Je désire pouvoir interdire certains sites pour certains postes, mais
j'arrive pas à trouver la règle iptables adéquate (quelque chose
m'échappe).
Par exemple, je voudrais empècher l'accés à google (216.239.33.99) pour
le poste du réseau local qui a l'adresse 192.168.1.2.
Comment faire ???
Un peu plus pointu : n'autoriser l'accés que sur certains sites pour un
poste ????
Je désire pouvoir interdire certains sites pour certains postes, mais
j'arrive pas à trouver la règle iptables adéquate (quelque chose
m'échappe).
Par exemple, je voudrais empècher l'accés à google (216.239.33.99) pour
le poste du réseau local qui a l'adresse 192.168.1.2.
Comment faire ???
Un peu plus pointu : n'autoriser l'accés que sur certains sites pour un
poste ????
Je désire pouvoir interdire certains sites pour certains postes, mais
j'arrive pas à trouver la règle iptables adéquate (quelque chose
m'échappe).
Par exemple, je voudrais empècher l'accés à google (216.239.33.99) pour
le poste du réseau local qui a l'adresse 192.168.1.2.
Comment faire ???
Un peu plus pointu : n'autoriser l'accés que sur certains sites pour un
poste ????
Dans sa prose, Gillot nous ecrivait :Je désire pouvoir interdire certains sites pour certains postes, mais
j'arrive pas à trouver la règle iptables adéquate (quelque chose
m'échappe).
Je pense que ce qui t'échappes, c'est surtout la lecture de la
documentation...
a oui ? et tu connais une documentation d'iptables qui soit CLAIRE et
Dans sa prose, Gillot nous ecrivait :
Je désire pouvoir interdire certains sites pour certains postes, mais
j'arrive pas à trouver la règle iptables adéquate (quelque chose
m'échappe).
Je pense que ce qui t'échappes, c'est surtout la lecture de la
documentation...
a oui ? et tu connais une documentation d'iptables qui soit CLAIRE et
Dans sa prose, Gillot nous ecrivait :Je désire pouvoir interdire certains sites pour certains postes, mais
j'arrive pas à trouver la règle iptables adéquate (quelque chose
m'échappe).
Je pense que ce qui t'échappes, c'est surtout la lecture de la
documentation...
a oui ? et tu connais une documentation d'iptables qui soit CLAIRE et
Dans sa prose, Gillot nous ecrivait :Je désire pouvoir interdire certains sites pour certains postes, mais
j'arrive pas à trouver la règle iptables adéquate (quelque chose
m'échappe).
Je pense que ce qui t'échappes, c'est surtout la lecture de la
documentation...
a oui ? et tu connais une documentation d'iptables qui soit CLAIRE et
COMPREHENSIBLE toi ??
Dans sa prose, Gillot nous ecrivait :
Je désire pouvoir interdire certains sites pour certains postes, mais
j'arrive pas à trouver la règle iptables adéquate (quelque chose
m'échappe).
Je pense que ce qui t'échappes, c'est surtout la lecture de la
documentation...
a oui ? et tu connais une documentation d'iptables qui soit CLAIRE et
COMPREHENSIBLE toi ??
Dans sa prose, Gillot nous ecrivait :Je désire pouvoir interdire certains sites pour certains postes, mais
j'arrive pas à trouver la règle iptables adéquate (quelque chose
m'échappe).
Je pense que ce qui t'échappes, c'est surtout la lecture de la
documentation...
a oui ? et tu connais une documentation d'iptables qui soit CLAIRE et
COMPREHENSIBLE toi ??
Je désire pouvoir interdire certains sites pour certains postes, mais
j'arrive pas à trouver la règle iptables adéquate (quelque chose
m'échappe).
Je désire pouvoir interdire certains sites pour certains postes, mais
j'arrive pas à trouver la règle iptables adéquate (quelque chose
m'échappe).
Je désire pouvoir interdire certains sites pour certains postes, mais
j'arrive pas à trouver la règle iptables adéquate (quelque chose
m'échappe).
Dans sa prose, Gillot nous ecrivait :Je désire pouvoir interdire certains sites pour certains postes, mais
j'arrive pas à trouver la règle iptables adéquate (quelque chose
m'échappe).
Je pense que ce qui t'échappes, c'est surtout la lecture de la
documentation...
Par exemple, je voudrais empècher l'accés à google (216.239.33.99) pour
le poste du réseau local qui a l'adresse 192.168.1.2.
