pb avec iptables sur linux-debian

Le
krs0605
bonjour, j'ai installé sur une machine un linux Debian avec les paquet =
iptables,
ebtables, bridge-utils pour creer un pont filtrant sans adresse IP.
cela marche mais le probleme c'est que certaine commande ne passe pas.
exemple :
/sbin/iptables -t filter -A forwarding -p icmp -j drop
cette commande marche et empeche le ping

a present je souhaite bloquer le ping que sur une seul interfaces, il s'a=
git de eth0 :
/sbin/iptables -t filter -A forwarding -i eth0 -p icmp -j drop
et maintenant les ping passe dans les 2 sens il n y a pas de filtrage.
Et lorsque je fais /sbin/iptables -L il m'affiche la regle de filtrage al=
ors
qu'il ne l'applique pas.


Est ce moi qui est hommis quelques choses ou alors il y a un probleme que=
lque part ?

Créez votre adresse électronique prenom.nom@laposte.net
1 Go d'espace de stockage, anti-spam et anti-virus intégrés.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pascal Hambourg
Le #9540751
Salut,

krs0605 a écrit :

bonjour, j'ai installé sur une machine un linux Debian avec les paquet iptables,
ebtables, bridge-utils pour creer un pont filtrant sans adresse IP.
cela marche mais le probleme c'est que certaine commande ne passe pas.
exemple :
/sbin/iptables -t filter -A forwarding -p icmp -j drop
cette commande marche



Ah ? Alors tu n'as pas dû la taper telle quelle, sinon elle aurait
provoqué plusieurs erreurs. ;-)

et empeche le ping



Pas seulement le ping mais aussi tous les autres types de messages ICMP,
ce qui est une mauvaise idée. Pour ne bloquer que les requêtes de ping,
il faut ajouter "--icmp-type echo-request".

a present je souhaite bloquer le ping que sur une seul interfaces, il s'agit de eth0 :
/sbin/iptables -t filter -A forwarding -i eth0 -p icmp -j drop
et maintenant les ping passe dans les 2 sens il n y a pas de filtrage.

Est ce moi qui est omis quelques choses ?



Oui. Quand un paquet traverse un bridge, l'interface d'entrée (et de
sortie) que voient les règles iptables est l'interface bridge qui a été
créée avec "brctl addbr", pas le port par lequel le paquet est entré.
Pour retrouver le port d'entrée, il faut utiliser la correspondance
physdev (cf. man iptables) au lieu de -i. Sauf erreur, ça devrait donner
quelque chose comme "-m physdev --physdev-in eth0".


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Le #9540741
Pascal Hambourg a écrit :
krs0605 a écrit :

exemple : /sbin/iptables -t filter -A forwarding -p icmp -j drop
cette commande marche



Ah ? Alors tu n'as pas dû la taper telle quelle, sinon elle aurait
provoqué plusieurs erreurs. ;-)



A la réflexion, j'ai peut-être parlé trop vite... "forwarding" et "drop"
pourraient être des chaînes utilisateur.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
raboo1
Le #9540731
Le Fri, 4 May 2007 00:08:30 +0200,
"krs0605"


bonjour, j'ai installé sur une machine un linux Debian avec les
paquet iptables, ebtables, bridge-utils pour creer un pont filtrant
sans adresse IP. cela marche mais le probleme c'est que certaine
commande ne passe pas. exemple :
/sbin/iptables -t filter -A forwarding -p icmp -j drop
cette commande marche et empeche le ping

a present je souhaite bloquer le ping que sur une seul interfaces, il
s'agit de eth0 : /sbin/iptables -t filter -A forwarding -i eth0 -p
icmp -j drop et maintenant les ping passe dans les 2 sens il n y a
pas de filtrage. Et lorsque je fais /sbin/iptables -L il m'affiche la
regle de filtrage alors qu'il ne l'applique pas.


Est ce moi qui est hommis quelques choses ou alors il y a un probleme
quelque part ?




Euh, je te proposerais naïvement d'essayer de remplacer forwarding
par FORWARD :
-> /sbin/iptables -t filter -A FORWARD -i eth0 -p icmp -j drop

J'ajouterais, de manière purement informative, que filtrer tous les
types de paquets ICMP est généralement déconseillé, car il paraîtrait
que certains seraient utiles ;)
Publicité
Poster une réponse
Anonyme