Iptables-save = muet depuis passage à Stretch

Je n’ai pas encore explorer la chose en profondeur, mais comme je vérifie régulièrement, je me suis rendu compte de ça ce matin. Y-a-t-il quelque chose de nouveau qui soit passé à côté de mes yeux, lors de la mutation Jessie ==> Stretch ?
Retour vers midi.

EDIT :
Quand je dis “muet”, ça veut dire retour direct à l’invite.

Bonjour.

Tu as fais une mise à jour, je te conseille de réinstaller lors d’un changement de majeure de version de Debian. sinon

Quand iptables-save ne retourne rien, c’est qu’une règle iptables n’est active sur le système. je viens de le faire sur mon ordinateur portable :

┌ (gilles@Victory + 0) (27/07/17 - 11:48:02) (0.44 - 0%) (~)
└% sudo iptables-save
┌ (gilles@Victory + 0) (27/07/17 - 11:50:08) (0.52 - 0%) (~)
└%

Après, ce que tu peux tester, c’est iptables-save || echo 'Ça marche pas !' et si tu vois le texte “Ça marche pas !”, c’est que ça ne marche pas.

Dans un premier temps, j’ai souri, puis j’ai testé et la réponse m’interpelle.

$: sudo iptables-save || echo 'Ça marche pas !
>

Je fouillerai cet AM pour voir où ça coince.

Tu as oublié la quote à la fin de la ligne, après le !. du coup, il te met > pour dire qu’il lui manque quelque chose pour continuer.

Suis-je bête ! :astonished:
Encore plus bizarre alors … ta commande affiche le bon résultat de ‘iptables-save’.
Je contrôle et ça répond correctement :

ricardo@stretch-ssd:~$ sudo iptables-save
# Generated by iptables-save v1.6.0 on Thu Jul 27 12:32:24 2017
*filter
:INPUT DROP [1300:493758]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [19588:2768868]
-A INPUT -i lo -j ACCEPT
etc.

Ça l’a réveillé, ou quoi ?

===================

EDIT :
Par contre :

ricardo@stretch-ssd:~$ sudo ip6tables-save || echo 'Ça marche pas !'
ricardo@stretch-ssd:~$

et aussitôt après :

ricardo@stretch-ssd:~$ sudo ip6tables-save
ricardo@stretch-ssd:~$

Quand tu fais sudo ip6tables-save || echo 'Ça marche pas !', tu as le retour de ip6tables-save, et, en cas d’erreur, le texte. Du coup, si la commande sudo ip6tables-save || echo 'Ça marche pas !' ne te renvoie rien, c’est que ip6tables-saven’a pas retourné d’erreur, ni de règle.
Ta table iptables pour l’IPv6 est donc vide.

1 J'aime

Merci, je vais aller voir ça sitôt que possible.

Plus exactement qu’aucune table (filter, nat, mangle, raw…) n’est chargée, ce qui implique bien sûr qu’aucune règle n’est active.
Lorsqu’aucune règle n’est active mais qu’une ou plusieurs tables sont chargées, la sortie n’est pas vide.

Vrai, c’était important de le souligner.

Mon problème est règlé.
Lors de la mutation vers Stretch, j’ai accepté partout où c’était demandé les modifications du paquet selon l’offre du responsable. J’ai fait ça en connaissance de cause, me disant que je verrai à l’usage si le besoin de personnaliser se fait sentir.
J’en ai profité pour refaire tout au propre selon le tuto de Seb-ksl.
Tout baigne comme avant.
Merci de l’aide.

Tu as lu mon message sur l’existence d’un paquet (iptables-persistent) qui gère ça ?

Oui, j’ai tout lu, mais comme je maitrise assez bien cette méthode, tirée du tuto, très ancien que j’avais fait, je suis resté dans mon habitude.
Toutefois, comme j’ai quatre disques à faire, je comptais tester ce iptables-persistant.
Il est fort possible que je fasse ça ce soir, mais j’ai besoin d’un complément d’info :
Le processus à suivre en partant de zéro, ou alors en partant d’un début d’install ancienne ?
Merci

Si tu as ton ancienne configuration, tu peux l’appliquer (attention, le nom des interfaces a peut-être changé) avant d’installer le paquet iptables-persistent. À l’installation du paquet, le configurateur te demandera si tu veux créer les fichiers de configuration avec les règles actuellement appliquées.

@Almtesh
Je viens de faire sur une machine qui était déjà pourvue.
Apparemment, ça s’est bien passé :
iptatbles-save et ip6tables-save répondent tous deux les même règles qu’avant.
Toutefois, il faut que je vérifie si les anciens fichiers doivent être supprimés.
Question : pas de man, donc où trouver le minimum syndical d’explications ?
Question2 : Est-ce que je peux modifier directement à partir de /etc/iptables/rules.v4 et …v6 ?

Problème sur la machine dont ip6tables n’était pas pris en compte.
J’ai modifié le rules.v6, en le copiant sur la machine qui va bien, mais au reboot, ip6tables-save ne prend pas les modifs en compte.

Le minimum syndical se trouve dans le manuel de netfilter-persistent. iptables-persistent étant un plugin de netfilter-persistent.

Tout à fait, ce sont des fichiers de configuration comme n’importe lequel de ceux présents dans le dossier /etc (enfin, ceux qui répectent la FSHS, du moins).

ip6tables-save n’est qu’un utilitaire qui te présente les règles IPv6 de pare-feu. Tu veux dire que netfilter-persistent ne t’applique pas les règles IPv6 présentes dans ton fichier /etc/iptables/rules.v6 ? Tu peux aisemment voir ce qu’il ne se passe pas bien en faisant cat /etc/iptables/rules.v6 | sudo ip6tables-restore. Si cette commande ne te retourne pas d’erreur, tu peux jetter un œil dans les logs.

1 J'aime

Merci, erreur trouvée et, comme 99 fois sur 100, l’erreur se trouve entre le fauteuil et le clavier. Un simple oubli d’espace dans une règle.:relaxed:
Il me reste à coller ça sur les deux derniers disques.
C’est vrai que c’est pratique et simple.

1 J'aime