Mon reseau 192.168.2.0/24 est-il inclu dans le 192.168.0.0/16 ?
22 réponses
User Sarge
Bonjour les IPistes :)
Voilà je suis en train de vérifier un script sur un firewall qui
contient la ligne suivante :
iptables -A -s 192.168.0.0/16 -i ppp0 -j DROP # class C reserved
Ce qui se traduis par :
Rajouter la règle qui dit que : tous les paquets du reseau 192.168 en
provenance de l'interface ppp0 ( ce qui est grave louche puisque c'est
internet ), sont "droppés".
Mon 1er LAN est en 192.168.1.0/24 le deuxième en 192.168.2.0/24 ils ne
semblent pas concernés par cette règle, puisqu'ils représentent des
réseaux IP différents.
Voilà je suis en train de vérifier un script sur un firewall qui contient la ligne suivante :
iptables -A -s 192.168.0.0/16 -i ppp0 -j DROP # class C reserved
Mon 1er LAN est en 192.168.1.0/24 le deuxième en 192.168.2.0/24 ils ne semblent pas concernés par cette règle, puisqu'ils représentent des réseaux IP différents.
Etes-vous d'accord avec mon interprétation ?
A moitié. Tes deux plages LAN sont incluses dans 192.168.0.0/16, mais les paquets émis par les machines de tes LANs n'arrivent pas par ppp0, donc au final cette règle ne les bloque pas.
Salut,
User Sarge wrote:
Voilà je suis en train de vérifier un script sur un firewall qui
contient la ligne suivante :
iptables -A -s 192.168.0.0/16 -i ppp0 -j DROP # class C reserved
Mon 1er LAN est en 192.168.1.0/24 le deuxième en 192.168.2.0/24 ils ne
semblent pas concernés par cette règle, puisqu'ils représentent des
réseaux IP différents.
Etes-vous d'accord avec mon interprétation ?
A moitié. Tes deux plages LAN sont incluses dans 192.168.0.0/16, mais
les paquets émis par les machines de tes LANs n'arrivent pas par ppp0,
donc au final cette règle ne les bloque pas.
Voilà je suis en train de vérifier un script sur un firewall qui contient la ligne suivante :
iptables -A -s 192.168.0.0/16 -i ppp0 -j DROP # class C reserved
Mon 1er LAN est en 192.168.1.0/24 le deuxième en 192.168.2.0/24 ils ne semblent pas concernés par cette règle, puisqu'ils représentent des réseaux IP différents.
Etes-vous d'accord avec mon interprétation ?
A moitié. Tes deux plages LAN sont incluses dans 192.168.0.0/16, mais les paquets émis par les machines de tes LANs n'arrivent pas par ppp0, donc au final cette règle ne les bloque pas.
eRen
Salut,
User Sarge wrote:
<coupe>
Etes-vous d'accord avec mon interprétation ?
A moitié. Tes deux plages LAN sont incluses dans 192.168.0.0/16, mais les paquets émis par les machines de tes LANs n'arrivent pas par ppp0, donc au final cette règle ne les bloque pas.
Merci pour ta reponse, ma question portait surtout sur le fait que mes 192.168.2 et 192.168.1 étaient bien traités par la règle en entrée de mon firewall ( detection de spoofing éventuel )
En sortie, le problème ne se pose pas, puisqu'il y a masquerading
Cordialement
Salut,
User Sarge wrote:
<coupe>
Etes-vous d'accord avec mon interprétation ?
A moitié. Tes deux plages LAN sont incluses dans 192.168.0.0/16, mais
les paquets émis par les machines de tes LANs n'arrivent pas par ppp0,
donc au final cette règle ne les bloque pas.
Merci pour ta reponse, ma question portait surtout sur le fait que mes
192.168.2 et 192.168.1 étaient bien traités par la règle en entrée de
mon firewall ( detection de spoofing éventuel )
En sortie, le problème ne se pose pas, puisqu'il y a masquerading
A moitié. Tes deux plages LAN sont incluses dans 192.168.0.0/16, mais les paquets émis par les machines de tes LANs n'arrivent pas par ppp0, donc au final cette règle ne les bloque pas.
