Freeradius, principe de fonctionnement

Freeradius, principe de fonctionnement - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 19-07-2007 à 21:09:28    

Bonjour à tous !
 
          J'ai une petite question: lorsque l'on a installé un serveur Freeradius sans spécifier de NAS, est-ce que le serveur FreeRadius bloque les accès au serveur sur toutes les interfaces tant qu'on ne s'est pas authentifié à travers un NAS ? En gros j'ai installé un serveur FreeRadius et depus je n'arrive plus à accéder à mon serveur en SSH, pourtant le seul NAS que j'ai spécifié est localhost....ça peut etre lié ?
 
Merci d'avance !
RedVivi

Reply

Marsh Posté le 19-07-2007 à 21:09:28   

Reply

Marsh Posté le 20-07-2007 à 14:14:00    

Je penses pas non.

 

Freeradius est simplement un serveur radius. Tu l'installes et par la suite tu configures les services qui nécessitent une authentification via radius. Regardes si il y a eu modification de ta configuration PAM ou si elle est foireuse.

 

je viens de l'installer sous debian (lenny), je n'ai pas eu ce genre de question. C'est dans quel cadre ? Quel OS ? Par NAS tu veux dire Network Attached Storage ou Network Access Server ? Peux tu préciser un peu ton environnement stp ?


Message édité par l0ky le 20-07-2007 à 14:14:14
Reply

Marsh Posté le 20-07-2007 à 15:33:40    

Un serveur Debian Etch tout bete sur lequel j'ai installé Freeradius pour une authentification par adresse MAC, voici le schema:
 
[WWW]===[Debian]===LAN
 
J'ai demandé à FreeRadius d'écouter sur toutes les cartes, en fait les NAS seront les switches du LAN (authentification 802.1), mais depuis que j'ai installé ce serveur, j'ai l'accès SSH bloqué depuis le WWW (server unexpectedly closed connection).


Message édité par redvivi le 20-07-2007 à 15:34:04
Reply

Marsh Posté le 20-07-2007 à 15:43:32    

En fait je me demande si tu n'as pas raison pour PAM car j'ai du utiliser plusieurs commandes pour générer un certificat root pour Freeradius....Comment restaurer / corriger cette configuration PAM ?
 
[EDIT] J'utilise forcément PAM si j'utilise SSH ?


Message édité par redvivi le 20-07-2007 à 15:45:21
Reply

Marsh Posté le 20-07-2007 à 15:45:58    

Tu pourrais décrire précisément comment tu l'as installé ton freeradius ? Tuto suivit ?

Reply

Marsh Posté le 20-07-2007 à 15:48:29    

Normalement tu dois avoir un fichier /etc/pam.d/ssh contenant ca
 
Pris sur une debian testing.

# PAM configuration for the Secure Shell service
 
# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
auth       required     pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
auth       required     pam_env.so envfile=/etc/default/locale
 
# Standard Un*x authentication.
@include common-auth
 
# Disallow non-root logins when /etc/nologin exists.
account    required     pam_nologin.so
 
# Uncomment and edit /etc/security/access.conf if you need to set complex
# access limits that are hard to express in sshd_config.
# account  required     pam_access.so
 
# Standard Un*x authorization.
@include common-account
 
# Standard Un*x session setup and teardown.
@include common-session
 
# Print the message of the day upon successful login.
session    optional     pam_motd.so # [1]
 
# Print the status of the user's mailbox upon successful login.
session    optional     pam_mail.so standard noenv # [1]
 
# Set up user limits from /etc/security/limits.conf.
session    required     pam_limits.so
 
# Set up SELinux capabilities (need modified pam)
# session  required     pam_selinux.so multiple
 
# Standard Un*x password updating.
@include common-password


 
Par contre si tu as un message "server unexpectedly closed connection", je trouve bizarre que ca vienne de la. Il devrait plutot te dire que tu ne t'aies pas authentifier correctement

Message cité 1 fois
Reply

Marsh Posté le 20-07-2007 à 15:50:24    

Le voici: http://christian.caleca.free.fr/lansecure/radius/
 
Par contre à un moment il me parle de générer des certificats, j'ai utilisé /usr/share/..../certs.sh qui m'a fait une erreur, alors j'ai utilisé le CA.all (même répertoire) et il m'a généré les certificats, quelques temps après j'exécuté mon script iptables et puis plus rien .....alors que avant ce script iptables me permettzit d'accéder à la machine et je n'ai rien changé dans ce script ! De tout de façon la communication se fait sinon j'obtiendrai un timeout si le port était bloqué...

