Mon firewall linux comporte 2 interfaces eth0 et eth1 eth0 est le lan et eth1 est le wan
je voudrais bloquer des plages d'IP sur le wan. je fais donc :
iptables -A INPUT -m iprange -i eth1 --src-range 1.2.3.4-5.6.7.6 -j DROP
(les ip sont fictives bien sur)
Mais cela ne fonctionne pas
si quelqu'un a une idée, j'ai cherché mais je ne comprends pas ou j'ai fait une erreur.
Merci
Pas le bon groupe pour les discussions sur le filtrage ip...
Je ne m'y connais pas assez pour te répondre, même si la règle me semble claire...
En tout cas, crosspost et suivi sur fr.comp.reseaux.ip.
Arnaud Launay
[fu2 fcri]
Le Thu, 06 Apr 2006 22:41:38 +0200, Gnu écrivit:
iptables -A INPUT -m iprange -i eth1 --src-range 1.2.3.4-5.6.7.6 -j DROP si quelqu'un a une idée, j'ai cherché mais je ne comprends pas ou j'ai fait une erreur.
Heu... Vous êtes censé donner une plage, hors là, je ne sais pas ce que vous lui donnez, mais ça ne peut pas marcher...
Un truc comme iptables -A INPUT -m iprange -i eth1 --src-range 192.168.1.0-192.168.1.128 -j DROP
Marchera par contre. Vous devriez également vérifier que vous avez le module iprange pour iptables. En même temps, il devrait couiner si vous ne l'avez pas.
iptables -A INPUT -m iprange -i eth1 --src-range 1.2.3.4-5.6.7.6 -j DROP
si quelqu'un a une idée, j'ai cherché mais je ne comprends pas
ou j'ai fait une erreur.
Heu... Vous êtes censé donner une plage, hors là, je ne sais pas
ce que vous lui donnez, mais ça ne peut pas marcher...
Un truc comme
iptables -A INPUT -m iprange -i eth1 --src-range 192.168.1.0-192.168.1.128 -j DROP
Marchera par contre. Vous devriez également vérifier que vous
avez le module iprange pour iptables. En même temps, il devrait
couiner si vous ne l'avez pas.
iptables -A INPUT -m iprange -i eth1 --src-range 1.2.3.4-5.6.7.6 -j DROP si quelqu'un a une idée, j'ai cherché mais je ne comprends pas ou j'ai fait une erreur.
Heu... Vous êtes censé donner une plage, hors là, je ne sais pas ce que vous lui donnez, mais ça ne peut pas marcher...
Un truc comme iptables -A INPUT -m iprange -i eth1 --src-range 192.168.1.0-192.168.1.128 -j DROP
Marchera par contre. Vous devriez également vérifier que vous avez le module iprange pour iptables. En même temps, il devrait couiner si vous ne l'avez pas.
Dans le message <news:44358b70$0$2052$, *Laurent* tapota sur f.c.o.l.configuration et f.c.r.ip :
Pas le bon groupe pour les discussions sur le filtrage ip...
La question porte essentiellement sur la syntaxe d'une commande spécifique à Linux ; je n'y vois pas d'inconvénient à ce qu'elle soit posée sur fcolc.
En tout cas, crosspost et suivi sur fr.comp.reseaux.ip.
Ce n'est pas non plus le groupe idéal. Si la question est comment écrire correctement une règle, alors la question à sa place sur fcolc. Si la question est qu'elle est la meilleure règle pour filtrer, alors la question à sa place sur fcs mais pas sur fcri.
Mes 2 cents... fu2 nulle part ;-)
-- Sébastien Monbrun aka TiChou
Dans le message <news:44358b70$0$2052$626a54ce@news.free.fr>,
*Laurent* tapota sur f.c.o.l.configuration et f.c.r.ip :
Pas le bon groupe pour les discussions sur le filtrage ip...
La question porte essentiellement sur la syntaxe d'une commande spécifique à
Linux ; je n'y vois pas d'inconvénient à ce qu'elle soit posée sur fcolc.
En tout cas, crosspost et suivi sur fr.comp.reseaux.ip.
Ce n'est pas non plus le groupe idéal. Si la question est comment écrire
correctement une règle, alors la question à sa place sur fcolc. Si la
question est qu'elle est la meilleure règle pour filtrer, alors la question
à sa place sur fcs mais pas sur fcri.
Dans le message <news:44358b70$0$2052$, *Laurent* tapota sur f.c.o.l.configuration et f.c.r.ip :
Pas le bon groupe pour les discussions sur le filtrage ip...
La question porte essentiellement sur la syntaxe d'une commande spécifique à Linux ; je n'y vois pas d'inconvénient à ce qu'elle soit posée sur fcolc.
En tout cas, crosspost et suivi sur fr.comp.reseaux.ip.
Ce n'est pas non plus le groupe idéal. Si la question est comment écrire correctement une règle, alors la question à sa place sur fcolc. Si la question est qu'elle est la meilleure règle pour filtrer, alors la question à sa place sur fcs mais pas sur fcri.