Merci pour ta reponse, ma question portait surtout sur le fait que mes 192.168.2 et 192.168.1 étaient bien traités par la règle en entrée de mon firewall ( detection de spoofing éventuel )
En sortie, le problème ne se pose pas, puisqu'il y a masquerading
Cordialement
Cedric Blancher
Le Mon, 29 Nov 2004 22:17:39 +0100, User Sarge a écrit :
Voilà je suis en train de vérifier un script sur un firewall qui contient la ligne suivante : iptables -A -s 192.168.0.0/16 -i ppp0 -j DROP # class C reserved
Le script va planter, cette règle est fausse, il manque la chaîne à laquelle tu vas ajouter cette règle.
Mon 1er LAN est en 192.168.1.0/24 le deuxième en 192.168.2.0/24 ils ne semblent pas concernés par cette règle, puisqu'ils représentent des réseaux IP différents.
L'adressage de tes LANs est compris dans 192.168.0.0/16. Cependant, ils ne seront pas concernés par la règle puisque les paquets qu'ils émettrons n'arriveront pas sur ppp0, mais sur l'interface interne de ton firewall (à priori eth?).
-- Il y a effectivement écrit "FREE" en grosses lettres clignotantes sur la page d'accueil [...] ce qui est suffisant pour rendre méfiant n'importe quel organisme vivant plus évolué que le zooplancton. -+- SB in: Guide du Cabaliste Usenet - Bien configurer son neurone -+-
Le Mon, 29 Nov 2004 22:17:39 +0100, User Sarge a écrit :
Voilà je suis en train de vérifier un script sur un firewall qui
contient la ligne suivante :
iptables -A -s 192.168.0.0/16 -i ppp0 -j DROP # class C reserved
Le script va planter, cette règle est fausse, il manque la chaîne à
laquelle tu vas ajouter cette règle.
Mon 1er LAN est en 192.168.1.0/24 le deuxième en 192.168.2.0/24 ils ne
semblent pas concernés par cette règle, puisqu'ils représentent des
réseaux IP différents.
L'adressage de tes LANs est compris dans 192.168.0.0/16. Cependant, ils ne
seront pas concernés par la règle puisque les paquets qu'ils émettrons
n'arriveront pas sur ppp0, mais sur l'interface interne de ton firewall
(à priori eth?).
--
Il y a effectivement écrit "FREE" en grosses lettres clignotantes
sur la page d'accueil [...] ce qui est suffisant pour rendre méfiant
n'importe quel organisme vivant plus évolué que le zooplancton.
-+- SB in: Guide du Cabaliste Usenet - Bien configurer son neurone -+-
Le Mon, 29 Nov 2004 22:17:39 +0100, User Sarge a écrit :
Voilà je suis en train de vérifier un script sur un firewall qui contient la ligne suivante : iptables -A -s 192.168.0.0/16 -i ppp0 -j DROP # class C reserved
Le script va planter, cette règle est fausse, il manque la chaîne à laquelle tu vas ajouter cette règle.
Mon 1er LAN est en 192.168.1.0/24 le deuxième en 192.168.2.0/24 ils ne semblent pas concernés par cette règle, puisqu'ils représentent des réseaux IP différents.
L'adressage de tes LANs est compris dans 192.168.0.0/16. Cependant, ils ne seront pas concernés par la règle puisque les paquets qu'ils émettrons n'arriveront pas sur ppp0, mais sur l'interface interne de ton firewall (à priori eth?).
