

$IPTABLES -A FORWARD -i lo -j ACCEPT

$IPTABLES -A FORWARD -o lo -j ACCEPT

# "On accepte le traffic sur le réseau local"

$IPTABLES -A INPUT -i eth0 -j ACCEPT

$IPTABLES -A OUTPUT -o eth0 -j ACCEPT

$IPTABLES -A FORWARD -i eth0 -j ACCEPT

$IPTABLES -A FORWARD -o eth0 -j ACCEPT

 # (suite du script...)

# On loggue les packets DROPés

#$IPTABLES -A DROP -j LOG --log-prefix "/var/log/paquets_droppes"

#$IPTABLES -A DROP -j DROP

 # (suite du script...)

echo 1 > /proc/sys/net/ipv4/ip_forward

 # (suite du script...)

$IPTABLES -A POSTROUTING -t nat -o ppp0 -j MASQUERADE

# (suite du script...)

$IPTABLES -A INPUT -i ppp0 -p tcp -m multiport --sports www,https -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A OUTPUT -o ppp0 -p tcp -m multiport --dports www,https -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# (suite du script...)

$IPTABLES -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

# (suite du script...)

$IPTABLES -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT

# (suite du script...)

$IPTABLES -A OUTPUT -p icmp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

$IPTABLES -A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT

$IPTABLES -A INPUT -p icmp -m state --state NEW -m limit --limit 10/min -j ACCEPT

# pour les noms de domaines...

$IPTABLES -A OUTPUT -o ppp0 -p tcp --sport domain -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -i ppp0 -p tcp --dport domain -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# pour le ftp quand même...

$IPTABLES -A OUTPUT -o ppp0 -p tcp --sport ftp -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -i ppp0 -p tcp --dport ftp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# on loggue...

$IPTABLES -A FORWARD -j LOG

$IPTABLES -A INPUT -j LOG

$IPTABLES -A OUTPUT -j LOG

```

j'espère que vous pourrez y voir plus clair que moi...

Tout marche, mais tout à l'air ouvert oci  :Sad: 

Merci.

N.B. : j'ai chargé les modules qui sont commentés.

----------

## Koon

 *Bastux wrote:*   

> 
> 
> ```
> 
> ...
> ...

 

En fait il manque les interfaces concernées dans ton iptables -L...

Le premier accept c'est celui de "lo" ($IPTABLES -A OUTPUT -o lo -j ACCEPT), le deuxième c'est celui de "eth0" ($IPTABLES -A OUTPUT -o eth0 -j ACCEPT), le troisième et le quatrième concernent "ppp0"...

Tout a l'air correctement généré, mais le iptables -L oublie de t'indiquer l'interface concernée.

Le anywhere->anywhere est normal, vu que tu n'as pas de source ou de dest précisée dans tes deux premiers ACCEPT.

-K

----------

## Bastux

 *Koon wrote:*   

>  *Bastux wrote:*   
> 
> ```
> 
> ...
> ...

 

oui mais c'est assez problématique car il a l'air d'ouvrir tout quand même.

Dans mon script j'ai désactivé la partie qui autorise les PING et ça passe quand même...  :Sad: 

Quelqu'un pourrait m'envoyer son script de gérération des règles que je compare?

----------

## Bastux

c'est bon c'est résolu  :Smile: 

Sur le forum gentoo/Networking quelqu'un m'a répondu.

En fait en faisant la commande iptables -vL on peut voir les interfaces.

C'est là que je me suis aperçu que tout allait bien mais ke le NAT laissait tout passer.

Je vais donc étudier pdt quelques temps le firewalling pour le MASQ  :Smile: 

Merci à Koon!

----------

## yuk159

 *Admin-galere wrote:*   

> pour ma part, je tente de suivre le tutoriel de LEA aussi mais cette fois sur les iptables et je ne sais pas ou ecrire les regles dans /etc/rc.d/init.d

 

Attention les exemples de léa sont fait sur des Mandrake ou d'autre distro le dossier que tu cherche sur gentoo est : /etc/init.d

----------

## Admin-galere

Merci yuk, cependant, je suis assez perdu. je n'arrive pas a avancer car j'essaye de faire comme du LEA mais comme tu le dis, ce n'est pas fait pour du gentoo. MAis alors ou trouver pour gentoo.   :Question: 

J'ai ete voir aussi /etc/init.d et c vide. dois je le remplir, est ce normal que ce soit vide,???

Je ne m'y connais pas du tout assez pour faire la transposition moi-même.

Tu en as installe un toi??

A la limite je suis ouvert a d'autres idees que iptables s'il y a un tutorial complet "pour les nuls"

Help!   :Crying or Very sad: 

----------

## Admin-galere

C'est encore moi!

Decidement je m'en sors pas de mon iptable.

Apres avoir cree un script  pour le firewall que j'ai mit ds 

/usr/bin/startfirewall

lorsque je fais iptables -L j'obtiens:

```

/lib/modules/2.4.20-gentoo-r8/kernel/net/ipv4/netfilter/ip_tables.o:unresolved symbol nf_unregister_sockopt

lib/modules/2.4.20-gentoo-r8/kernel/net/ipv4/netfilter/ip_tables.o:unresolved symbol nf_register_sockopt

lib/modules/2.4.20-gentoo-r8/kernel/net/ipv4/netfilter/ip_tables.o:insmod /lib/modules/2.4.20-gentoo-r8/kernel/net/ipv4/netfilter/ip_tables.o failed

lib/modules/2.4.20-gentoo-r8/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed

iptables v1.2.8: can't initialize iptalbes table 'filter':iptables who? (do you need to insmod?)