Reply

Marsh Posté le 20-07-2007 à 15:51:32    

l0ky a écrit :


Par contre si tu as un message "server unexpectedly closed connection", je trouve bizarre que ca vienne de la. Il devrait plutot te dire que tu ne t'aies pas authentifier correctement


 
Attends je n'ai pas le prompt SSH, je lance putty, j'attend une minute et j'ai ce message.

Reply

Marsh Posté le 20-07-2007 à 15:53:09    

Si tu fais un telnet sur le port 22, ca te donne quoi ?

SSH-2.0-OpenSSH_4.6p1 Debian-4

?
Ca ressemble à un probleme de FW.
Vérifie tes règles (iptables -t filter -L -v -n)


Message édité par l0ky le 20-07-2007 à 15:54:20
Reply

Marsh Posté le 20-07-2007 à 15:54:26    

Je te promets que je l'ai testé en long en large et en travers ! le voici d'ailleurs:  
 
eth1 est la connection Internet, eth2 celle du lan et eth0 ne sert pas
 

Code :
  1. #Fichier de configuration permettant de d‚finir les politique de routage,
  2. #de pare-feu, et de gestion de la bande passante (QoS)
  4. echo "Activation du routage..."
  5. echo 1 > /proc/sys/net/ipv4/ip_forward
  7. echo "Activation de l'anti IP-Spoofing..."
  8. if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
  9. then
  10. for f in /proc/sys/net/ipv4/conf/*/rp_filter
  11. do
  12. echo 1 > $f
  13. done
  14. fi
  16. # Nous vidons les chaŒs :
  17. iptables -F
  19. # Nous supprimons d'‚ntuelles chaŒs personnelles :
  20. iptables -X
  22. # Nous les faisons pointer par d‚ut sur DROP
  24. iptables -P INPUT DROP
  25. iptables -P OUTPUT DROP
  26. iptables -P FORWARD DROP
  29. # Nous faisons de mˆ avec toutes les autres tables,
  30. # …avoir "nat" et "mangle", mais en les faisant pointer
  31. # par d‚ut sur ACCEPT. Ca ne pose pas de problŠs
  32. # puisque tout est bloqu‚u niveau "filter"
  34. iptables -t nat -F
  35. iptables -t nat -X
  36. iptables -t nat -P PREROUTING ACCEPT
  37. iptables -t nat -P POSTROUTING ACCEPT
  38. iptables -t nat -P OUTPUT ACCEPT
  39. iptables -t mangle -F
  40. iptables -t mangle -X
  41. iptables -t mangle -P PREROUTING ACCEPT
  42. iptables -t mangle -P INPUT ACCEPT
  43. iptables -t mangle -P OUTPUT ACCEPT
  44. iptables -t mangle -P FORWARD ACCEPT
  45. iptables -t mangle -P POSTROUTING ACCEPT
  48. # Nous consid‚ns que la machine elle mˆ est s–# et que les processus locaux peuvent communiquer entre eux
  49. # via l'interface locale :
  51. iptables -A INPUT -i lo -j ACCEPT
  52. iptables -A OUTPUT -o lo -j ACCEPT
  54. # Nous consid‚ns que notre r‚au local est
  55. # ‚lement s–e qui n'est pas forc‚nt vrai, d'ailleurs).
  57. iptables -A INPUT -i eth0 -j ACCEPT
  58. iptables -A OUTPUT -o eth0 -j ACCEPT
  60. iptables -A INPUT -i eth2 -j ACCEPT
  61. iptables -A OUTPUT -o eth2 -j ACCEPT
  63. # Translation d'adresses pour tout ce qui traverse la passerelle
  64. # en sortant par eth1 (AccŠInternet)
  66. echo "Application du partage de connexion Internet..."
  68. iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
  70. # Toutes les connexions qui sortent du LAN vers le Net
  71. # sont accept‚
  73. echo "Mise en place de l'ouverture dynamique de ports..."
  75. iptables -A FORWARD -i eth2 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  78. # Seules les connexions d‚ ‚blies ou en relation avec
  79. # des connexions ‚blies sont accept‚ venant du Net vers le LAN
  81. iptables -A FORWARD -i eth1 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
  84. # Autorisation des requˆs DNS locales
  85. iptables -A OUTPUT -o eth1 -p udp --sport 1024: --dport 53 -m state --state ! INVALID -j ACCEPT
  86. iptables -A INPUT -i eth1 -p udp --sport 53 --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
  88. # Autorisation des requˆs DNS sur Internet
  89. iptables -A OUTPUT -o eth2 -p udp --sport 1024: --dport 53 -m state --state ! INVALID -j ACCEPT
  90. iptables -A INPUT -i eth2 -p udp --sport 53 --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
  92. # Autorisation des requˆs DWeb de la passerelle
  93. iptables -A OUTPUT -o eth1 -p tcp -m state --state ! INVALID -j ACCEPT
  94. iptables -A INPUT -i eth1 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
  97. # Autorisation des envois SMTP locaux
  98. iptables -A OUTPUT -o eth1 -p tcp --sport 1024: --dport 25 -m state --state ! INVALID -j ACCEPT
  99. iptables -A INPUT -i eth1 -p tcp --sport 25 --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
