bonjour, j'ai install=E9 sur une machine un linux Debian avec les paquet =
iptables,
ebtables, bridge-utils pour creer un pont filtrant sans adresse IP.
cela marche mais le probleme c'est que certaine commande ne passe pas.
exemple :
/sbin/iptables -t filter -A forwarding -p icmp -j drop
cette commande marche et empeche le ping
a present je souhaite bloquer le ping que sur une seul interfaces, il s'a=
git de eth0 :
/sbin/iptables -t filter -A forwarding -i eth0 -p icmp -j drop
et maintenant les ping passe dans les 2 sens il n y a pas de filtrage.
Et lorsque je fais /sbin/iptables -L il m'affiche la regle de filtrage al=
ors
qu'il ne l'applique pas.
Est ce moi qui est hommis quelques choses ou alors il y a un probleme que=
lque part ?
=0A=0ACr=E9ez votre adresse =E9lectronique prenom.nom@laposte.net
1 Go d'espace de stockage, anti-spam et anti-virus int=E9gr=E9s.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal Hambourg
Salut,
krs0605 a écrit :
bonjour, j'ai installé sur une machine un linux Debian avec les paquet iptables, ebtables, bridge-utils pour creer un pont filtrant sans adresse IP. cela marche mais le probleme c'est que certaine commande ne passe pas. exemple : /sbin/iptables -t filter -A forwarding -p icmp -j drop cette commande marche
Ah ? Alors tu n'as pas dû la taper telle quelle, sinon elle aurait provoqué plusieurs erreurs. ;-)
et empeche le ping
Pas seulement le ping mais aussi tous les autres types de messages ICMP, ce qui est une mauvaise idée. Pour ne bloquer que les requêtes de ping, il faut ajouter "--icmp-type echo-request".
a present je souhaite bloquer le ping que sur une seul interfaces, il s'agit de eth0 : /sbin/iptables -t filter -A forwarding -i eth0 -p icmp -j drop et maintenant les ping passe dans les 2 sens il n y a pas de filtrage.
Est ce moi qui est omis quelques choses ?
Oui. Quand un paquet traverse un bridge, l'interface d'entrée (et de sortie) que voient les règles iptables est l'interface bridge qui a été créée avec "brctl addbr", pas le port par lequel le paquet est entré. Pour retrouver le port d'entrée, il faut utiliser la correspondance physdev (cf. man iptables) au lieu de -i. Sauf erreur, ça devrait donner quelque chose comme "-m physdev --physdev-in eth0".
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
krs0605 a écrit :
bonjour, j'ai installé sur une machine un linux Debian avec les paquet iptables,
ebtables, bridge-utils pour creer un pont filtrant sans adresse IP.
cela marche mais le probleme c'est que certaine commande ne passe pas.
exemple :
/sbin/iptables -t filter -A forwarding -p icmp -j drop
cette commande marche
Ah ? Alors tu n'as pas dû la taper telle quelle, sinon elle aurait
provoqué plusieurs erreurs. ;-)
et empeche le ping
Pas seulement le ping mais aussi tous les autres types de messages ICMP,
ce qui est une mauvaise idée. Pour ne bloquer que les requêtes de ping,
il faut ajouter "--icmp-type echo-request".
a present je souhaite bloquer le ping que sur une seul interfaces, il s'agit de eth0 :
/sbin/iptables -t filter -A forwarding -i eth0 -p icmp -j drop
et maintenant les ping passe dans les 2 sens il n y a pas de filtrage.
Est ce moi qui est omis quelques choses ?
Oui. Quand un paquet traverse un bridge, l'interface d'entrée (et de
sortie) que voient les règles iptables est l'interface bridge qui a été
créée avec "brctl addbr", pas le port par lequel le paquet est entré.
Pour retrouver le port d'entrée, il faut utiliser la correspondance
physdev (cf. man iptables) au lieu de -i. Sauf erreur, ça devrait donner
quelque chose comme "-m physdev --physdev-in eth0".
