bonjour
j ai installer knockd sur mon serveur debian seulement voila je ne parviens pas à me connecter je lance la commande qu’il faut knock 92.224.150.88 5520 2055 6602
et la rien

voici le fichier de knock
/etc/knockd.conf

[code]options]
logfile = /var/log/knockd.log

[openSSH]
sequence = 5520,2055,6602
seq_timeout = 5
command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn

[closeSSH]
sequence = 5520,2055,6602
seq_timeout = 5
command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
cmd_timeout = 10
[/code]
voici les règles iptable définie sur le serveur

$iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
et le dernier fichier de conf /etc/default/knockd

je ne comprend pas pourquoi cela ne fonctionne pas j ai bien redémarrer ssh et knockd j ai suivi le tuto sur ubuntu que voicihttp://doc.ubuntu-fr.org/port-knocking

[code]# PLEASE EDIT /etc/knockd.conf BEFORE ENABLING
START_KNOCKD=1

command line options

KNOCKD_OPTS="-i eth0" <-- c’est la bonne interface
[/code]

Tu peux commencer par circonscrire le problème pour savoir si le problème vient de ta règle iptables ou de la conf du knockd, par exemple en mettant une action simple pour le knockd (comme par exemple un touch sur un fichier).

Sinon, je ne suis pas un expert en iptables mais un append (A) après un delete (D) ne peut-il pas donner une situation comme celle-ci :
Drop
Accept

Auquel cas le accept ne passerais jamais ?

Ouais mais il y a aussi une règle ACCEPT avant la règle DROP, donc match nul. Cependant iptables -L n’affiche pas les règles de façon complète, il manque notamment les options d’interface et du coup on ne sait pas ce que font exactement ces règles. Pour tout afficher il faut ajouter l’option -v, ou bien utiliser à la place la commande iptables-save dont je préfère le format de sortie.

Edit : c’est normal que les séquences d’ouverture et de fermeture soient identiques ?

bonjour
je viens de modifier la séquences de fermeture, elle doit pas être la même que celle de l ouverture
j ai ajouter l’option -v pour afficher la totalité des règles PascalHambourg comme tu me la suggérer
iptable -L -v

pkts bytes target prot opt in out source destination 3 164 ACCEPT tcp -- any any reverse.completel.net anywhere tcp dpt:ssh 3507 317K ACCEPT all -- any any anywhere anywhere state ESTABLISHED 2 120 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:ssh

voici les logs que j ai quand j essaye de me connecter

[2011-01-11 12:46] closeSSH: command returned non-zero status code (1)
[2011-01-11 12:46] 213.30.178.49: openSSH: Stage 1
[2011-01-11 12:46] 213.30.178.49:openSSH: Stage 2
[2011-01-11 12:46] 213.30.178.49: openSSH: Stage 3
[2011-01-11 12:46] 213.30.178.49: openSSH: OPEN SESAME
[2011-01-11 12:46] openSSH: running command: /sbin/iptables -I INPUT -s 213.30.178.49 -p tcp --dport 22 -j ACCEPT

Quelque chose n’est pas cohérent : l’adresse IP dans la règle iptables est différente de celle dans les lignes de log précédentes. Laquelle est la bonne ? (et laisser -n dans iptables pour ne pas résoudre les adresses)

l adresse ip se trouve être bonne j ai fais une mauvaise manip quand j ai coller

Tu peux éditer le message pour corriger la coquille, ça évitera à d’autres lecteurs de se poser des questions.
En tout cas ça a l’air de marcher pas mal, non puisque la règle iptables semble créée ?