Bonjour tout le monde,

J'ai passé beaucoup de temps à mettre des règles Iptables au point et bim, iptables disparaît
Du changement pour du changement, comme si tout le monde était ingé en info.

On dirait que Fedora veut faire de l'Ubuntu en allant même jusqu'à singer le 127.0.0.53. :-?

Ce qui me gêne le plus ce sont les belle règles pour faire du QOS avec TC et Qdisc.
Ça fonctionnait du tonnerre avec mes priorités.

Y-a-t-il un outil, un script, une astuces afin que je convertisse mes règles iptables pour fonctionner avec firewalld ?
Question documentation sur le sujet, c'est un peu maigre. C'est comme si un constructeur fabriquait un téléphone mais pas le manuel.

Merci de votre aide.
Oui je suis bien d'accord, mais j'ai annoncé que c'était un peu spécial.
Je ne me suis pas contenté de lire le web français (avec des articles souvent répétitifs et incomplets), j'ai anglophonné aussi. (ne cherchez pas c'est le néologisme du jour)

Pour comprendre ma difficulté, si quelque peut m'apporter une piste voici quelques exemples qui suivent des règles tc qdisc
exemple : tc class add dev wlp2s0 parent 1 classid 1:1 htb rate 300mbit ceil 50mbit

gérer par iptables pour la classification
iptables -t mangle -A POSTROUTING -m tos --tos Minimize-Delay -j CLASSIFY --set-class 1:10
iptables -t mangle -A POSTROUTING -m tos --tos Minimize-Delay -j RETURN
iptables -t mangle -A POSTROUTING -m tos --tos Minimize-Cost -j CLASSIFY --set-class 1:11
iptables -t mangle -A POSTROUTING -m tos --tos Minimize-Cost -j RETURN
iptables -t mangle -A POSTROUTING -m tos --tos Maximize-Throughput -j CLASSIFY --set-class 1:13
iptables -t mangle -A POSTROUTING -m tos --tos Maximize-Throughput -j RETURN

ou

iptables -t mangle -A POSTROUTING -o wlp2s0 -p tcp --sport 22 -j CLASSIFY --set-class 1:10
iptables -t mangle -A POSTROUTING -o wlp2s0 -p udp --sport 53 -j CLASSIFY --set-class 1:10
iptables -t mangle -A POSTROUTING -o wlp2s0 -p tcp --sport 53 -j CLASSIFY --set-class 1:10

iptables -t mangle -A POSTROUTING -o wlp2s0 -p tcp --sport 80 -j CLASSIFY --set-class 1:11
iptables -t mangle -A POSTROUTING -o wlp2s0 -p tcp --sport 443 -j CLASSIFY --set-class 1:11

Une idée ?

Au fait, firewalld est largement boudé sur Ubuntu pour la simple raison qu'il y a très peu de docs ou de tutos sérieux (dixit un unbuntutien).
Iptables a de sérieuses références documentaires pour tous les usages même pour limiter les effets des DDOS de base, je n'ai rien lu de tel sur le nouveau truc que l'on veut nous faire avaler sans documentation ni tuto compréhensible par tout le monde.
La documentation que vous citez est imbuvable, c'est pire que l'huile de foie de morue de mon enfance.
Pour ne rien arranger tout est abstrait sans aucun exemple. La page Policy donne une céphalée terrible à laquelle seule les programmeurs peuvent survivent.

S'il est si formidable que les experts vulgarisent et ne se content pas de ports 22, 80 ou 443.

Mais je vais encore surfer et si je trouve une réponse elle sera partagée ici.
Bonjour

C'est sympa mais à première vue c'est une application à un programme du monde java qui ne semble pas utiliser la classification.
Je vais approfondir quand je vais pouvoir me poser. Le truc marrant, c'est que le DSCP est une méthode de QOS.... basée sur iptables. :-D
Je me gausse.

En temps qu'utilisateur d'une distribution Linux, j'attends que la continuité soit cohérente comme cela peut l'être dans la vie quotidienne. Qui n'a pas été impuissant devant une télévision avec un mode de fonctionnement différent juste parce que le constructeur a voulu faire le malin ?

Ce que je trouve agaçant, c'est que même la version iptable-legacy a complètement changer les règles.
Question documentation nada. Je n'ai pas le temps de passer mon temps à faire le pionner

Ça donne presque envie de retourner chez Debian.

