Page suivante Page précédente Table des matières

6. Problèmes classiques

6.1 ipchains -L est gelé !

Vous bloquez probablement les demandes DNS ; il finira probablement par stopper. Essayez d'utiliser l'option "-n" (numérique) d'ipchains, qui supprimera la recherche des noms.

6.2 Le camouflage/redirection ne fonctionne pas !

Vérifiez si la redirection de paquets est activée (dans les noyaux récent, elle est désactivée par défaut ce qui signifie que les paquets ne tentent jamais de traverser la chaîne "forward"). Vous pouvez changer ce défaut (en tant que super-utilisateur) en tapant

# echo 1 > /proc/sys/net/ipv4/ip_forward
#

Si ceci marche pour vous, vous pouvez le mettre quelque part dans vos scripts de lancement, de manière à ce que la redirection soit activée à chaque fois ; vous devrez toutefois configurer votre pare-feu avant le lancement de cette commande, autrement il peut y avoir passage de paquets.

6.3 -j REDIR ne marche pas !

Vous devez autoriser la retransmission des paquets (voir plus haut) pour que celle-ci fonctionne ; sinon le code de routage supprime le paquet. Ainsi, si vous utilisez juste la redirection sans avoir de transmission, vous devez y faire attention.

Notez que REDIR (dans la chaîne d'entrée) n'affecte pas les connexions d'un processus local.

6.4 Les interfaces joker ne fonctionnent pas !

Il y avait une erreur dans les versions 2.1.102 et 2.1.103 du noyau (et dans quelques anciens correctifs que j'avais sorti) qui faisait planter les commandes ipchains utilisant une interface joker (comme -i ppp+).

Cette erreur a été corrigée dans les noyaux récents, et dans le correctif 2.0.34 du site web. Vous pouvez aussi le corriger à la main dans les sources du noyau en changeant la ligne 63 de include/linux/ip_fw.h :

#define IP_FW_F_MASK    0x002F  /* All possible flag bits mask   */

Ceci doit en fait être "0x003F". Corrigez et recompilez le noyau.

6.5 TOS ne fonctionne pas !

C'est de ma faute : la configuration du champ Type of Service ne change pas le Type of Service dans les noyaux 2.1.102 à 2.1.111. Ce problème a été corrigé dans le 2.1.112.

6.6 ipautofw et ipportfw ne fonctionnent pas !

Pour les 2.0.x, c'est vrai ; je n'ai pas le temps de créer et de maintenir un correctif de taille gigantesque pour ipchains et ipautofw/ipportfw.

Pour les 2.1.x, récupérez ipmasqadm de Juan Ciarlante sur

<url url="http://juanjox.linuxhq.com/"
        name="http://juanjox.linuxhq.com/">
et utilisez-le exactement de la manière dont vous auriez utilisé ipautofw ou ipportfw, à part qu'à la place de ipportfw vous devez taper ipmasqadm portfw, et à la place de ipautofw vous devez taper ipmasqadm autofw.

6.7 XosView ne marche pas !

Mettez à jour à la version 1.6.0 ou supérieure, qui ne nécessite pas de règle pare-feu pour les noyaux 2.1.x. Il semblerait être à nouveau cassé dans le 1.6.1 ; veuillez voir l'auteur (ce n'est pas de ma faute !).

6.8 Erreur de segmentation avec -j REDIRECT !

C'était une erreur dans ipchains version 1.3.3. Veuillez mettre à jour.

6.9 Je ne peux pas modifier les temps d'attente du camouflage !

C'est vrai (pour les noyaux 2.1.x) jusqu'au et incluant le 2.1.112. Ceci est pour le moment vigoureusement traqué, et au moment où vous lirez ce document il se pourrait que ce soit résolu. Ma page web contiendra un correctif lorsqu'il sera disponible.

6.10 Je veux firewaller IPX !

Ainsi qu'un certain nombre d'autres personnes, il semble. Mon code couvre seulement IP, malheureusement. Du bon côté, tout est là pour pouvoir firewaller IPX ! Vous devrez juste écrire le code ; je vous aiderai joyeusement là où ce sera possible.


Page suivante Page précédente Table des matières