  102. # AccŠSSH depuis le Net
  103. iptables -A INPUT -p tcp --dport 2145 -i eth1 -j ACCEPT
  104. iptables -A OUTPUT -p tcp --sport 2145 -o eth1 -j ACCEPT
  106. #On accepte la transmission des erreurs de ping
  108. iptables -A INPUT -p icmp -m state --state RELATED -j ACCEPT
  111. # Options de configuration pour limitation:
  112. #  DEV    - correspond au p‚ph‚que ethX connect‚u modem
  113. #  RATEUP - …ositionner …ne valeur inf‚eure …a bande
  114. #            passante montante de la ligne.
  115. #            Pour ma ligne ADSL en 1500/128, RATEUP=90 convient au rythme
  116. #            montant de 128 kbps.
  117. #  RATEDN - …ositionner en dessous de la bande passante descendante de
  120. DEV=eth1
  121. RATEUP=4000
  122. RATEDN=2500 # Nettement inf‚eur …a capacit‚e la ligne de 1500.
  123.             # On n'a donc pas …imiter le trafic entrant jusqu'…e
  124.             # qu'une meilleure r‚isation telle que la modification
  125.             # de fenˆe TCP soit disponible.
  127. #
  128. # Fin des options de configuration
  129. #
  131. # Remise …‚
  133. tc qdisc del dev $DEV root    2> /dev/null > /dev/null
  134. tc qdisc del dev imq0 root 2> /dev/null > /dev/null
  135. iptables -t mangle -D POSTROUTING -o $DEV -j LIMITATION-OUT 2> /dev/null > /dev/null
  136. iptables -t mangle -F LIMITATION-OUT 2> /dev/null > /dev/null
  137. iptables -t mangle -X LIMITATION-OUT 2> /dev/null > /dev/null
  138. iptables -t mangle -D PREROUTING -i $DEV -j LIMITATION-IN 2> /dev/null > /dev/null
  139. iptables -t mangle -F LIMITATION-IN 2> /dev/null > /dev/null
  140. iptables -t mangle -X LIMITATION-IN 2> /dev/null > /dev/null
  141. ip link set imq0 down 2> /dev/null > /dev/null
  142. rmmod imq 2> /dev/null > /dev/null
  145. ###########################################################
  146. #
  147. # Limitation de trafic sortant (limite sup‚eure …ATEUP)
  149. # positionnement de la taille de la file d'‚ssion pour obtenir
  150. # une latence d'environ 2 secondes pour les paquets de la file
  151. # de faible priorit‚#i
  152. ip link set dev $DEV qlen 30
  154. # modification de MTU du p‚ph‚que sortant.
  155. # - Diminuer la MTU abaisse la latence mais d‚ade le d‚t en raison de
  156. #   la surcharge IP et TCP.
  157. #ip link set dev $DEV mtu 1000
  159. # ajout de la strat‚e HTB
  160. tc qdisc add dev $DEV root handle 1: htb default 25
  162. # ajout de la classe de limitation principale
  163. tc class add dev $DEV parent 1: classid 1:1 htb rate ${RATEUP}kbit
  165. # ajout des classes filles:
  166. # - chaque classe dispose AU MOINS de son quota de bande passante. Aucune
  167. #   classe n'est donc ‚uff‚par les autres. Chaque classe peut ‚lement
  168. #   consommer toute la bande passante si aucune autre classe ne l'emploie.
  170. tc class add dev $DEV parent 1:1 classid 1:20 htb rate $[$RATEUP/8]kbit \
  171. ceil ${RATEUP}kbit prio 0
  172. tc class add dev $DEV parent 1:1 classid 1:21 htb rate $[$RATEUP/8]kbit \
  173. ceil ${RATEUP}kbit prio 1
  174. tc class add dev $DEV parent 1:1 classid 1:22 htb rate $[$RATEUP/8]kbit \
  175. ceil ${RATEUP}kbit prio 2
  176. tc class add dev $DEV parent 1:1 classid 1:23 htb rate $[$RATEUP/8]kbit \
  177. ceil ${RATEUP}kbit prio 3
  178. tc class add dev $DEV parent 1:1 classid 1:24 htb rate $[$RATEUP/8]kbit \
  179. ceil ${RATEUP}kbit prio 4
  180. tc class add dev $DEV parent 1:1 classid 1:25 htb rate $[$RATEUP/8]kbit \
  181. ceil ${RATEUP}kbit prio 5
  182. tc class add dev $DEV parent 1:1 classid 1:26 htb rate $[$RATEUP/8]kbit \
  183. ceil ${RATEUP}kbit prio 6
  184. tc class add dev $DEV parent 1:1 classid 1:27 htb rate $[$RATEUP/8]kbit \
  185. ceil ${RATEUP}kbit prio 7
  187. # ajout de la strat‚e aux classes filles
  188. # - SFQ offre un traitement sensiblement ‚itable de chaque classe.
  190. tc qdisc add dev $DEV parent 1:20 handle 20: sfq perturb 10
  191. tc qdisc add dev $DEV parent 1:21 handle 21: sfq perturb 10
  192. tc qdisc add dev $DEV parent 1:22 handle 22: sfq perturb 10
  193. tc qdisc add dev $DEV parent 1:23 handle 23: sfq perturb 10
  194. tc qdisc add dev $DEV parent 1:24 handle 24: sfq perturb 10
  195. tc qdisc add dev $DEV parent 1:25 handle 25: sfq perturb 10
  196. tc qdisc add dev $DEV parent 1:26 handle 26: sfq perturb 10