J'ai voulu tester la Fedora 36 en cryptant la partition /Home --> erreur manque des fichier pour le "cryptosetup" de mémoire et le pire même résultat pour la FABULEUSE Fedora 37 qui est aussi boguée que la Fedora 36 à son lancement.
Qu'en pense la panel de testeur ?

REMETTEZ-NOUS NOTRE IPTABLES DE BASE AVEC LE CHOIX (VANILLE OU CHOCOLAT), S'IL VOUS PLAIT .

Je laisse le sujet ouvert si par hasard un expert avait une solution à ce problème d'application des règles de QOS par iptables.

Développeurs RED HAT sachez que je vous suis depuis la flopée de disquettes à insérer, les fameuse commandes du modem rtc qu'il fallait optimiser et vous avez toujours été sur une ligne droite. Là c'est du changement juste pour changer.

Merci pour ton soutien.
En regardant ce que font les voisins, on s'aperçoit que pour SUSE (parefeu Suse) donne le choix et admet les limites de firewalld.

Comme quoi tout est question d'intelligence et d'ouverture d'esprit.
Un type qui a mis des années a mettre au point ses règles Iptables qui fonctionnement au poil n'a pas envie de retourner sur les bans d'école du primaire pour apprendre que son savoir n'aura pas les mêmes capacités.
@duboutdeloctet, j'entends complètement l'ensemble de tes points de vue mais tu t'es peut-être trompé de distribution pour ton usage. Je t'invite à lire https://doc.fedora-fr.org/wiki/Pr%C3%A9sentation_de_Fedora .

Je tiens à préciser que la distribution est Communautaire et donc que toute contribution est grandement acceptée et appréciée. Pour rappel aussi, nous sommes pour la très grande majorité des bénévoles, donc inutile d'attendre que nous solutionnons tous les problèmes à la carte.

Par ailleurs il faut plus se concentrer sur l'utilisation de nftables qui vient corriger des limitations et obsolescences de netfilter.

Il n'y a aucun souci à vouloir t'accompagner pour essayer de trouver une solution qui permettra de bénéficier à d'autres mais refaire un débat stérile et trollesque n'a que peut d'intérêt ici. Si c'est mieux ailleurs n'hésite pas, tu as entièrement le choix et personne ne te le reprochera donc essaye de faire de même.
Nicosss wrote:@duboutdeloctet, j'entends complètement l'ensemble de tes points de vue mais tu t'es peut-être trompé de distribution pour ton usage. Je t'invite à lire https://doc.fedora-fr.org/wiki/Pr%C3%A9sentation_de_Fedora .

Je tiens à préciser que la distribution est Communautaire et donc que toute contribution est grandement acceptée et appréciée. Pour rappel aussi, nous sommes pour la très grande majorité des bénévoles, donc inutile d'attendre que nous solutionnons tous les problèmes à la carte.

Par ailleurs il faut plus se concentrer sur l'utilisation de nftables qui vient corriger des limitations et obsolescences de netfilter.

Il n'y a aucun souci à vouloir t'accompagner pour essayer de trouver une solution qui permettra de bénéficier à d'autres mais refaire un débat stérile et trollesque n'a que peut d'intérêt ici. Si c'est mieux ailleurs n'hésite pas, tu as entièrement le choix et personne ne te le reprochera donc essaye de faire de même.

Bonjour,

Qu'est-ce que tu crois ? Que je suis un troll des montagnes venu bouffer du hobbit ?

Ben oui mais c'est ballot parce que firewalld est une interface de netfilter. C'est indiquer sur le lien que j'ai fourni.

Ce que je regrette c'est de voir une distribution qui était sympa devenir quelque chose qui est contraire à Linux de l'origine avoir le choix des outils.
Ne n’inquiètes pas pour moi, si cette distribution ne me convient pas , je vais dégager.

Puisque tu me tends la perche de la contribution, je n'ai pas été consulté pour le firewall. C'est la raison pour laquelle je donne mon avis qu'il te dérange ou pas.
Parce qu'à l'origine, les forums étaient calquées sur les forums grecs où tout le monde pouvait donné son avis et était écouté par les autres qui posaient des questions si comprendre au besoin.