Perhaps iptables or your kernel nedds to be upgraded

```

Ouh la la pourtant j'ai suivit le tutoriel de LEA...   :Crying or Very sad: 

----------

## yuk159

 *Admin-galere wrote:*   

> J'ai ete voir aussi /etc/init.d et c vide. dois je le remplir, est ce normal que ce soit vide,???

 

Non ce n'est pas normal du tout, ce dossier devrait contenir tout les scripts de demarrage, est-tu sur qu'il est vide ? (la question est bete mais cela me semble vraiment trop bizarre)

 *Admin-galere wrote:*   

> A la limite je suis ouvert a d'autres idees que iptables s'il y a un tutorial complet "pour les nuls"

 

Perso je ne connais pas de tel tutos sur iptables mais peut-etre shorwall te conviendrai (un fois iptables correctement installe)

As tu fait un emerge iptables ?

----------

## Admin-galere

j'ai fait emerge iptables hier mais bon je vais ptet refaire... ca expliquerait que le dossier en question soit vide?

Est ce possible que mon install ce soit faite de travers??

----------

## yuk159

Si le dossier est effectivement vide (je me demande comment tu arrive a demarrer), je ferai plutot un emerge system.

Que donne un ls -l /etc/runlevels/boot/

----------

## Admin-galere

je n'ai rien dit!

c pas vide du tout c juste queje voulais ecrire dedans mais en fait c un repertoire et non pas un fichier.

JE dois mettre mon script dans iptables??

Disons qu'il y a deja qqchose ecrit dedans.

D'ailleur comment faire du copier coller sous nano???

ps: je n'ai pas de souris....

----------

## yuk159

Oui tu doit le mettre au debut du script, a la fonction : start ()

Quand a faire un copier coller dans nano, perso j'utilise ma souris mais il faut avant ca que tu emerge gpm est que tu le configure un peut comme suis :

```
MOUSE=ps2

MOUSEDEV=/dev/psaux
```

Dans le fichier /etc/conf.d/gpm , il suffit de decommenter les lignes existantes suivant ton type de souris

[EDIT] j'ai oublie de t'indiquer la methode, si tu est interesse   :Embarassed: 

En console il suffit de surligner le texte a copier et de cliquer droit pour l'inserrer.

Sur ce je vais dormir  :Wink: 

----------

## Admin-galere

Bonne nuit alors!! c ca d'etre decalé!!

Je vais tenter ca alors!! Mais d'abors il va me falloir trouver une souris...

a bientot!

----------

## yuk159

Arf... zut j'avais pas compris que tu n'en avais pas   :Confused: 

----------

## Admin-galere

Sinon on peut pas faire copier coller avec les touches genre crtl c ctrl v....

On peut toujours rever.

Sinon je peux installer la souris car on a toujours utilite d'une souris.

 :Surprised: 

----------

## yuk159

Bin desole je n'y connais rien a nano, j'utilise plutot vi mais si ca t'interresse je t'est trouver un petit recap des commandes de base : http://www.poitou-charentes.iufm.fr/fclinux/article.php3?id_article=79

Tu a aussi un petit tutos pour le prendre en main sur gentoo.org

----------

## Admin-galere

merci!

je vais aller voir ca sert toujours d'avoir els commandes!   :Wink: 

----------

## yuk159

Tient voila deux fils qui devraient t'interresser sur iptables :

https://forums.gentoo.org/viewtopic.php?t=108731&highlight=iptables

https://forums.gentoo.org/viewtopic.php?t=83922&highlight=iptables

Voila ce coup ci je vais dormir  :Wink: 

----------

## Bastux

 *yuk159 wrote:*   

> peut-etre shorwall te conviendrai (un fois iptables correctement installe)
> 
> 

 

Perso j'ai un peu testé shorewall, pas à fond c'est vrai mais j'ai pas vraiment étéà l'aise avec. J'ai eu surtout l'impression qu'il remplaçait les règles par une autre forme, mais le fond reste le même, alors je me suis dit autant utiliser iptables.

 *Admin-galere wrote:*   

> 
> 
> Est ce possible que mon install ce soit faite de travers??
> 
> 

 

à priori non.

Le truc, je sais pas si tout le monde va m'approuver, c'est d'exécuter ton script, de sauvegarder les règles iptables avec

```

/etc/init.d/iptables save

```

et de le lancer à chaque démarrage.

```

rc-update add iptables default

```

enfin c'est comme ça que j'ai fait et ça a l'air de marcher.

Si tu as compiler iptables et conntrack avec l'option M, il faut rajouter les noms de modules dans le fichier /etc/modules.autoload/kernelxxx où xxx est la version de ton noyau.

Je sais pas si c'est très kler  :Very Happy: 

----------

## Admin-galere

ca commence a avancer cette histoire de firewall mais je garde des questions.

Dans /etc/init.d/... il y a des fichiers dont iptables. 

 *Quote:*   

> 
> 
> Alors le truc c'est que tu exécutes ton script normalement, tu l'enregistre où tu veux c'est pas le problème. Après l'avoir exécuté, tu vérifie en tapant "iptables -vL" que tout est bien passé et si oui tu tapes un commade pratique qui est : 
> 
> "/etc/init.d/iptables save" qui aura pour effet de sauvegarder tes valeurs iptables. 
> ...

 

certes je veux bien... mais dois je creer un nouveau fichier ds le repertoire /etc/init.d

comment je le compile ce script? 

Lancer iptables -L ne va pas me dire si le fichier que g cree (il ne sait pas ou) marche. si??

Je realise que je pose des questions betes mais puisque je n'y connais pas enorme... j'ai l'impression d'avancer mais ds le brouillard   :Wink: 

----------

## Admin-galere

apres avoir mit le script suivant (apparetenant a doudou )  :Wink:   dans le /etc/init.d/iptables

```

depend() { 

    need eagle-adsl 

    } 

    

start() { 

        ebegin "Starting Port Adress Translation" 

        # Obligatoir 

        echo 1 > /proc/sys/net/ipv4/ip_forward 

        # Anti Spoof 

        echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter 

        # Config Masquerading 

        iptables -F FORWARD 

        iptables -A FORWARD -j ACCEPT 

        iptables -A POSTROUTING -t nat -o eth1 -j MASQUERADE 

        eend $? "Failed to lunch Port Adress Translation" 

} 

stop() { 

        ebegin "Stopping Port Adress Translation" 

        echo 0 > /proc/sys/net/ipv4/ip_forward 

        echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter 

        iptables -F FORWARD      

        eend $? "Failed to stop Port Adress Translation" 

}                                

```

et fait iptables -vL, j'obtiens:

```

/lib/modules/2.4.20-gentoo-r8/kernel/net/ipv4/netfilter/ip_tables.o:unresolved symbol nf_unregister_sockopt 

lib/modules/2.4.20-gentoo-r8/kernel/net/ipv4/netfilter/ip_tables.o:unresolved symbol nf_register_sockopt 

lib/modules/2.4.20-gentoo-r8/kernel/net/ipv4/netfilter/ip_tables.o:insmod /lib/modules/2.4.20-gentoo-r8/kernel/net/ipv4/netfilter/ip_tables.o failed 

lib/modules/2.4.20-gentoo-r8/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed 

iptables v1.2.8: can't initialize iptables table 'filter':iptables who? (do you need to insmod?) 