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
bonjour, j'ai installé sur une machine un linux Debian avec les paquet iptables, ebtables, bridge-utils pour creer un pont filtrant sans adresse IP. cela marche mais le probleme c'est que certaine commande ne passe pas. exemple : /sbin/iptables -t filter -A forwarding -p icmp -j drop cette commande marche
Ah ? Alors tu n'as pas dû la taper telle quelle, sinon elle aurait provoqué plusieurs erreurs. ;-)
et empeche le ping
Pas seulement le ping mais aussi tous les autres types de messages ICMP, ce qui est une mauvaise idée. Pour ne bloquer que les requêtes de ping, il faut ajouter "--icmp-type echo-request".
a present je souhaite bloquer le ping que sur une seul interfaces, il s'agit de eth0 : /sbin/iptables -t filter -A forwarding -i eth0 -p icmp -j drop et maintenant les ping passe dans les 2 sens il n y a pas de filtrage.
Est ce moi qui est omis quelques choses ?
Oui. Quand un paquet traverse un bridge, l'interface d'entrée (et de sortie) que voient les règles iptables est l'interface bridge qui a été créée avec "brctl addbr", pas le port par lequel le paquet est entré. Pour retrouver le port d'entrée, il faut utiliser la correspondance physdev (cf. man iptables) au lieu de -i. Sauf erreur, ça devrait donner quelque chose comme "-m physdev --physdev-in eth0".
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Pascal Hambourg a écrit :
krs0605 a écrit :
exemple : /sbin/iptables -t filter -A forwarding -p icmp -j drop cette commande marche
Ah ? Alors tu n'as pas dû la taper telle quelle, sinon elle aurait provoqué plusieurs erreurs. ;-)
A la réflexion, j'ai peut-être parlé trop vite... "forwarding" et "drop" pourraient être des chaînes utilisateur.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg a écrit :
krs0605 a écrit :
exemple : /sbin/iptables -t filter -A forwarding -p icmp -j drop
cette commande marche
Ah ? Alors tu n'as pas dû la taper telle quelle, sinon elle aurait
provoqué plusieurs erreurs. ;-)
A la réflexion, j'ai peut-être parlé trop vite... "forwarding" et "drop"
pourraient être des chaînes utilisateur.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
exemple : /sbin/iptables -t filter -A forwarding -p icmp -j drop cette commande marche
Ah ? Alors tu n'as pas dû la taper telle quelle, sinon elle aurait provoqué plusieurs erreurs. ;-)
A la réflexion, j'ai peut-être parlé trop vite... "forwarding" et "drop" pourraient être des chaînes utilisateur.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
a present je souhaite bloquer le ping que sur une seul interfaces, il s'agit de eth0 : /sbin/iptables -t filter -A forwarding -i eth0 -p icmp -j drop et maintenant les ping passe dans les 2 sens il n y a pas de filtrage. Et lorsque je fais /sbin/iptables -L il m'affiche la regle de filtrage alors qu'il ne l'applique pas.
Est ce moi qui est hommis quelques choses ou alors il y a un probleme quelque part ?
Euh, je te proposerais naïvement d'essayer de remplacer forwarding par FORWARD : -> /sbin/iptables -t filter -A FORWARD -i eth0 -p icmp -j drop
a present je souhaite bloquer le ping que sur une seul interfaces, il
s'agit de eth0 : /sbin/iptables -t filter -A forwarding -i eth0 -p
icmp -j drop et maintenant les ping passe dans les 2 sens il n y a
pas de filtrage. Et lorsque je fais /sbin/iptables -L il m'affiche la
regle de filtrage alors qu'il ne l'applique pas.
Est ce moi qui est hommis quelques choses ou alors il y a un probleme
quelque part ?
Euh, je te proposerais naïvement d'essayer de remplacer forwarding
par FORWARD :
-> /sbin/iptables -t filter -A FORWARD -i eth0 -p icmp -j drop
a present je souhaite bloquer le ping que sur une seul interfaces, il s'agit de eth0 : /sbin/iptables -t filter -A forwarding -i eth0 -p icmp -j drop et maintenant les ping passe dans les 2 sens il n y a pas de filtrage. Et lorsque je fais /sbin/iptables -L il m'affiche la regle de filtrage alors qu'il ne l'applique pas.
Est ce moi qui est hommis quelques choses ou alors il y a un probleme quelque part ?
Euh, je te proposerais naïvement d'essayer de remplacer forwarding par FORWARD : -> /sbin/iptables -t filter -A FORWARD -i eth0 -p icmp -j drop