Les forums deviennent des lieux autoritaires de pensée unique avec des sachants à grosse voix.
VINDICATORs wrote:DSL d'avoir voulut apporter une solution (vindic)

Bonjour,

Avant de venir poster ici, j'ai tenté quelques bricoles avec les iptables-save et iptables-restore qui bousillent mes règles.
Si je suis venu posté ici, c'est pour avoir de l'aide , des pistes de recherche pas du jugement de personnes qui ne savent pas répondre sauf avec du mépris condescendant. Le pire c'est le ton moqueur sans apporter un argument pour enrichir le débat.
Quand je ne sais pas répondre à un sujet sur un forum, je me tais.

Ce que j'ai écrit pour ton ami Nicosss vaut pour toi aussi.

Si tu conduis des véhicules, j'étais que tu sais changer l’embrayage ou le joint de culasse de ton véhicule parce que c'est c'est un peu ce que tu est en train de dire.

Je vois que je n'ai rien à attendre
duboutdeloctet wrote:
Nicosss wrote:@duboutdeloctet, j'entends complètement l'ensemble de tes points de vue mais tu t'es peut-être trompé de distribution pour ton usage. Je t'invite à lire https://doc.fedora-fr.org/wiki/Pr%C3%A9sentation_de_Fedora .

Je tiens à préciser que la distribution est Communautaire et donc que toute contribution est grandement acceptée et appréciée. Pour rappel aussi, nous sommes pour la très grande majorité des bénévoles, donc inutile d'attendre que nous solutionnons tous les problèmes à la carte.

Par ailleurs il faut plus se concentrer sur l'utilisation de nftables qui vient corriger des limitations et obsolescences de netfilter.

Il n'y a aucun souci à vouloir t'accompagner pour essayer de trouver une solution qui permettra de bénéficier à d'autres mais refaire un débat stérile et trollesque n'a que peut d'intérêt ici. Si c'est mieux ailleurs n'hésite pas, tu as entièrement le choix et personne ne te le reprochera donc essaye de faire de même.

Bonjour,

Qu'est-ce que tu crois ? Que je suis un troll des montagnes venu bouffer du hobbit ?

Ben oui mais c'est ballot parce que firewalld est une interface de netfilter. C'est indiquer sur le lien que j'ai fourni.

Ce que je regrette c'est de voir une distribution qui était sympa devenir quelque chose qui est contraire à Linux de l'origine avoir le choix des outils.
Ne n’inquiètes pas pour moi, si cette distribution ne me convient pas , je vais dégager.

Puisque tu me tends la perche de la contribution, je n'ai pas été consulté pour le firewall. C'est la raison pour laquelle je donne mon avis qu'il te dérange ou pas.
Parce qu'à l'origine, les forums étaient calquées sur les forums grecs où tout le monde pouvait donné son avis et était écouté par les autres qui posaient des questions si comprendre au besoin.

Les forums deviennent des lieux autoritaires de pensée unique avec des sachants à grosse voix.
Tu mélanges trop de choses, et loin de là notre, ou même la mienne, l'idée de vouloir te faire rentrer dans le rang ou tout autre idée que tu as pu te mettre en tête dont le fait de te prendre de haut parce que représenterions des sachants.
La dérive de tes propos aurait plus sa place dans dans Le comptoir du libre par rapport à ton problème premier et l'aide qu'il a commencé à t'être apportée.
C'est dommage de passer autant de temps dans ces propos plutôt qu'à la résolution de ton problème. Inutile d'agresser les gens sur ce forum ou ailleurs, ça ne fera pas avancer ton problème.
Voilà, j'espère que tu prendras du recul sur tout ça et que nous pourrons nous concentrer sur ton problème et t'aider à arriver à une résolution.

Pour info, Fedora Linux intègre nftables avec firewalld depuis quelques versions si c'est ce point auquel tu fais allusion.
@duboutdeloctet

si ton but en postant ici est juste de demander une aide, alors à quoi rime cette diatribe furieuse contre tout et rien ?

On ne te doit rien. On donne ce qu'on peut et si on veut. Tu sais quoi ?
duboutdeloctet wrote:Ça donne presque envie de retourner chez Debian.
Même pas cap.
Pour info, Fedora Linux intègre nftables avec firewalld depuis quelques versions si c'est ce point auquel tu fais allusion.
Tu as raison pour nftables. Cette nouvelle version peut récupérer les règles iptables avec certaines restrictions à prendre en compte pour les plus complexes.
Je te remercie pour cette direction. il est quand même mentionné que firewalld a des restrictions, pour faire grand public ?