Comment faire ???
iptables -A FORWARD -s 192.168.1.2. -d 216.239.33.99 -j DROP
Un peu plus pointu : n'autoriser l'accés que sur certains sites pour un
poste ????
iptables -A FORWARD -s <leposte> -d <lesite> -j ACCEPT
Sauf qu'il faut bien comprendre que Netfilter ne fonctionne qu'avec des
IPs, pas avec des noms de machines. Un nom, ça peut avoir plusieurs IP, et
une IP peut avoir plusieurs noms... Tu ne voudrais pas plutôt mettre en
place du filtrage d'URL ? Auquel cas un proxy HTTP comme Squid avec des
ACLs serait plus conseillé.
Dans sa prose, Gillot nous ecrivait :
Je désire pouvoir interdire certains sites pour certains postes, mais
j'arrive pas à trouver la règle iptables adéquate (quelque chose
m'échappe).
Je pense que ce qui t'échappes, c'est surtout la lecture de la
documentation...
Par exemple, je voudrais empècher l'accés à google (216.239.33.99) pour
le poste du réseau local qui a l'adresse 192.168.1.2.
Comment faire ???
iptables -A FORWARD -s 192.168.1.2. -d 216.239.33.99 -j DROP
Un peu plus pointu : n'autoriser l'accés que sur certains sites pour un
poste ????
iptables -A FORWARD -s <leposte> -d <lesite> -j ACCEPT
Sauf qu'il faut bien comprendre que Netfilter ne fonctionne qu'avec des
IPs, pas avec des noms de machines. Un nom, ça peut avoir plusieurs IP, et
une IP peut avoir plusieurs noms... Tu ne voudrais pas plutôt mettre en
place du filtrage d'URL ? Auquel cas un proxy HTTP comme Squid avec des
ACLs serait plus conseillé.
Dans sa prose, Gillot nous ecrivait :Je désire pouvoir interdire certains sites pour certains postes, mais
j'arrive pas à trouver la règle iptables adéquate (quelque chose
m'échappe).
Je pense que ce qui t'échappes, c'est surtout la lecture de la
documentation...
Par exemple, je voudrais empècher l'accés à google (216.239.33.99) pour
le poste du réseau local qui a l'adresse 192.168.1.2.
Comment faire ???
iptables -A FORWARD -s 192.168.1.2. -d 216.239.33.99 -j DROP
Un peu plus pointu : n'autoriser l'accés que sur certains sites pour un
poste ????
iptables -A FORWARD -s <leposte> -d <lesite> -j ACCEPT
Sauf qu'il faut bien comprendre que Netfilter ne fonctionne qu'avec des
IPs, pas avec des noms de machines. Un nom, ça peut avoir plusieurs IP, et
une IP peut avoir plusieurs noms... Tu ne voudrais pas plutôt mettre en
place du filtrage d'URL ? Auquel cas un proxy HTTP comme Squid avec des
ACLs serait plus conseillé.
Ah ouais ? C'est parce que tu dois avoir une règle qui accepte les
paquets _avant_ celle-ci (j'ai bêtement supposé que tu partais d'un jeu
de règles vierge). Parce que sur ma modeste installation, ça marche...
Si tu fais ça par exemple :
iptables -I FORWARD -s 192.168.1.2. -d 216.239.33.99 -j DROP
Ça donne quoi ?
Tu peux nous poster ton ruleset pour pouvoir se faire une idée ?
La Voici :
Bien sûr qu'il faut tout interdire, c'est un peu la base du filtrage IP.
On ferme tout, et on autorise au compte-goutte. Mais il y a nettement plus
simple pour tout interdire...
iptables -P FORWARD DROP
Lorsqu'on fait du SNAT ou du MASQUERADE (ce qui doit, je pense être le
cas), on ne modifie la source qu'en POSTROUTING. De fait, on a encore la
véritable source en FORWARD.
Le problème vient plutôt, amha, de l'ordre
dans lequel tu rentres tes règles, qui est, comme chacun le sait,
important quand on fait du filtrage.
On parle bien de trafic HTTP là non ? _Tous_ les navigateurs savent
passer par un proxy. Et même, on sait faire des proxies HTTP
transparents. Même à travers un VPN, on peut encore passer par un proxy,
je ne vois pas où est le problème. Tu peux nous décrire ton architecture
que je te montre ?
Et les sites que je veux autoriser ont des IP fixes (c'est le cas pour
la majorité des sites, me semble-t-il, non ??)