Perhaps iptables or your kernel needs to be upgraded 

 

```

Alors a votre avis?? C'est grave docteur?? J'ai peut etre fait des choses dans le desordre ou...??

Merci de votre aide!

----------

## yuk159

Je pense que tu n'as toujours pas les bons modules dans le noyau.

Il faut que tu reconfigure le noyaux avec tous modules de netfilter (sauf experimentaux)

----------

## Admin-galere

desole d'etre reste sans reponse alors que c'est moi qui vous harcele de questions mais j'etais en vacances donc pas d'ordinateru a portee de main.   :Cool: 

Je reste dans le flou quant a la creation d'un firewall. Tu as peut etre raison c'est peut etre a cause du fait que j'ai pas coche les bons modules a la compil du noyau.

On va voir... je vous dis ca demain!!   :Wink: 

----------

## scout

re - emerge iptables en passant, des fois quand on change de noyau (je sais pas si c'est le cas) ca ameliore un peu les choses

Si tu veux un autre tutoriel sur les iptables, c'est ici et c'est made-in gentoo http://www.gentoo.org/doc/fr/gentoo-security.xml#doc_chap12

mais bon, vaux mieux te concentrer sur tes modules d'abord

----------

## Admin-galere

arf apparement mon script s'est efface ou alors je ne sais pas ce qu'il s'est passe peut etre des lutins de Noel???   :Question: 

Bon je retente. Quelqu'un a t il les modules exacts a charger??? pour ma part j'avais ete voir le lien suivant:

http://www.shorewall.net/kernel.htm

Ca vous semble logique  ces modules?? moi oui mais bon je ne suis surement pas une reference!!!   :Shocked: 

----------

## yuk159

Pour ma part je dirais que tu peux t'y fier  :Wink: 

----------

## Admin-galere

Et bien oui ca semble bien mais alors pourquoi ai-je encore et toujours les meme erreurs que precedement?? 

(voir plus haut dans les posts)

je resume:

1) on emerge iptables

2) on coche les options trouvees sur le site pré-cité.

3) on compile le kernel 

4) on fait iptables -vL

Car apres avoir emerge iptables, le script est efface car un autre script est re-ecrit dessus.

Enfin de toutes facons le resultat est le meme: des erreurs!!!   :Crying or Very sad: 

----------

## scout

Bon, tout le monde va me dire que c'est debile de tester ca, mais bon ...

Admin-galere, essaye de mettre tout ce que tu as compile jusqu'a present en module dans le noyau, en dur (Met des * partout a la place des M dans la config du noyau).

Fait le juste pour la partie iptables & reseau du noyau, pas la peine de mettre le reste de ton noyau absolument en dur

 *Quote:*   

> et fait iptables -vL, j'obtiens: 
> 
> ```
> (...) (do you need to insmod?) (...)
> ```
> ...

 

[EDIT] Je pense que ton ordi subit un effet placebo: comme tu t'appelles admin-galere il ne veux pas marcher correctement.   :Wink: 

----------

## yuk159

Je ne trouve pas ca tres judicieux et surtout completement inutile   :Confused: 

----------

## Admin-galere

Heu ca change pas grand chose de mettre en dur ou en module non??

Par contre pour le pseudo oui ca doit etre ca!   :Wink: 

Peut etre qu'en changeant de nom... mais bon ca ne fera pas tout ce serai plus un travail psychologique.

En tout cas j'ai eu l'impression de faire comme il fallait d'apres la doc. Qqun a t il une idee sur ce qui cloche???

Avez vous la liste complete des modules a selectionner pour que ca marche ou pensez vous que ca puisse venir d'ailleurs???

----------

## Admin-galere

Alors voila le script de doudou. 

```

depend() { 

    need eagle-adsl 

    }  

start() { 

        ebegin "Starting Port Adress Translation" 

        # Obligatoire 

        echo 1 > /proc/sys/net/ipv4/ip_forward 

        # Anti Spoof 

        echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter 

        # Config Masquerading 

        iptables -F FORWARD 

        iptables -A FORWARD -j ACCEPT 

        iptables -A POSTROUTING -t nat -o eth1 -j MASQUERADE 

        eend $? "Failed to lunch Port Adress Translation" 

} 

stop() { 

        ebegin "Stopping Port Adress Translation" 

        echo 0 > /proc/sys/net/ipv4/ip_forward 

        echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter 

        iptables -F FORWARD      

        eend $? "Failed to stop Port Adress Translation" 

}                                

 
```

Une fois ce script ecrit je fais:

```

/etc/init.d/iptables start

```

 et alors la j'ai 100 lignes de messages d'erreur genre:

```

lib/modules/2.4.20-gentoo-r8/kernel/net/ipv4/netfilter/iptables.o: insmod ip_tables failed

iptables v1.2.8: can't initialize iptables table 'nat":iptables who? (do you need to insmod?)

perhaps iptables ro your kernel needs to be upgraded.

*failed to lunch port address translation

```

Apparement c le script qui ne va pas ou pensez vous toujours que ce soient les modules???    :Question: 

----------

## Admin-galere

Puisque je suis bloque, je tente autre chose avec le script de yuk.

```

#!/bin/sh 

# firewall v1.0 Sept 15 20:45:21 PDT 2001 written by : Kernel <kernel@trustonme.net> 

# this script is free software according to the GNU General Public License (see http://www.gnu.org/licenses/gpl.html) 

# Start/stop/restart/status firewall: 

firewall_start() { 

   echo "[Démarrage du firewall]" 

   ############################### REGLES PAR DEFAUT ########################### 

   echo "[Initialisation de la table filter]" 

   iptables -F 

   iptables -X 

   echo "[Politique par défaut de la table filter]" 

   # On ignore tout ce qui entre ou transite  par la passerelle 

   iptables -P INPUT DROP 

   iptables -P FORWARD DROP 

   # On accepte, ce qui sort 

   iptables -P OUTPUT ACCEPT 

   # Pour éviter les mauvaises suprises, on va 

   # autoriser l'accès à la loopback, c'est vital ! 

   iptables -A INPUT  -i lo -j ACCEPT 

   iptables -A OUTPUT -o lo -j ACCEPT 

   ############################### LOCAL-INTERNET ########################### 

   echo "[On autorise les clients à accéder à internet ]" 

   #On créé une nouvelle chaîne, le nom est indifférent 

   # appelons-la "local-internet" 

   iptables -N local-internet 

   # On définit le profil de ceux qui appartiendront à "local-internet" 

   # "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non) 

   # En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet. 

   # Pas de panique, certains serveurs seront autorisés explicitement dans la suite. 

   iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT 

   #Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer 

   # et faire des petits :-) 

   iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT 

   # On termine en indiquant que les connections appartenant à "local-internet" 

   # accèdent à internet de manière transparente. 

   iptables -A INPUT -j local-internet 

   iptables -A FORWARD -j local-internet 

   ############################### LES TABLES NAT ET MANGLE ############################# 

   echo "[Initialisation des tables nat et mangle]" 

   iptables -t nat -F 

   iptables -t nat -X 

   iptables -t nat -P PREROUTING ACCEPT 

   iptables -t nat -P POSTROUTING ACCEPT 

   iptables -t nat -P OUTPUT ACCEPT 

   iptables -t mangle -F 

   iptables -t mangle -X 

   iptables -t mangle -P PREROUTING ACCEPT 

   iptables -t mangle -P OUTPUT ACCEPT 

   #################################### LE MASQUERADING ######################################## 

   # Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat) 

   echo "[Mise en place du masquerading]" 

   iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ppp0 -j MASQUERADE 

   ################################# ACTIVATION DE LA PASSERELLE ################## 

   echo "[Activation de la passerelle]" 

   echo 1 > /proc/sys/net/ipv4/ip_forward 

   ################################# PAS DE SPOOFING ############################ 

   echo "[Pas de spoofing]" 

   if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then 

   for filtre in /proc/sys/net/ipv4/conf/*/rp_filter 

   do 

   echo 1 > $filtre 

   done 

   fi 

   ########################## PAS DE SYNFLOOD #################### 

   echo "[Pas de synflood]" 

   if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then 

      echo 1 > /proc/sys/net/ipv4/tcp_syncookies 

   fi 

   ################################## PAS DE PING ############################### 

   # commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle 

   echo "[Pas ping]" 

   echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 

   echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 

   if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then 

      echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 

   fi 

   ############################ Fonctionnalités serveurs ##################################### 

   echo "[Etude des fonctionalités serveurs, visibles depuis internet ]" 

   # A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux, 

   # vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne 

   # depuis internet ne peux accéder à l'un des serveurs que vous hébergés. 

   # Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet, 

   # en décommentant les 2 ou 3 lignes correspondantes. 

   #echo "[autorisation du serveur ssh(22) ...]" 

   #iptables -A INPUT -p tcp --dport ssh -j ACCEPT 

   #echo "[autorisation du serveur smtp(25) ...]" 

   #iptables -A INPUT -p tcp --dport smtp -j ACCEPT 

   #echo "[autorisation du serveur http(80) ...]" 

   #iptables -A INPUT -p tcp --dport www -j ACCEPT 

   #echo "[autorisation du serveur https(443) ...]" 

   #iptables -A INPUT -p tcp --dport https -j ACCEPT 

   #echo "[autorisation du serveur DNS(53) ...]" 

   #iptables -A INPUT -p udp --dport domain -j ACCEPT 

   #iptables -A INPUT -p tcp --dport domain -j ACCEPT 

   #echo "[autorisation du serveur irc(6667) ...]" 

   #iptables -A INPUT -p tcp --dport ircd -j ACCEPT 

   #echo "[autorisation du serveur cvs (2401) ...]" 

   #iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT 

   #echo "[autorisation du serveur FTP(21 et 20) ...]" 

   #iptables -A INPUT -p tcp --dport ftp -j ACCEPT 

   #iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT 

   # Ne pas décommenter les 3 lignes qui suivent. 

   # Plus généralement : 

   #echo "[autorisation du serveur Mon_truc(10584) ...]" 

   #iptables -A INPUT -p tcp --dport 10584 -j ACCEPT 

   echo "[firewall activé !]" 

 

} 

firewall_stop() { 

   iptables -F 

   iptables -X 

   iptables -P INPUT ACCEPT 

   iptables -P FORWARD ACCEPT 

   iptables -P OUTPUT ACCEPT 

   iptables -t nat -F 

   iptables -t nat -X 

   iptables -t nat -P PREROUTING ACCEPT 

   iptables -t nat -P POSTROUTING ACCEPT 

   iptables -t nat -P OUTPUT ACCEPT 

   iptables -t mangle -F 

   iptables -t mangle -X 

   iptables -t mangle -P PREROUTING ACCEPT 

   iptables -t mangle -P OUTPUT ACCEPT 

   echo " [firewall descativé! ]" 

} 

firewall_restart() { 

     firewall_stop 

     sleep 2 

     firewall_start 

} 

case "$1" in 

   'start') 

        firewall_start 

     ;; 

   'stop') 

        firewall_stop 

     ;; 

   'restart') 

        firewall_restart 

     ;; 

   'status') 

        iptables -L 

          iptables -t nat -L 

      iptables -t mangle -L 

     ;; 

   *) 

          echo "Usage: firewall {start|stop|restart|status}" 

esac

```

Ensuite, je veux lancer ce script avec:

/etc/init.d/iptables firewall_start

et le message obtenu est:

```

Usage: firewall {start|stop|restart|status}

 * ERROR:  wrong args. (  firewall_start / firewall_start )

 * Usage: iptables { start|stop|restart }

 *        iptables without arguments for full help

```

Que faire???

----------

## scout

/etc/init.d/iptables start et pas firewall_start

----------

## yuk159

Non le firewall_start c'est la fonction start du script (je sais pas ci je suis clair la  :Embarassed:  )

Si tu utilise ce script il faut, soit que tu le lance a la main.

Tu le copie dans /etc/init.d/firewall par exemple et ensuite tu fait /etc/init.d/firewall start ou si tu veux le charger au demarrage il faut que tu mette cette ligne dans /etc/conf.d/local.start.

Si tu veux utiliser le script /etc/init.d/iptables il faut que tu lance une premiere fois le script /etc/init.d/firewall et que tu sauvergarde les regles  :Wink: 

Ensuite tout devrais fonctionner.

Fait attention cependant si tu l'utilise de bien l'adapter pour tes besoins.

De supprimer par exemple le partage de connexion si tu ne l'utilise pas etc etc... 

N'hesite pas, si je ne suis pas clair a me le dire   :Laughing: 

----------

## Doudou

pour répondre a ton PM Admin-galere :

Non tu ne me dérange pas!   :Wink: 

Mon scripte ne sert qu'a partager la connection internet avec en plus l'anti-spoof (non pas l'anti-pouf!   :Laughing:  ) . L'anti-spoofing sert a éviter que quelqu'un d'extérieure se fasse passer pour une personne de ton réseau privé (en gros).

Pour moi, l'erreur que tu as doit venir d'une mauvaise config du noyaux. On dirait qu'il arrive pas a charger le lodule ou il ne le trouve pas....

----------

## Admin-galere

Bonjour.

ALors voila ca ne marche toujours pas. meme en faisant

 /etc/init.d/firewall start

ca me met des erreurs.

On me dit que le script firewall n'a pas de fontion start.   :Crying or Very sad: 

 je pense qu'il y a un pb avec le chargement des modules du kernel. pourtant j'avais trouve un site avec meme des copies d'ecran: http://www.shorewall.net/kernel.htm

Avez vous un exemple precis des modules a selectionner?? QUe puis je faire pour venir a bout de mon probleme??

 :Sad: 

edit: comment on sauvegarde les regles?? si qqun a un mode d'emplois TRES detaille en ce qui concerne iptables, je suis prenneur.   :Very Happy: 

merci d'avance

----------

## Leander256

Tu portes bien ton nom toi...

Quand je regarde le post de ton script, y'a des lignes genre:

```
# this script is free software according to the GNU General Public License (see http://www.gnu.org/licenses/gpl.html)
```

Il y a des retours chariot en plein milieu des commentaires, alors je ne sais pas d'où vient le problème exactement, mais si ton fichier, sur ton disque dur, contient ces retours chariot, ça ne m'étonne pas qu'il ne marche pas du tout.

Pour ce qui est de l'installation d'un firewall simple, tu peux te baser sur ça:

http://www.ecst.csuchico.edu/~dranch/LINUX/ipmasq/m-html/ipmasq-HOWTO-m.html

La version française n'a pas été mise à jour depuis deux ans donc je ne la conseillerai pas.

Il serait peut-être temps aussi de t'acheter un bouquin sur l'administration d'un système linux, ou quelque chose de ce style, parce que tu as l'air d'avoir des difficultés avec par exemple les scripts de démarrage. Je ne dis pas ça méchamment, c'est juste ma méthode habituelle quand je veux appréhender quelque chose d'assez complexe.

----------

## Admin-galere

Merci mais en fait non les retours chariots se sont fait la car les lignes sont trop courtes. Le script a ete teste chez un autre utilisateur donc le pb ne vient a priori pas de la.

Le pb n'est pas cense venir des modules non plus car j'ai fait comme le site disait. Du coup, je ne sias pas ou chercher le pb.

Sinon pour les livres tu as assez raison mais le pb c que etant etudiant donc pas riche. je ne me permer pas d'acheter trop de livres. Deja je prend pas ceux des profs alors....   :Embarassed: 

Je pensais qu'avec le net ca serait faisable d'autant que gentoo n'est peut etre pas bcp traite niveau livres si??   :Question: 

Alors surtout si tu as une autre idee pourquoi ca marche pas, n'hesite pas a m'en faire part!   :Very Happy: 

ps: et voui j'ai bien choisit mon pseudo!

----------

## Bastux

 *Admin-galere wrote:*   

> Merci mais en fait non les retours chariots se sont fait la car les lignes sont trop courtes. Le script a ete teste chez un autre utilisateur donc le pb ne vient a priori pas de la.
> 
> Le pb n'est pas cense venir des modules non plus car j'ai fait comme le site disait. Du coup, je ne sias pas ou chercher le pb.
> 
> Sinon pour les livres tu as assez raison mais le pb c que etant etudiant donc pas riche. je ne me permer pas d'acheter trop de livres. Deja je prend pas ceux des profs alors....  
> ...

 

est-ce que iptables marche en soi?

quand tu tapes iptables -L -v est-ce que ça donne quelque chose?

----------

## Admin-galere

non iptables -vL ne marche pas.

Ce qui fait que je ne sais pas d'ou ca vient. je n'ia pourtant pas oublie de faire emerge iptables.

Snif! je m'en sortirai pas!   :Crying or Very sad: 

----------

## Admin-galere

```

iptables -vL

modprobe: Can't locate module ip_tables

iptables v1.2.8: can't initialize iptables table `filter': iptables who? (do you need to insmod?)

Perhaps iptables or your kernel needs to be upgraded.

```

Malgré l'aide de Yuk, apparement ca marche pas totu a fait meme si c mieux.

```

/etc/init.d/firewall start

Usage: firewall {start|stop|restart|status}

 * ERROR:  "firewall" does not have a start function.

```

QQun a t'il une idee??

DOnc voila

----------

## Bastux

tes modules n'ont pas l'air d'être chargé/compilé.

Donc vérifie que les modules sont présents :

```

modprobe -l | grep ip

```

s'ils sont présents c'est bien! tu peux les charger :

[code]

modprobe ip_tables

[code]

et il y en a d'autre, genre iptables_filter et d'autres trucs comme ça.

Tu peux charger aussi les ip_conntrack qui sont bien enfin après c'est toi qui voit.

S'ils ne sont pas chargé, alors recompile ton noyau avec tout ce qui concerne iptables et ipconntrack en modules, vasy bourrine de toutes façons t'es pas obligé de les charger ça coûte rien de les compiler en modules.

et recommence la manip du dessus.

Si tout s'est bien passé lorsque tu tapes

[code]

iptables -L -v

[/code]

normalement tu as un résultat positif (pas génial car tu n'a rien configuré mais pas de message d'erreurs)

----------

## Admin-galere

Alors voila j'ai reinstalle deja gentoo plusieurs fois et je reste encore et toujours bloque sur iptables. 

Est ce genant de cocher les modules en * plutot qu'en M?

Sinon je suis ok pour refaire en M mais je ne suis pas sur que ca fasse mieux marcher car g deja ete bloque avec ca plusieurs semaines...

iptables -vL 

modprobe: can't locate module ip_tables

iptables v1.2.9: can't initialize iptables table 'filter':iptables who? (do you need to insmod?)

Perhaps iptables or your kernel needs to be upgraded.

----------

## Bastux

 *Admin-galere wrote:*   

> Alors voila j'ai reinstalle deja gentoo plusieurs fois et je reste encore et toujours bloque sur iptables. 
> 
> Est ce genant de cocher les modules en * plutot qu'en M?
> 
> Sinon je suis ok pour refaire en M mais je ne suis pas sur que ca fasse mieux marcher car g deja ete bloque avec ca plusieurs semaines...
> ...

 

Il vaut mieux les cocher en modules, enfin je pense, dans la mesure où tu peux tout compiler sans risque et ajouter les modules un par un, ça donne une meilleure impression de contrôle.

Sinon là il est clair que iptables n'est pas compilé avec le noyau, recompile-le avec tout les iptables en modules et réessaye.

----------

## Admin-galere

ok je vais tout remettre en modules et voir si iptables va mieux mais c bizarre je n'ai plus ssh ou ssl avec ca. J'ai toujours apache mais apres mes bidouilles d'iptables, je ne pouvais plus me connecter d'un autre ordinateur avec PUTTY. C bizarre non?? c du a quoi?

Je vous tiens au courant merci de votre aide   :Smile: 

edit: en fait, j'ai refait la compil du noyau avec tout en modules et ca ne marche pas mieux si ce n'est pire car la j'ai bien plus d'erreurs. Je ne comprends pas ce qui cloche. qqun peut il me donner en detail ce qu'il faut faire et dans l'ordre pour faire marcher iptables car j'ai jamais reussit a le faire marcher.