Ça c'est un bon début de piste même s'il faut tout réapprendre, mais ça va dans le bon sens.
Nicosss wrote:
duboutdeloctet wrote:
Nicosss wrote:@duboutdeloctet, j'entends complètement l'ensemble de tes points de vue mais tu t'es peut-être trompé de distribution pour ton usage. Je t'invite à lire https://doc.fedora-fr.org/wiki/Pr%C3%A9sentation_de_Fedora .

Je tiens à préciser que la distribution est Communautaire et donc que toute contribution est grandement acceptée et appréciée. Pour rappel aussi, nous sommes pour la très grande majorité des bénévoles, donc inutile d'attendre que nous solutionnons tous les problèmes à la carte.

Par ailleurs il faut plus se concentrer sur l'utilisation de nftables qui vient corriger des limitations et obsolescences de netfilter.

Il n'y a aucun souci à vouloir t'accompagner pour essayer de trouver une solution qui permettra de bénéficier à d'autres mais refaire un débat stérile et trollesque n'a que peut d'intérêt ici. Si c'est mieux ailleurs n'hésite pas, tu as entièrement le choix et personne ne te le reprochera donc essaye de faire de même.

Bonjour,

Qu'est-ce que tu crois ? Que je suis un troll des montagnes venu bouffer du hobbit ?

Ben oui mais c'est ballot parce que firewalld est une interface de netfilter. C'est indiquer sur le lien que j'ai fourni.

Ce que je regrette c'est de voir une distribution qui était sympa devenir quelque chose qui est contraire à Linux de l'origine avoir le choix des outils.
Ne n’inquiètes pas pour moi, si cette distribution ne me convient pas , je vais dégager.

Puisque tu me tends la perche de la contribution, je n'ai pas été consulté pour le firewall. C'est la raison pour laquelle je donne mon avis qu'il te dérange ou pas.
Parce qu'à l'origine, les forums étaient calquées sur les forums grecs où tout le monde pouvait donné son avis et était écouté par les autres qui posaient des questions si comprendre au besoin.

Les forums deviennent des lieux autoritaires de pensée unique avec des sachants à grosse voix.
Tu mélanges trop de choses, et loin de là notre, ou même la mienne, l'idée de vouloir te faire rentrer dans le rang ou tout autre idée que tu as pu te mettre en tête dont le fait de te prendre de haut parce que représenterions des sachants.
La dérive de tes propos aurait plus sa place dans dans Le comptoir du libre par rapport à ton problème premier et l'aide qu'il a commencé à t'être apportée.
C'est dommage de passer autant de temps dans ces propos plutôt qu'à la résolution de ton problème. Inutile d'agresser les gens sur ce forum ou ailleurs, ça ne fera pas avancer ton problème.
Voilà, j'espère que tu prendras du recul sur tout ça et que nous pourrons nous concentrer sur ton problème et t'aider à arriver à une résolution.

Pour info, Fedora Linux intègre nftables avec firewalld depuis quelques versions si c'est ce point auquel tu fais allusion.

Tu as raison pour nftables. Cette nouvelle version peut récupérer les règles iptables avec certaines restrictions à prendre en compte pour les plus complexes.
Je te remercie pour cette direction. il est quand même mentionné que firewalld a des restrictions, pour faire grand public ?

Ça c'est un bon début de piste même s'il faut tout réapprendre, mais ça va dans le bon sens.

Merci.
nouvo09 wrote:@duboutdeloctet

si ton but en postant ici est juste de demander une aide, alors à quoi rime cette diatribe furieuse contre tout et rien ?

On ne te doit rien. On donne ce qu'on peut et si on veut. Tu sais quoi ?
duboutdeloctet wrote:Ça donne presque envie de retourner chez Debian.
Même pas cap.
Presque 10 ans sous Debian dont avec du Raspberry et de l'Arduino.

Voilà de quoi réfléchir....
VINDICATORs wrote:Et dsl... Mais oui je sais changer un embrayage, un joint de culasse...
Raison de plus, va pas nous péter un câble !