  197. tc qdisc add dev $DEV parent 1:27 handle 27: sfq perturb 10
  199. # r‚rtition du trafic en classe via fwmark
  200. # - le trafic est r‚rti en classes de priorit‚uivant l'indicateur
  201. #   fwmark des paquets (ceux-ci sont positionn‚avec iptables un peu plus
  202. #   loin). La classe de priorit‚ar d‚ut a ‚ mise …:25 de telle sorte
  203. #   que les paquets qui ne sont pas marqu‚se retrouvent dans la classe de
  204. #   priorit‚a plus faible.
  206. tc filter add dev $DEV parent 1:0 prio 0 protocol ip handle 20 fw flowid 1:20
  207. tc filter add dev $DEV parent 1:0 prio 0 protocol ip handle 21 fw flowid 1:21
  208. tc filter add dev $DEV parent 1:0 prio 0 protocol ip handle 22 fw flowid 1:22
  209. tc filter add dev $DEV parent 1:0 prio 0 protocol ip handle 23 fw flowid 1:23
  210. tc filter add dev $DEV parent 1:0 prio 0 protocol ip handle 24 fw flowid 1:24
  211. tc filter add dev $DEV parent 1:0 prio 0 protocol ip handle 25 fw flowid 1:25
  212. tc filter add dev $DEV parent 1:0 prio 0 protocol ip handle 26 fw flowid 1:26
  213. tc filter add dev $DEV parent 1:0 prio 0 protocol ip handle 27 fw flowid 1:27
  215. # ajout de LIMITATION-OUT …a table de modification des paquets d'iptables
  216. # - ceci d‚are la table employ‚pour filtrer et classer les paquets
  218. iptables -t mangle -N LIMITATION-OUT
  219. iptables -t mangle -I POSTROUTING -o $DEV -j LIMITATION-OUT
  221. # ajout de fwmark pour classer les diff‚nts types de trafic
  222. # - fwmark est positionn‚e 20 …7 suivant la classe. 20 correspond …a
  223. #   priorit‚a plus forte.
  225. #ATTENTION A L'ORDRE, SCAN DES PAQUETS DE HAUT EN BAS. RETURN PERMET DE PASSER
  226. #AU PAQUET SUIVANT DES QUE LE BON PATTERN EST TROUVE POUR LE STREAM (EVITE UN SCAN COMPLET)
  229. iptables -t mangle -A LIMITATION-OUT -p tcp -m length --length :64 -j MARK --set-mark 20
  230. iptables -t mangle -A LIMITATION-OUT -p tcp -m length --length :64 -j RETURN
  232. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto dns -j MARK --set-mark 20
  233. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto dns -j RETURN
  235. iptables -t mangle -A LIMITATION-OUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j MARK --set-mark 20
  236. iptables -t mangle -A LIMITATION-OUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j RETURN
  240. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto ntp -j MARK --set-mark 21
  241. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto ntp -j RETURN
  243. iptables -t mangle -A LIMITATION-OUT -p icmp -j MARK --set-mark 21
  244. iptables -t mangle -A LIMITATION-OUT -p icmp -j RETURN
  246. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto validcertssl -j MARK --set-mark 21
  247. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto validcertssl -j RETURN
  249. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto ssl -j MARK --set-mark 21
  250. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto ssl -j RETURN
  252. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto tls -j MARK --set-mark 21
  253. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto tls -j RETURN
  255. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto socks -j MARK --set-mark 21
  256. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto socks -j RETURN
  258. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto aimwebcontent -j MARK --set-mark 21
  259. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto aimwebcontent -j RETURN
  263. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto pop3 -j MARK --set-mark 23
  264. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto pop3 -j RETURN
  266. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto smtp -j MARK --set-mark 23
  267. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto smtp -j RETURN
  269. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto msnmessenger -j MARK --set-mark 23
  270. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto msnmessenger -j RETURN
  272. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto aim -j MARK --set-mark 23
  273. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto aim -j RETURN
  275. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto yahoo -j MARK --set-mark 23
  276. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto yahoo -j RETURN