```

iptables -vL

/lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: /lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_unregister_sockopt

/lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: /lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_register_sockopt

/lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: insmod /lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o failed

/lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed

iptables v1.2.9: can't initialize iptables table `filter': iptables who? (do you need to insmod?)

Perhaps iptables or your kernel needs to be upgraded.

```

----------

## Bastux

 *Admin-galere wrote:*   

> ok je vais tout remettre en modules et voir si iptables va mieux mais c bizarre je n'ai plus ssh ou ssl avec ca. J'ai toujours apache mais apres mes bidouilles d'iptables, je ne pouvais plus me connecter d'un autre ordinateur avec PUTTY. C bizarre non?? c du a quoi?
> 
> Je vous tiens au courant merci de votre aide  
> 
> edit: en fait, j'ai refait la compil du noyau avec tout en modules et ca ne marche pas mieux si ce n'est pire car la j'ai bien plus d'erreurs. Je ne comprends pas ce qui cloche. qqun peut il me donner en detail ce qu'il faut faire et dans l'ordre pour faire marcher iptables car j'ai jamais reussit a le faire marcher.
> ...

 

dis moi... c juste pour vérifier on sait jamais...

Tu bootes bien sur ton noyau une fois qu'il est compilé??

----------

## Admin-galere

heu comment ca?? il faut rebooter ou c'est autre chose??

Sinon le truc avec PUTTY c bon je suis trop tete en l'air j'avais oublie de lancer ssl   :Embarassed: 

je reboote en esperant que ct ce que tu voulais dire... sinno j'ai rien que gentoo installe sur mon ordinateur donc ca va forcement sur gentoo.

edit: identique avec un reboot...   :Razz: 

----------

## Bastux

 *Admin-galere wrote:*   

> heu comment ca?? il faut rebooter ou c'est autre chose??
> 
> Sinon le truc avec PUTTY c bon je suis trop tete en l'air j'avais oublie de lancer ssl  
> 
> je reboote en esperant que ct ce que tu voulais dire... sinno j'ai rien que gentoo installe sur mon ordinateur donc ca va forcement sur gentoo.
> ...

 

après avoir fait

```

make modules

make modules_install

make bzImage

```

as-tu copié ton noyau dans la partition /boot et modifié ton grub ou lilo pour pouvoir booter dessus?

Si non c sûr ke ça va pas marcher...

----------

## yuk159

Je crois qu'il y a un GROS malentendu (tanpis pis si je met les pieds dans le plat)

Quand tu configure/compile ton noyau il ne l'installe pas (a moin d'utiliser genkernel).

Tu dois copier le nouveau noyau dans /boot puis redemarrer pour que les changements soit effectifs.

Ai-je mis les pieds dans le plat ?

[EDIT] grille  :Wink: 

----------

## Admin-galere

apres avoir compile le noyau:

```

make dep && make clean bzImage modules modules_install

cp /usr/src/linux/arch/i386/boot/bzImage /boot

```

et ensuite je fais iptables -vL et ca marche po!!  :Crying or Very sad: 

----------

## yuk159

Tu pourrais lister ton /boot/grub/grub.conf ici s'il te plait ?

----------

## Admin-galere

et bien lorsque g fait 

nano -w /boot/grub/grub.conf

 le fihier est vide... ca doit pas etre normal car si tu me demandes de le lister....

De meme g un petit pb: lorsque je demarre le pc sous linux, l'affichage est pourri et qu bout d'une minute ca marche bien.

De plus, il me emt comme erreur au boot 

failed to load 8390

c le module de la carte reseau, or qd je pinge ca marche... que penser?  :Question: 

edit:

en fait avant j'avais ecrit ca ds /boot/grub/grub.conf

```

default 0

timeout 30

splashimage=(hd0,0)/boot/grub/splash.xpm.gz

# si vous avez compilé votre propre noyau :

title=Mon exemple de Gentoo Linux

root (hd0,0)

kernel (hd0,0)/boot/bzImage root=/dev/hda3

```

mais apparement ca c efface et qd je veux le remettre il me dit qu'il ne peut pas ecrire la dedans

----------

## Leander256

Les pieds dans le plat, le retour:

Est-ce que tu fais un:

```
# mount /boot
```

avant de copier le nouveau kernel compilé?

----------

## Admin-galere

et bien, je ne sais pas trop a quel moment tu veux ca. 

Pourrais tu etre plus explicite?

----------

## Admin-galere

EN fait, lorsque je veux reecrire dans le fichier /boot/grub/grub.conf

Je ne peux pas l'enregistrer car j'ai ce message:

[ Could not open file for writing: Not a directory ]

Je ne peux plus reecrire dans le grub? A votre avis...??

Ne me dites pas que je dois tout reinstaller!!!   :Crying or Very sad: 

----------

## XiuX

merÇi

----------

## Admin-galere

heu pardon?? j'ai pas compris.

Pourquoi merci?

----------

## Admin-galere

Alors plus personne n'a d'idees pour resoudre ce probleme d'iptables!   :Sad: 

C'est mal parti !!

Surtout n'hesitez pas a me donner des idees je suis preneur. Merci de votre aide    :Smile: 

----------

## Leander256

As-tu une partition /boot séparée? Si oui penses-tu à la monter avant de copier le kernel nouvellement compilé dans le répertoire /boot?

```
# mount /boot

# cp arch/i386/boot/bzImage /boot/vmlinuz-2.4.24   (chiffre au pif)

```

Ou encore:

```
# mount /boot

# vim /boot/grub/grub.conf

```

Il suffit de la monter une seule fois et elle le restera jusqu'au prochain reboot (ou sur demande expresse: umount /boot). Pour vérifier qu'elle est bien montée, tu peux faire un:

```
# cat /etc/mtab

```

et profites-en pour vérifier qu'elle est en rw (read/write) et pas ro (read-only).

Question bonus: Est-ce que tu utilises grub au moins?

----------

## Bastux

La partition de boot n'est pas montée par défaut pour éviter les mauvaises manip'.

Ton problème se situe uniquement au niveau du noyau, résouds ce problème et c'est bon normalement.

Avec les instructions données sur ce topic et les divers How-to sur le net pour la compilation du noyau tu devrais t'en sortir.

Surtout n'hésite pas à étudier le côté théorique de la compilation du noyau (le pourquoi en fait) afin de ne pas taper des commandes en l'air. A partir du moment où tu sais ce que tu fais, tu as plus de chances de résoudre le problème tout seul, et ça t'évite de poser des questions et qu'on réponde à côté  :Wink: 

----------

## Admin-galere

Merci a vous, ce doit etre du a un "oubli" de mount. Je vous dirai ca lorsque je reverrai mon petit ordinateur sous gentoo. 

Apparement Yuk le veteran pense que ca doit etre ca aussi. Donc puisque les grands esprits se rencontrent ... (les votres biensur pas le mien   :Embarassed:  )

----------

## yuk159

Bon faut arréter  avec cette histoire de vétérant, sinon je vais me facher tout rouge   :Evil or Very Mad:   :Laughing: 

----------

## sebbb

yuk159 à du mal à assumer son age ???  :Laughing: 

----------

## Admin-galere

allez pour faire bien il faut reprendre du debut. Vous ne croyez pas?

J'ai emerge iptables et je recompile le kernel. 

Si on refait tout depuis le debut il devrait pas y avoir de pb. si??? 

(encouragez moi je suis au bout de mon espoir!!!   :Crying or Very sad:  )

----------------------

edit: A bon Yuk est si agé que ca?? On dirait pas??

----------

## Admin-galere

Yuk m'avait dit que ce qui n'allait pas dans mon install d'iptable c'etait que je ne montait pas boot apres la compilation du kernel or, lorsque je vux le faire, je ne peux pas...

```
mount /boot

mount: mount point /boot is not a directory

```

et qd je veux verifier en lancant iptables -vL:

```

/lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: /lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_unregister_sockopt

/lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: /lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_register_sockopt

/lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: insmod /lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o failed

/lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed

iptables v1.2.9: can't initialize iptables table `filter': iptables who? (do you need to insmod?)

Perhaps iptables or your kernel needs to be upgraded.

linux3 linux #

```

qqun a t il eu la meme chose? voulez vous que je poste les manips que je fais pour iptables???

----------

## Leander256

Est-ce que tu peux faire un

```
$ ls -l /boot
```

et aussi copier le contenu de ton fichier fstab s'il-te-plaît?

----------

## Admin-galere

```

ls -l /boot

-rw-r--r--    1 root     root      1544690 Feb  9 09:03 /boot

```

et puis heu fstab... c ou ca???

----------------------

edit:

```

cat /etc/mtab

/dev/hda3 / xfs rw,noatime 0 0

none /dev devfs rw 0 0

none /proc proc rw 0 0

none /dev/shm tmpfs rw 0 0

```

desole j'avais pas vu ce post la   :Embarassed: 

il semblerai que root ne soit pas la. si???

----------

## Leander256

Bon on va faire une vérification (je suppose que ton disque dur est le premier disque dur IDE), dis-nous ce que ça te renvoie:

```
# fdisk -l /dev/hda
```

Ensuite envoie aussi le contenu de /etc/fstab:

```
# cat /etc/fstab
```

Parce que j'ai l'impression que tu ne sais pas trop ce que tu as sur ton disque  :Rolling Eyes: . Il faudra ensuite vérifier que toutes tes partitions linux sont mentionnées dans le /etc/fstab, donc précise si tu as aussi des partitions windows sur ton disque dur.

----------

## Admin-galere

je pense que je vais vous poster ce que je fais depuis le debut pour iptables. 

```

emerge iptables

cd /usr/src/linux

make menuconfig 

Il faut choisir les options de compilation du noyau linux.

Pour cela j'ai fait comme sur le site précité

Puis,

make dep && make clean bzImage modules modules_install

mount /boot

cp /usr/src/linux/arch/i386/boot/bzImage /boot

on teste iptables avec la commande :

iptables -vL

```

Je n'arrive jamais plus loin car ca me met des messages d'erreur ici. cependant je vous met la suite pour que vous me disiez ce qui cloche ok??

```

Il reste encore à faire un script pour firewall.

j'ai prit celui de Yuk159

Il faut lenregistrer sous /etc/init.d/iptables

/etc/init.d/iptables save    pour le sauver

Puis, pour le lancer il faut faire :

/etc/init.d/iptables start    Pour sauver le fichier de configuration.

Puis,

rc-update add iptables default     

```

voila pour toutes les infos que j'ai a ce propos. SI vous voyez que j'ai mit un truc faux n'hesitez pas!!!   :Smile: 

----------

## Admin-galere

Pour repondre a Leander:

```

fdisk -l /dev/hda

Disk /dev/hda: 40.0 GB, 40000000000 bytes

255 heads, 63 sectors/track, 4863 cylinders

Units = cylinders of 16065 * 512 = 8225280 bytes

   Device Boot    Start       End    Blocks   Id  System

/dev/hda1   *         1        24    192748+  83  Linux

/dev/hda2            25       267   1951897+   5  Extended

/dev/hda3           268      4863  36917370   83  Linux

/dev/hda5            25       267   1951866   82  Linux swap

```

```

cat /etc/fstab

# /etc/fstab: static file system information.

# $Header: /home/cvsroot/gentoo-src/rc-scripts/etc/fstab,v 1.13 2003/07/17 19:55:18 azarah Exp $

#

# noatime turns off atimes for increased performance (atimes normally aren't

# needed; notail increases performance of ReiserFS (at the expense of storage

# efficiency).  It's safe to drop the noatime options if you want and to

# switch between notail and tail freely.

# <fs>                  <mountpoint>    <type>          <opts>                 <dump/pass>

# NOTE: If your BOOT partition is ReiserFS, add the notail option to opts.

/dev/hda1               /boot           ext2            noauto,noatime         1 1

/dev/hda3               /               xfs             noatime                0 0

/dev/hda5               none            swap            sw                     0 0

/dev/cdroms/cdrom0      /mnt/cdrom      iso9660         noauto,ro              0 0

# NOTE: The next line is critical for boot!

none                    /proc           proc            defaults               0 0

# glibc 2.2 and above expects tmpfs to be mounted at /dev/shm for

# POSIX shared memory (shm_open, shm_unlink).

# (tmpfs is a dynamically expandable/shrinkable ramdisk, and will

#  use almost no memory if not populated with files)

# Adding the following line to /etc/fstab should take care of this:

none                    /dev/shm        tmpfs           defaults               0 0

```

----------

## Leander256

Pour ce qui est des partitions ça me semble bon.

Bon alors maintenant est-ce que tu peux faire ceci:

```
# cd /boot

# ls -l

```

On va voir un peu ce qui traîne dans le répertoire. Pense à monter la partition si ce n'est pas encore fait.

Si tu ne modifies jamais le nom du kernel, tu écrases la version précédente à chaque fois, donc grub devrait toujours booter le nouveau kernel. Pour savoir quelle est la version du kernel que tu utilises actuelllement:

```
$ uname -a
```

Vérifie que la date et l'heure de compilation concordent, sinon ça veut dire que tu n'utilises pas le bon.

Vérifie aussi que le lien symbolique /usr/src/linux pointe vers les bonnes sources du kernel.

Et après avoir rebooté avec le nouveau kernel, refais un emerge d'iptables.

----------

## Admin-galere

en fait le pb c que je peux pas monter boot et que c pas un repertoire dc je ne peux pas faire ce que tu me demandes...   :Embarassed: 

c bizarre non??

--------------------

edit:

```

uname -a

Linux linux3.mairie-rueilmalmaison.fr 2.4.22-gentoo-r5 #3 SMP Tue Jan 27 09:16:39 Local time zone must be set--see zic  i686 Intel(R) Pentium(R) 4 CPU 2.26GHz GenuineIntel GNU/Linux

```

c pas cette version la la bonne j'ai recompile ce matin le kernel!!

----------

## Leander256

 *Admin-galere wrote:*   

> cp /usr/src/linux/arch/i386/boot/bzImage /boot

 

Bon je crois que j'ai compris le problème, à retardement mais bon j'ai trouvé: En tapant cette commande tu as copié ton kernel en le renommant boot dans la racine, c'est pour ça que tu ne peux pas faire de cd et qu'il renvoie ça:

 *Admin-galere wrote:*   

> -rw-r--r--    1 root     root      1544690 Feb  9 09:03 /boot 

 

Je me disais aussi, pourquoi il n'affiche pas le contenu?  :Smile: 

Il va donc te falloir faire:

```
# rm /boot

# mkdir /boot

```

Maintenant tu devrais pouvoir monter la partition /boot

----------

## Admin-galere

ouiiiiiiiii    :Very Happy: 

c'etait ca!! bravo et merci!

Mais en fait que faut il faire pour ne pas que ca fasse comme j'avais fait???

Il ne faut pas copier dans le boot?? 

cp /usr/src/linux/arch/i386/boot/bzImage /boot

il faut faire quoi a la place??

----------

## Leander256

Normalement, lorsque la cible d'une commande cp est un répertoire, tout ce que tu copies est envoyé dans le répertoire, et le nom du répertoire n'est pas écrasé. Alors que je suppose que tu as fait une mauvaise manipulation à un moment quelconque et que tu as effacé le répertoire /boot, c'est pourquoi la commande copiant le kernel a pu créer un fichier régulier /boot.

----------

## Admin-galere

mais est ce grave? ou je peux continuer a essayer d'installer iptables??

peut tre cela marchera mieux ainsi?? car ca fait un moment que je butte sur iptables   :Crying or Very sad: 

--------------------

edit:

dis a ton avis pour refaire iptables, je dois recommencer a emerge iptables ou je dois continuer. car j'ai peur qu'en re-emergeant iptables, je refasse la meme erreur avec le boot. 

il faut faire quoi a la place de:

cp /usr/src/linux/arch/i386/boot/bzImage /boot

car ca va encore recopier non??

----------

## Admin-galere

le probleme est qu je ne peux pas monter boot.

Je l'ai fait a l'endroit que tout le monde m'a conseille c a d apres le 

make dep && make clean bzImage modules modules_intall

```

mount /boot

mount: /dev/hda1 already mounted or /boot busy

mount: according to mtab, /dev/hda1 is already mounted on /boot

```

Que dois je faire? c gentoo qui est mal installe??

```

iptables -vL

/lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: /lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_unregister_sockopt

/lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: /lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_register_sockopt

/lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: insmod /lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o failed

/lib/modules/2.4.22-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed

iptables v1.2.9: can't initialize iptables table `filter': iptables who? (do you need to insmod?)

Perhaps iptables or your kernel needs to be upgraded.

```

c'est quoi qui cloche qd il met iptables who? et le kernet doit etre upgraded.

----------

## Admin-galere

Apres un petit moment sur samba, et une reinstall complete afin de tout refaire bien car j'avais des problemes d'affichage du coup c'est que quelquechose devait être mal installe donc bon, autant repartir sur des bases saines.

Me voila donc de retour sur iptables...  :Wink: 

----------

## Admin-galere

Arf ca ne semble interresser plus personne mon thread...   :Laughing: 

----------

## Admin-galere

Bon voila j'ai encore reinstaller mon gentoo depuis le debut ce n'est donc que peu probable que ce soit du a une mauvaise install. Je dois faire qqchose qu'il ne faut pas faire et pourtant... je ne vois pas quoi?

----------

## scout

 *Admin-galere wrote:*   

> Arf ca ne semble interresser plus personne mon thread...  

 

C'est trop long, plus personne regarde ... je te conseille d'en créer un nouveau si t'as encore des questions sur les firewall: tu commences to premier post en expliquant ce qui s'est passé dans ce thread, comment t'as configuré actuellement ton ordi, et ce que tu veux savoir/quel est ton problème; pasque là plus personne n'a envie de se taper les 5 pages à lire. Moi les thred qui font plus de 2 pages je les lis pas, j'essaye plutôt d'aider les egns qui ont zéro réponses.

----------

## Admin-galere

Ah ok tu as peut etre raison ca soule de voir un thread de 5 pages!

Je vais retenter en partant du debut... enfin c bete car je bloque au meme endroit depuis le debut c  a s iptables -vL et ca marche po!!!   :Sad: 

----------

