bonjour à tous
voici mon problème :
j’ai installé un scanner avec xsane sur mon réseau qui marche très bien si je ne mets pas de filtres iptables
pourtant j’ai autorisé sur le serveur l’ouverture du port préconisé :
#pour le scanner reseau
/sbin/iptables -A INPUT -i eth1 -p TCP --dport 6566 -j ACCEPT
rien à faire
quelqu’un a une idée pour résoudre ce pb ? merci
si ça peut aider j’ai lu ça sur http://penguin-breeder.org/sane/saned/
[quote]Another common topic is firewalling. saned listens normally on 6566/tcp. However, the actuall image data is transfered using an arbitrary port above 1024. We are aware of the fact that this is not easy to filter. On the other hand, a scanner daemon is nothing to run on a firewall.
A possible solution to this is to rewrite saned to use one specific port. This has the drawback that saned won’t work if that port is already used by another program.
Another solution is using a packet filter that is able to match packets based on the process sending or receiving them. You could then enable the process saned to communicate on port 1024 and above while blocking other applications.
[/quote]
merci
ce lien m’a permis de résoudre mon problème
dans /etc/inetd.conf, j’avais
sane stream tcp nowait root /usr/sbin/saned sane
j’ai remplacé par
sane-port stream tcp nowait root /usr/sbin/saned sane
impeccable. fonctionne sur le port 6566
Que te donnes
$ grep sane /etc/services
Parce que ce que tu décris est un bug dans l’installation, la première entrée des lignes de ce fichier est le port d’écoute du service. Cette entrée est listée dans le fichier /etc/services et le programme d’installation qui t’a mis cette entrée aurait du respecter la dénomination officielle (qui est sane-port effectivement). Si tu as sane au lieu de sane-port dans /etc/services, met à jour netbase, sinon il faudrait que tu envois un rapport de bug à propos du paquet qui t’a mis cette ligne…
réponse grep sane /etc/services
sane-port 6566/tcp sane saned # SANE network scanner daemon
je n’ai pas bien compris ce que tu voulais dire
quand j’ai installé sane (sur le serveur)
/etc/services avait la ligne
sane-port 6566/tcp sane saned # SANE network scanner daemon
/etc/inetd.config avait la ligne
sane stream tcp nowait root /usr/sbin/saned sane
que j’ai modifié en
sane-port stream tcp nowait root /usr/sbin/saned sane
et ainsi ça marche en ouvrant le port 6566 dans iptables
si cela constitue un bug et qu’il est intéressant de le signaler, je vais avoir besoin d’aide pour le faire, parce que je ne connais pas la procédure
voilà
Quel paquet a modifié le fichier /etc/inetd.conf? ou bien quels paquets as tu installés?
j’ai installé sane sur mon serveur
je précise qu’il est sous etch
sane : State: installed
Automatically installed: no
Version: 1.0.14-2
Priority: optional
Section: graphics
Maintainer: Julien BLACHE jblache@debian.org
Uncompressed Size: 332k
Architecture: i386
Compressed Size: 112k
Filename: pool/main/s/sane-frontends/sane_1.0.14-2_i386.deb
MD5sum: 77971da63a36f033046896a6488712e7
Archive: stable, now
Bizarre que ce problème est sur Ubuntu: http://www.nabble.com/Possible-inetutils-inetd-problem-td16188804.html
hélas, je maîtrise très mal l’anglais. J’ai du mal à comprendre.
je ne sais pas trop quoi en dire.
Dans /etc/services, “sane” est défini comme alias pour “sane-port”. Je ne vois pas comment la modification de la ligne dans /etc/inetd.conf a pu changer quoi que ce soit par rapport à iptables.
Comme expliqué dans le texte cité par Thomas, le protocole SANE fonctionne un peu comme FTP en mode passif : le port 6566 sert uniquement pour la connexion de commande, et un autre port défini dynamiquement sert pour le transfert des données. Il faut donc aussi ouvrir ce port dans iptables, mais la difficulté est qu’il change.
A partir du noyau 2.6.21 (donc dans les noyaux de lenny ou 2.6.24-etchnhalf d’etch-et-demi), il y a un module assistant de suivi de connexion pour le protocole SANE, nf_conntrack_sane, à l’instar de ce que fait nf_conntrack_ftp pour le protocole FTP. S’il est chargé (au démarrage si listé dans /etc/modules, ou manuellement avec modprobe) et si les règles iptables acceptent les paquets dans l’état ESTABLISHED ou RELATED, alors le transfert devrait fonctionner.