  278. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto irc -j MARK --set-mark 23
  279. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto irc -j RETURN
  281. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto jabber -j MARK --set-mark 23
  282. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto jabber -j RETURN
  286. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto shoutcast -j MARK --set-mark 24
  287. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto shoutcast -j RETURN
  289. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto live365 -j MARK --set-mark 24
  290. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto live365 -j RETURN
  292. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto http-rtsp -j MARK --set-mark 24
  293. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto http-rtsp -j RETURN
  295. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto rtsp -j MARK --set-mark 24
  296. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto rtsp -j RETURN
  298. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto quicktime -j MARK --set-mark 24
  299. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto quicktime -j RETURN
  301. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto httpvideo -j MARK --set-mark 24
  302. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto httpvideo -j RETURN
  304. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto httpaudio -j MARK --set-mark 24
  305. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto httpaudio -j RETURN
  307. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto http-itunes -j MARK --set-mark 24
  308. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto http-itunes -j RETURN
  310. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto sip -j MARK --set-mark 24
  311. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto sip -j RETURN
  313. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto skypeout -j MARK --set-mark 24
  314. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto skypeout -j RETURN
  316. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto skypetoskype -j MARK --set-mark 24
  317. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto skypetoskype -j RETURN
  319. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto h323 -j MARK --set-mark 24
  320. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto h323 -j RETURN
  324. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto http -j MARK --set-mark 21
  325. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto http -j RETURN
  329. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto ftp -j MARK --set-mark 26
  330. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto ftp -j RETURN
  332. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto http-dap -j MARK --set-mark 26
  333. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto http-dap -j RETURN
  335. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto msn-filetransfer -j MARK --set-mark 26
  336. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto msn-filetransfer -j RETURN
  340. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7dir /etc/l7-protocols/ --l7proto bittorrent -j MARK --set-mark 27
  341. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7dir /etc/l7-protocols/ --l7proto bittorrent -j RETURN
  343. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto edonkey -j MARK --set-mark 27
  344. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto edonkey -j RETURN
  346. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto fasttrack -j MARK --set-mark 27
  347. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto fasttrack -j RETURN
  349. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto imesh -j MARK --set-mark 27
  350. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto imesh -j RETURN
  352. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto gnutella -j MARK --set-mark 27
  353. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto gnutella -j RETURN
  355. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto openft -j MARK --set-mark 27
  356. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto openft -j RETURN
  358. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto napster -j MARK --set-mark 27