Le problème n'est pas là.
:~$ host www.yahoo.com
www.yahoo.com CNAME www.yahoo.akadns.net
www.yahoo.akadns.net A 66.218.71.95
www.yahoo.akadns.net A 66.218.71.90
www.yahoo.akadns.net A 66.218.71.80
www.yahoo.akadns.net A 66.218.71.84
www.yahoo.akadns.net A 66.218.71.89
www.yahoo.akadns.net A 66.218.71.87
www.yahoo.akadns.net A 66.218.71.93
www.yahoo.akadns.net A 66.218.71.94
Pour bloquer l'accès à www.yahoo.com, il faut bloquer _toutes_ ces
adresses. OK ?
Ah ouais ? C'est parce que tu dois avoir une règle qui accepte les
paquets _avant_ celle-ci (j'ai bêtement supposé que tu partais d'un jeu
de règles vierge). Parce que sur ma modeste installation, ça marche...
Si tu fais ça par exemple :
iptables -I FORWARD -s 192.168.1.2. -d 216.239.33.99 -j DROP
Ça donne quoi ?
Tu peux nous poster ton ruleset pour pouvoir se faire une idée ?
La Voici :
Bien sûr qu'il faut tout interdire, c'est un peu la base du filtrage IP.
On ferme tout, et on autorise au compte-goutte. Mais il y a nettement plus
simple pour tout interdire...
iptables -P FORWARD DROP
Lorsqu'on fait du SNAT ou du MASQUERADE (ce qui doit, je pense être le
cas), on ne modifie la source qu'en POSTROUTING. De fait, on a encore la
véritable source en FORWARD.
Le problème vient plutôt, amha, de l'ordre
dans lequel tu rentres tes règles, qui est, comme chacun le sait,
important quand on fait du filtrage.
On parle bien de trafic HTTP là non ? _Tous_ les navigateurs savent
passer par un proxy. Et même, on sait faire des proxies HTTP
transparents. Même à travers un VPN, on peut encore passer par un proxy,
je ne vois pas où est le problème. Tu peux nous décrire ton architecture
que je te montre ?
Et les sites que je veux autoriser ont des IP fixes (c'est le cas pour
la majorité des sites, me semble-t-il, non ??)
Le problème n'est pas là.
cbr@elendil:~$ host www.yahoo.com
www.yahoo.com CNAME www.yahoo.akadns.net
www.yahoo.akadns.net A 66.218.71.95
www.yahoo.akadns.net A 66.218.71.90
www.yahoo.akadns.net A 66.218.71.80
www.yahoo.akadns.net A 66.218.71.84
www.yahoo.akadns.net A 66.218.71.89
www.yahoo.akadns.net A 66.218.71.87
www.yahoo.akadns.net A 66.218.71.93
www.yahoo.akadns.net A 66.218.71.94
Pour bloquer l'accès à www.yahoo.com, il faut bloquer _toutes_ ces
adresses. OK ?
Ah ouais ? C'est parce que tu dois avoir une règle qui accepte les
paquets _avant_ celle-ci (j'ai bêtement supposé que tu partais d'un jeu
de règles vierge). Parce que sur ma modeste installation, ça marche...
Si tu fais ça par exemple :
iptables -I FORWARD -s 192.168.1.2. -d 216.239.33.99 -j DROP
Ça donne quoi ?
Tu peux nous poster ton ruleset pour pouvoir se faire une idée ?
La Voici :
Bien sûr qu'il faut tout interdire, c'est un peu la base du filtrage IP.
On ferme tout, et on autorise au compte-goutte. Mais il y a nettement plus
simple pour tout interdire...
iptables -P FORWARD DROP
Lorsqu'on fait du SNAT ou du MASQUERADE (ce qui doit, je pense être le
cas), on ne modifie la source qu'en POSTROUTING. De fait, on a encore la
véritable source en FORWARD.
Le problème vient plutôt, amha, de l'ordre
dans lequel tu rentres tes règles, qui est, comme chacun le sait,
important quand on fait du filtrage.
On parle bien de trafic HTTP là non ? _Tous_ les navigateurs savent
passer par un proxy. Et même, on sait faire des proxies HTTP
transparents. Même à travers un VPN, on peut encore passer par un proxy,
je ne vois pas où est le problème. Tu peux nous décrire ton architecture
que je te montre ?
Et les sites que je veux autoriser ont des IP fixes (c'est le cas pour
la majorité des sites, me semble-t-il, non ??)