-- Il y a effectivement écrit "FREE" en grosses lettres clignotantes sur la page d'accueil [...] ce qui est suffisant pour rendre méfiant n'importe quel organisme vivant plus évolué que le zooplancton. -+- SB in: Guide du Cabaliste Usenet - Bien configurer son neurone -+-
eRen
<coupe>
Le script va planter, cette règle est fausse, il manque la chaîne à laquelle tu vas ajouter cette règle. Oui en effet, je n'ai pas mis toutes les lignes exacts. La chaine est
créée juste au dessus ( iptables -N "chaine" ) et je ne voulais pas surcharger le post, vu que ma question portait surtout sur le traitement de mes lans ou non par cette règle <coupe>
L'adressage de tes LANs est compris dans 192.168.0.0/16. Cependant, ils ne seront pas concernés par la règle puisque les paquets qu'ils émettrons n'arriveront pas sur ppp0, mais sur l'interface interne de ton firewall (à priori eth?). Sauf s'il y a spoofing ... auquel cas je peux trés bien voir arriver des
paquets de l'extérieur avec comme adresse source 192.168.x.x ou autre. C'est à quoi sert ce script en fait
Cordialement
PS : pour les gourmand(e)s le script entier nommé "rc.firewall.local" est à cette adresse --> http://franck78.afraid.org/
<coupe>
Le script va planter, cette règle est fausse, il manque la chaîne à
laquelle tu vas ajouter cette règle.
Oui en effet, je n'ai pas mis toutes les lignes exacts. La chaine est
créée juste au dessus ( iptables -N "chaine" ) et je ne voulais pas
surcharger le post, vu que ma question portait surtout sur le traitement
de mes lans ou non par cette règle
<coupe>
L'adressage de tes LANs est compris dans 192.168.0.0/16. Cependant, ils ne
seront pas concernés par la règle puisque les paquets qu'ils émettrons
n'arriveront pas sur ppp0, mais sur l'interface interne de ton firewall
(à priori eth?).
Sauf s'il y a spoofing ... auquel cas je peux trés bien voir arriver des
paquets de l'extérieur avec comme adresse source 192.168.x.x ou autre.
C'est à quoi sert ce script en fait
Cordialement
PS : pour les gourmand(e)s le script entier nommé "rc.firewall.local"
est à cette adresse --> http://franck78.afraid.org/
Le script va planter, cette règle est fausse, il manque la chaîne à laquelle tu vas ajouter cette règle. Oui en effet, je n'ai pas mis toutes les lignes exacts. La chaine est
créée juste au dessus ( iptables -N "chaine" ) et je ne voulais pas surcharger le post, vu que ma question portait surtout sur le traitement de mes lans ou non par cette règle <coupe>
L'adressage de tes LANs est compris dans 192.168.0.0/16. Cependant, ils ne seront pas concernés par la règle puisque les paquets qu'ils émettrons n'arriveront pas sur ppp0, mais sur l'interface interne de ton firewall (à priori eth?). Sauf s'il y a spoofing ... auquel cas je peux trés bien voir arriver des
paquets de l'extérieur avec comme adresse source 192.168.x.x ou autre. C'est à quoi sert ce script en fait
Cordialement
PS : pour les gourmand(e)s le script entier nommé "rc.firewall.local" est à cette adresse --> http://franck78.afraid.org/
Cedric Blancher
Le Tue, 30 Nov 2004 12:29:11 +0100, eRen a écrit :
L'adressage de tes LANs est compris dans 192.168.0.0/16. Cependant, ils ne seront pas concernés par la règle puisque les paquets qu'ils émettrons n'arriveront pas sur ppp0, mais sur l'interface interne de ton firewall (à priori eth?). Sauf s'il y a spoofing ... auquel cas je peux trés bien voir arriver des
paquets de l'extérieur avec comme adresse source 192.168.x.x ou autre.
Sauf que dans ce cas, ils ne viendront pas de tes LANs...
C'est à quoi sert ce script en fait
Ah ouais ? :)))
-- BOFH excuse #78:
Yes, yes, its called a design limitation
Le Tue, 30 Nov 2004 12:29:11 +0100, eRen a écrit :
L'adressage de tes LANs est compris dans 192.168.0.0/16. Cependant, ils ne
seront pas concernés par la règle puisque les paquets qu'ils émettrons
n'arriveront pas sur ppp0, mais sur l'interface interne de ton firewall
(à priori eth?).
Sauf s'il y a spoofing ... auquel cas je peux trés bien voir arriver des
paquets de l'extérieur avec comme adresse source 192.168.x.x ou autre.
Sauf que dans ce cas, ils ne viendront pas de tes LANs...
Le Tue, 30 Nov 2004 12:29:11 +0100, eRen a écrit :
L'adressage de tes LANs est compris dans 192.168.0.0/16. Cependant, ils ne seront pas concernés par la règle puisque les paquets qu'ils émettrons n'arriveront pas sur ppp0, mais sur l'interface interne de ton firewall (à priori eth?). Sauf s'il y a spoofing ... auquel cas je peux trés bien voir arriver des
paquets de l'extérieur avec comme adresse source 192.168.x.x ou autre.
Sauf que dans ce cas, ils ne viendront pas de tes LANs...
C'est à quoi sert ce script en fait
Ah ouais ? :)))
-- BOFH excuse #78:
Yes, yes, its called a design limitation
User Sarge
<coupe>
Sauf que dans ce cas, ils ne viendront pas de tes LANs... Mais je sais Cedric ! c'est pourquoi il faut les dropper !
Je répète le rôle de ce script : il est destiné à dropper d'éventuels paquets contenant du 192.168 venant d'internet, et non pas à dropper des paquets contenant du 192.168 venant de mes LANs heureusement d'ailleurs
C'est à quoi sert ce script en fait
Ah ouais ? :))) Si si :)))
<coupe>
Sauf que dans ce cas, ils ne viendront pas de tes LANs...
Mais je sais Cedric ! c'est pourquoi il faut les dropper !
Je répète le rôle de ce script : il est destiné à dropper d'éventuels
paquets contenant du 192.168 venant d'internet, et non pas à dropper des
paquets contenant du 192.168 venant de mes LANs heureusement d'ailleurs
Sauf que dans ce cas, ils ne viendront pas de tes LANs... Mais je sais Cedric ! c'est pourquoi il faut les dropper !
Je répète le rôle de ce script : il est destiné à dropper d'éventuels paquets contenant du 192.168 venant d'internet, et non pas à dropper des paquets contenant du 192.168 venant de mes LANs heureusement d'ailleurs
C'est à quoi sert ce script en fait
Ah ouais ? :))) Si si :)))
Cedric Blancher
Le Tue, 30 Nov 2004 19:33:59 +0100, User Sarge a écrit :
Mais je sais Cedric ! c'est pourquoi il faut les dropper ! Je répète le rôle de ce script : il est destiné à dropper d'éventuels paquets contenant du 192.168 venant d'internet, et non pas à dropper des paquets contenant du 192.168 venant de mes LANs heureusement d'ailleurs
Et comme je te l'ai écrit, il a effectivement ce comportement. C'est bien ce que tu voulais savoir, non ?
-- Le message sur le NG c'étais pour tenir informé de l'avancement du site!Si g voulu en tenir informé le monde C parce que je pensais que vous étiez interressés par le site et que vous aviez hâte qu'il sorte! -+- Pip99 in http://www.petitjoueur.net/ : nzn.fr.jeux.pip99 -+-
Le Tue, 30 Nov 2004 19:33:59 +0100, User Sarge a écrit :
Mais je sais Cedric ! c'est pourquoi il faut les dropper !
Je répète le rôle de ce script : il est destiné à dropper d'éventuels
paquets contenant du 192.168 venant d'internet, et non pas à dropper des
paquets contenant du 192.168 venant de mes LANs heureusement d'ailleurs
Et comme je te l'ai écrit, il a effectivement ce comportement. C'est bien
ce que tu voulais savoir, non ?
--
Le message sur le NG c'étais pour tenir informé de l'avancement du
site!Si g voulu en tenir informé le monde C parce que je pensais que
vous étiez interressés par le site et que vous aviez hâte qu'il sorte!
-+- Pip99 in http://www.petitjoueur.net/ : nzn.fr.jeux.pip99 -+-
Le Tue, 30 Nov 2004 19:33:59 +0100, User Sarge a écrit :
Mais je sais Cedric ! c'est pourquoi il faut les dropper ! Je répète le rôle de ce script : il est destiné à dropper d'éventuels paquets contenant du 192.168 venant d'internet, et non pas à dropper des paquets contenant du 192.168 venant de mes LANs heureusement d'ailleurs
Et comme je te l'ai écrit, il a effectivement ce comportement. C'est bien ce que tu voulais savoir, non ?