  359. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto napster -j RETURN
  361. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto mute -j MARK --set-mark 27
  362. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto mute -j RETURN
  364. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto 100bao -j MARK --set-mark 27
  365. iptables -t mangle -A LIMITATION-OUT -m layer7 --l7proto 100bao -j RETURN
  369. iptables -t mangle -A LIMITATION-OUT -m mark --mark 0 -j MARK --set-mark 25
  372. # Fin de la limitation sortante
  373. #
  374. ####################################################
  376. echo "Limitation de trafic sortant activ‚ur $DEV.  D‚t: ${RATEUP}kbit/sec."
  378. # D‚mmenter la ligne suivante pour n'avoir que la limitation de trafic montant.
  379. # exit
  381. # Limitation du trafic entrant (d‚t maximal de RATEDN)
  383. # on force le chargement du module imq
  385. modprobe imq numdevs=1
  387. ip link set imq0 up
  389. # ajout de la strat‚e de mise en file d'attente
  390. # - par d‚ut une classe 1:21 …aible priorit‚
  391. tc qdisc add dev imq0 handle 1: root htb default 21
  393. # ajout de la classe de limitation principale
  394. #
  395. tc class add dev imq0 parent 1: classid 1:1 htb rate ${RATEDN}kbit
  397. # ajout des classes filles
  398. # - trafic TCP en 21, le reste en 20
  399. #
  400. tc class add dev imq0 parent 1:1 classid 1:20 htb rate $[$RATEDN/2]kbit \
  401. ceil ${RATEDN}kbit prio 0
  402. tc class add dev imq0 parent 1:1 classid 1:21 htb rate $[$RATEDN/2]kbit \
  403. ceil ${RATEDN}kbit prio 1
  405. # ajout de la strat‚e de limitation aux classes filles
  406. # - voir les remarques ci-dessus sur SFQ.
  407. tc qdisc add dev imq0 parent 1:20 handle 20: sfq perturb 10
  408. tc qdisc add dev imq0 parent 1:21 handle 21: red limit 1000000 \
  409. min 5000 max 100000 avpkt 1000 burst 50
  411. # r‚rtition du trafic en classe via fwmark
  412. # - le trafic est r‚rti en classes de priorit‚uivant l'indicateur
  413. #   fwmark des paquets (ceux-ci sont positionn‚avec iptables un peu plus loin).
  414. tc filter add dev imq0 parent 1:0 prio 0 protocol ip handle 20 fw flowid 1:20
  415. tc filter add dev imq0 parent 1:0 prio 0 protocol ip handle 21 fw flowid 1:21
  417. # ajout de LIMITATION-IN …a table de modification des paquets d'iptables
  418. iptables -t mangle -N LIMITATION-IN
  419. iptables -t mangle -I PREROUTING -i $DEV -j LIMITATION-IN
  421. # ajout de fwmark pour classer les diff‚nts types de trafic
  422. # - fwmark est positionn‚e 20 …1 suivant la classe. 20 correspond …a
  423. #   priorit‚a plus forte.
  425. # Forte priorit‚our les paquets non TCP
  426. iptables -t mangle -A LIMITATION-IN -p ! tcp -j MARK --set-mark 20
  427. iptables -t mangle -A LIMITATION-IN -p ! tcp -j RETURN
  429. # Les petits paquets TCP sont probablement des ACK
  430. iptables -t mangle -A LIMITATION-IN -p tcp -m length --length :64 -j MARK --set-mark 20
  431. iptables -t mangle -A LIMITATION-IN -p tcp -m length --length :64 -j RETURN
  433. iptables -t mangle -A LIMITATION-IN -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j MARK --set-mark 20
  434. iptables -t mangle -A LIMITATION-IN -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j RETURN
  436. # R‚tition - les paquets sans marque sont positionn‚…1 (faible priorit‚
  437. iptables -t mangle -A LIMITATION-IN -m mark --mark 0 -j MARK --set-mark 21
  438. iptables -t mangle -A LIMITATION-IN -m mark --mark 0 -j RETURN
  440. # on envoie les paquets pr‚dents …'interface imq0.
  442. iptables -t mangle -A LIMITATION-IN -j IMQ
  444. # Fin de la limitation de trafic entrant.
  445. #
  446. ####################################################
  448. echo "Limitation de trafic entrant activ‚sur $DEV.  D‚t: ${RATEDN}kbit/sec."


Message édité par redvivi le 20-07-2007 à 15:55:46
Reply

Marsh Posté le 20-07-2007 à 15:54:26   

Reply

Marsh Posté le 20-07-2007 à 22:14:17    

[EDIT] Je confirme, c'est un probleme avec iptables mais je vois pas d'ou ça vient !


Message édité par redvivi le 20-07-2007 à 22:17:51
Reply

Marsh Posté le 20-07-2007 à 22:21:12    

J'ai trouvé, en fait quand je lance mon script 2 fois à la suite, tout fonctionne, si je le lance une fois ça ne fonctionne pas...autant ne pas chercher à comprendre !

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed