Iptables v1.4.8: host/network `sous.domaine.tld' not found

Support Debian
#1

Salut,
J’ai un souci avec iptables que je ne m’explique pas…
J’essaye de mettre en liste blanche un ip à partir d’un nom de domaine (mis à jour dynamiquement sur OVH - Cette ip dynamique n’est pas en cause je pense).

Et…

[quote]# service parefeu restart
Starting firewall…
Parefeu - Suppression des règles : [OK]
Parefeu - interdictions générales établies : [OK]
[color=#FF0000]iptables v1.4.8: host/network sous.domaine.tld' not found[/color] Tryiptables -h’ or ‘iptables --help’ for more information.
Parefeu - Mise en place des règles : [OK]
Parefeu - Logging : [OK]
done.[/quote]

Pourtant nslookup, ping et autre host me sortent la bonne ip.

#2

Au moment où la commande est exécutée, le trafic DNS est-il déjà autorisé ?

#3

Concernant ton problème je n’ai pas d’idée dans l’immédiat, mais il y a une chose à laquelle tu dois faire attention : le nom de domaine est résolu au moment de l’ajout dans iptables et non pas au moment où la règle est utilisée. Ça veut dire que si l’IP dynamique change après que tu as créée la règle iptables ça ne fonctionnera plus, le firewall continuera à utiliser l’ancienne IP jusqu’à ce que tu effaces la règle et que tu la recrées (du coup iptables résoudra à nouveau le NDD et c’est la nouvelle IP qui sera prise en compte).
Tu le savais sûrement déjà mais ça fait pas de mal de le rappeler au cas où. :mrgreen:

#4

[quote=“PascalHambourg”]Au moment où la commande est exécutée, le trafic DNS est-il déjà autorisé ?[/quote]Non… Merci, j’ai descendu la règle, et évidemment ça marche. Quel âne! :021

[quote=“syam”]Concernant ton problème je n’ai pas d’idée dans l’immédiat, mais il y a une chose à laquelle tu dois faire attention : le nom de domaine est résolu au moment de l’ajout dans iptables et non pas au moment où la règle est utilisée. Ça veut dire que si l’IP dynamique change après que tu as créée la règle iptables ça ne fonctionnera plus, le firewall continuera à utiliser l’ancienne IP jusqu’à ce que tu effaces la règle et que tu la recrées (du coup iptables résoudra à nouveau le NDD et c’est la nouvelle IP qui sera prise en compte).
Tu le savais sûrement déjà mais ça fait pas de mal de le rappeler au cas où. :mrgreen:[/quote]
Oui, j’ai pensé à ça. Je n’ai pas encore trouvé de solution, sauf à relancer iptables quelques temps après que le client ait fait sa MAJ d’ip (par CRON).

#5

Tu peux peut-être faire en sorte que le client t’avertisse du changement d’IP ?
Une idée comme une autre : modifier le script de mise à jour OVH pour y rajouter un port-knock vers ta machine. De ton côté knockd se charge d’effacer et de recréer la règle (et juste la règle, via une chaîne personnalisée) quand il reçoit la bonne séquence. Même si un tiers trouve la séquence c’est pas bien grave…

#6

Tu peux peut-être faire en sorte que le client t’avertisse du changement d’IP ?
Une idée comme une autre : modifier le script de mise à jour OVH pour y rajouter un port-knock vers ta machine. De ton côté knockd se charge d’effacer et de recréer la règle (et juste la règle, via une chaîne personnalisée) quand il reçoit la bonne séquence. Même si un tiers trouve la séquence c’est pas bien grave…[/quote]

Ah oui, c’est une bonne idée ça le port-knock + règle iptables personnalisée, je n’y avait pas pensé…
Merci.