-- Le message sur le NG c'étais pour tenir informé de l'avancement du site!Si g voulu en tenir informé le monde C parce que je pensais que vous étiez interressés par le site et que vous aviez hâte qu'il sorte! -+- Pip99 in http://www.petitjoueur.net/ : nzn.fr.jeux.pip99 -+-
User Sarge
<coupe>
Et comme je te l'ai écrit, il a effectivement ce comportement. C'est bien ce que tu voulais savoir, non ? Oui tout à fait :)
C'est la deuxième partie de ta réponse de 9h58 je te cite :
"Cependant, ils ne seront pas concernés par la règle puisque les paquets qu'ils émettrons n'arriveront pas sur ppp0, mais sur l'interface interne de ton firewall (à priori eth?)"
qui m'a amené à poursuivre le fil, car là tu n'est plus dans le scénario internet --> ppp0 que je décris dans mon post de départ. Mais à ta décharge, je pense que j'ai du mal m'exprimé, la preuve m'a répondu la même chose que toi
En tout cas merci à tous les deux j'ai ma réponse, et c'est ce qui compte :)
Cordialement
<coupe>
Et comme je te l'ai écrit, il a effectivement ce comportement. C'est bien
ce que tu voulais savoir, non ?
Oui tout à fait :)
C'est la deuxième partie de ta réponse de 9h58 je te cite :
"Cependant, ils ne seront pas concernés par la règle puisque les paquets
qu'ils émettrons n'arriveront pas sur ppp0, mais sur l'interface interne
de ton firewall (à priori eth?)"
qui m'a amené à poursuivre le fil, car là tu n'est plus dans le scénario
internet --> ppp0 que je décris dans mon post de départ. Mais à ta
décharge, je pense que j'ai du mal m'exprimé, la preuve pascal@plouf
m'a répondu la même chose que toi
En tout cas merci à tous les deux j'ai ma réponse, et c'est ce qui
compte :)
Et comme je te l'ai écrit, il a effectivement ce comportement. C'est bien ce que tu voulais savoir, non ? Oui tout à fait :)
C'est la deuxième partie de ta réponse de 9h58 je te cite :
"Cependant, ils ne seront pas concernés par la règle puisque les paquets qu'ils émettrons n'arriveront pas sur ppp0, mais sur l'interface interne de ton firewall (à priori eth?)"
qui m'a amené à poursuivre le fil, car là tu n'est plus dans le scénario internet --> ppp0 que je décris dans mon post de départ. Mais à ta décharge, je pense que j'ai du mal m'exprimé, la preuve m'a répondu la même chose que toi
En tout cas merci à tous les deux j'ai ma réponse, et c'est ce qui compte :)
Cordialement
Dominique Blas
User Sarge wrote:
<coupe>
Et comme je te l'ai écrit, il a effectivement ce comportement. C'est bien ce que tu voulais savoir, non ? Oui tout à fait :)
C'est la deuxième partie de ta réponse de 9h58 je te cite :
"Cependant, ils ne seront pas concernés par la règle puisque les paquets qu'ils émettrons n'arriveront pas sur ppp0, mais sur l'interface interne de ton firewall (à priori eth?)"
qui m'a amené à poursuivre le fil, car là tu n'est plus dans le scénario internet --> ppp0 que je décris dans mon post de départ. Mais à ta décharge, je pense que j'ai du mal m'exprimé, la preuve m'a répondu la même chose que toi
En tout cas merci à tous les deux j'ai ma réponse, et c'est ce qui compte :)
Cordialement
L'usage de rp_filter peut être intéressant à cet égard mais il ne permet la journalisation à l'inverse d'un ensemble de règles iptables équivalentes. Quitte à pister le spoofing il serait également intéressant d'interdire les paquets routés à la source encore que ce soit largement démodé voire filtré par les routeurs des FAI mais les modes reviennent régulièrement :-) Interdire également l'icmp redirect tant qu'à faire.
db -- email : usenet blas net
User Sarge wrote:
<coupe>
Et comme je te l'ai écrit, il a effectivement ce comportement. C'est bien
ce que tu voulais savoir, non ?
Oui tout à fait :)
C'est la deuxième partie de ta réponse de 9h58 je te cite :
"Cependant, ils ne seront pas concernés par la règle puisque les paquets
qu'ils émettrons n'arriveront pas sur ppp0, mais sur l'interface interne
de ton firewall (à priori eth?)"
qui m'a amené à poursuivre le fil, car là tu n'est plus dans le scénario
internet --> ppp0 que je décris dans mon post de départ. Mais à ta
décharge, je pense que j'ai du mal m'exprimé, la preuve pascal@plouf
m'a répondu la même chose que toi
En tout cas merci à tous les deux j'ai ma réponse, et c'est ce qui
compte :)
Cordialement
L'usage de rp_filter peut être intéressant à cet égard mais il ne permet la
journalisation à l'inverse d'un ensemble de règles iptables équivalentes.
Quitte à pister le spoofing il serait également intéressant d'interdire les
paquets routés à la source encore que ce soit largement démodé voire filtré
par les routeurs des FAI mais les modes reviennent régulièrement :-)
Interdire également l'icmp redirect tant qu'à faire.
Et comme je te l'ai écrit, il a effectivement ce comportement. C'est bien ce que tu voulais savoir, non ? Oui tout à fait :)
C'est la deuxième partie de ta réponse de 9h58 je te cite :
"Cependant, ils ne seront pas concernés par la règle puisque les paquets qu'ils émettrons n'arriveront pas sur ppp0, mais sur l'interface interne de ton firewall (à priori eth?)"
qui m'a amené à poursuivre le fil, car là tu n'est plus dans le scénario internet --> ppp0 que je décris dans mon post de départ. Mais à ta décharge, je pense que j'ai du mal m'exprimé, la preuve m'a répondu la même chose que toi
En tout cas merci à tous les deux j'ai ma réponse, et c'est ce qui compte :)
Cordialement
L'usage de rp_filter peut être intéressant à cet égard mais il ne permet la journalisation à l'inverse d'un ensemble de règles iptables équivalentes. Quitte à pister le spoofing il serait également intéressant d'interdire les paquets routés à la source encore que ce soit largement démodé voire filtré par les routeurs des FAI mais les modes reviennent régulièrement :-) Interdire également l'icmp redirect tant qu'à faire.
db -- email : usenet blas net
Cedric Blancher
Le Thu, 02 Dec 2004 03:25:32 +0100, Dominique Blas a écrit :
L'usage de rp_filter peut être intéressant à cet égard mais il ne permet la journalisation à l'inverse d'un ensemble de règles iptables équivalentes.
Il suffit d'activer la journalisation des p'tits bonshommes gris :
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
Quitte à pister le spoofing il serait également intéressant d'interdire les paquets routés à la source encore que ce soit largement démodé voire filtré par les routeurs des FAI mais les modes reviennent régulièrement :-)
Le Thu, 02 Dec 2004 03:25:32 +0100, Dominique Blas a écrit :
L'usage de rp_filter peut être intéressant à cet égard mais il ne permet la
journalisation à l'inverse d'un ensemble de règles iptables équivalentes.
Il suffit d'activer la journalisation des p'tits bonshommes gris :
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
Quitte à pister le spoofing il serait également intéressant d'interdire les
paquets routés à la source encore que ce soit largement démodé voire filtré
par les routeurs des FAI mais les modes reviennent régulièrement :-)
Le Thu, 02 Dec 2004 03:25:32 +0100, Dominique Blas a écrit :
L'usage de rp_filter peut être intéressant à cet égard mais il ne permet la journalisation à l'inverse d'un ensemble de règles iptables équivalentes.
Il suffit d'activer la journalisation des p'tits bonshommes gris :
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
Quitte à pister le spoofing il serait également intéressant d'interdire les paquets routés à la source encore que ce soit largement démodé voire filtré par les routeurs des FAI mais les modes reviennent régulièrement :-)