Le problème n'est pas là.
:~$ host www.yahoo.com
www.yahoo.com CNAME www.yahoo.akadns.net
www.yahoo.akadns.net A 66.218.71.95
www.yahoo.akadns.net A 66.218.71.90
www.yahoo.akadns.net A 66.218.71.80
www.yahoo.akadns.net A 66.218.71.84
www.yahoo.akadns.net A 66.218.71.89
www.yahoo.akadns.net A 66.218.71.87
www.yahoo.akadns.net A 66.218.71.93
www.yahoo.akadns.net A 66.218.71.94
Pour bloquer l'accès à www.yahoo.com, il faut bloquer _toutes_ ces
adresses. OK ?
iptables -I FORWARD -s 192.168.1.2. -d 216.239.33.99 -j DROP
Ça donne quoi ?
Effectivement, la, ça fonctionne. Mais je voudrais bien comprendre,
parceque d'aprés ce que j'ai compris, il applique les règles dans l'ordre
listé, donc, si je pose cette rêgle à la fin, les paquets concernés ne
devraient-ils pas être rejetés même si précédemment, ils étaient acceptés
???
iptables -I FORWARD -s 192.168.1.2. -d 216.239.33.99 -j DROP
Ça donne quoi ?
Effectivement, la, ça fonctionne. Mais je voudrais bien comprendre,
parceque d'aprés ce que j'ai compris, il applique les règles dans l'ordre
listé, donc, si je pose cette rêgle à la fin, les paquets concernés ne
devraient-ils pas être rejetés même si précédemment, ils étaient acceptés
???
iptables -I FORWARD -s 192.168.1.2. -d 216.239.33.99 -j DROP
Ça donne quoi ?
Effectivement, la, ça fonctionne. Mais je voudrais bien comprendre,
parceque d'aprés ce que j'ai compris, il applique les règles dans l'ordre
listé, donc, si je pose cette rêgle à la fin, les paquets concernés ne
devraient-ils pas être rejetés même si précédemment, ils étaient acceptés
???
Tu ne fais pas beaucoup d'efforts pour lire les docs :
-A ajoute en fin de chaîne
-I ajoute en début de chaîne
Il s'agit de l'ordre dans la chaîne qui importe, pas de l'ordre des
commandes. Et s'il y a une différence entre -A et -I, c'est que tu
avais déjà des règles.
| chaîne
| une chaîne est une suite de règles, qui sont prises dans l'ordre ;
| dès qu'une règle matche un paquet, elle est déclenchée, et la
| suite de la chaîne est ignorée.
Tu ne fais pas beaucoup d'efforts pour lire les docs :
-A ajoute en fin de chaîne
-I ajoute en début de chaîne
Il s'agit de l'ordre dans la chaîne qui importe, pas de l'ordre des
commandes. Et s'il y a une différence entre -A et -I, c'est que tu
avais déjà des règles.
| chaîne
| une chaîne est une suite de règles, qui sont prises dans l'ordre ;
| dès qu'une règle matche un paquet, elle est déclenchée, et la
| suite de la chaîne est ignorée.
Tu ne fais pas beaucoup d'efforts pour lire les docs :
-A ajoute en fin de chaîne
-I ajoute en début de chaîne
Il s'agit de l'ordre dans la chaîne qui importe, pas de l'ordre des
commandes. Et s'il y a une différence entre -A et -I, c'est que tu
avais déjà des règles.
| chaîne
| une chaîne est une suite de règles, qui sont prises dans l'ordre ;
| dès qu'une règle matche un paquet, elle est déclenchée, et la
| suite de la chaîne est ignorée.
Ce que tu dois savoir, c'est que le filtre évalue les règles en séquences
en partant du début. Dès qu'il a trouvé une règle qui s'applique au
paquet, il s'arrête et passe au paquet suivant. En gros, la première
chaîne qui matche est la dernière qui sera évaluée.
Ce que tu dois savoir, c'est que le filtre évalue les règles en séquences
en partant du début. Dès qu'il a trouvé une règle qui s'applique au
paquet, il s'arrête et passe au paquet suivant. En gros, la première
chaîne qui matche est la dernière qui sera évaluée.
Ce que tu dois savoir, c'est que le filtre évalue les règles en séquences
en partant du début. Dès qu'il a trouvé une règle qui s'applique au
paquet, il s'arrête et passe au paquet suivant. En gros, la première
chaîne qui matche est la dernière qui sera évaluée.