Mes 2 cents... fu2 nulle part ;-)
-- Sébastien Monbrun aka TiChou
Sébastien Monbrun aka TiChou
Dans le message <news:, *Arnaud Launay* tapota sur f.c.o.l.configuration et f.c.r.ip :
iptables -A INPUT -m iprange -i eth1 --src-range 1.2.3.4-5.6.7.6 -j DROP
Heu... Vous êtes censé donner une plage,
iprange - iptables iprange match
This patch makes possible to match source/destination IP addresses against inclusive IP address ranges.
De ce fait, la syntaxe '--src-range 1.2.3.4-5.6.7.6' est tout à fait correcte.
hors là, je ne sais pas ce que vous lui donnez, mais ça ne peut pas marcher...
Si. :)
Un truc comme iptables -A INPUT -m iprange -i eth1 --src-range 192.168.1.0-192.168.1.128 -j DROP
Comme déjà dit ailleurs, pour une telle plage d'adresse IP le match iprange est inutile :
iptables -A INPUT -i eth1 -s 192.168.1.0/25 -j DROP
-- Sébastien Monbrun aka TiChou
Dans le message <news:slrne3b33r.f0u.asl@pomme.launay.org>,
*Arnaud Launay* tapota sur f.c.o.l.configuration et f.c.r.ip :
iptables -A INPUT -m iprange -i eth1 --src-range 1.2.3.4-5.6.7.6 -j
DROP
Heu... Vous êtes censé donner une plage,
iprange - iptables iprange match
This patch makes possible to match source/destination IP addresses against
inclusive IP address ranges.
De ce fait, la syntaxe '--src-range 1.2.3.4-5.6.7.6' est tout à fait
correcte.
hors là, je ne sais pas ce que vous lui donnez, mais ça ne peut pas
marcher...
Si. :)
Un truc comme
iptables -A INPUT -m iprange -i eth1 --src-range 192.168.1.0-192.168.1.128
-j DROP
Comme déjà dit ailleurs, pour une telle plage d'adresse IP le match iprange
est inutile :
iptables -A INPUT -i eth1 -s 192.168.1.0/25 -j DROP
iptables -A INPUT -m iprange -i eth1 --src-range 192.168.1.0-192.168.1.128 -j DROP
Comme déjà dit ailleurs, pour une telle plage d'adresse IP le match iprange est inutile :
iptables -A INPUT -i eth1 -s 192.168.1.0/25 -j DROP
Il y avait un piège : 192.168.1.128 n'appartient pas à 192.168.1.0/25. Ok, je ->[]
[Pas de xpost+fu2, on va pas embêter fcri pour si peu]
Gnu
Dans le message <news:44358b70$0$2052$, *Laurent* tapota sur f.c.o.l.configuration et f.c.r.ip :
Pas le bon groupe pour les discussions sur le filtrage ip...
La question porte essentiellement sur la syntaxe d'une commande spécifique à Linux ; je n'y vois pas d'inconvénient à ce qu'elle soit posée sur fcolc.
En tout cas, crosspost et suivi sur fr.comp.reseaux.ip.
Ce n'est pas non plus le groupe idéal. Si la question est comment écrire correctement une règle, alors la question à sa place sur fcolc. Si la question est qu'elle est la meilleure règle pour filtrer, alors la question à sa place sur fcs mais pas sur fcri.
Mes 2 cents... fu2 nulle part ;-)
lol
euh...fu2 fr.comp.lol ??
Dans le message <news:44358b70$0$2052$626a54ce@news.free.fr>,
*Laurent* tapota sur f.c.o.l.configuration et f.c.r.ip :
Pas le bon groupe pour les discussions sur le filtrage ip...
La question porte essentiellement sur la syntaxe d'une commande
spécifique à Linux ; je n'y vois pas d'inconvénient à ce qu'elle soit
posée sur fcolc.
En tout cas, crosspost et suivi sur fr.comp.reseaux.ip.
Ce n'est pas non plus le groupe idéal. Si la question est comment écrire
correctement une règle, alors la question à sa place sur fcolc. Si la
question est qu'elle est la meilleure règle pour filtrer, alors la
question à sa place sur fcs mais pas sur fcri.
Dans le message <news:44358b70$0$2052$, *Laurent* tapota sur f.c.o.l.configuration et f.c.r.ip :
Pas le bon groupe pour les discussions sur le filtrage ip...
La question porte essentiellement sur la syntaxe d'une commande spécifique à Linux ; je n'y vois pas d'inconvénient à ce qu'elle soit posée sur fcolc.
En tout cas, crosspost et suivi sur fr.comp.reseaux.ip.
Ce n'est pas non plus le groupe idéal. Si la question est comment écrire correctement une règle, alors la question à sa place sur fcolc. Si la question est qu'elle est la meilleure règle pour filtrer, alors la question à sa place sur fcs mais pas sur fcri.
Mes 2 cents... fu2 nulle part ;-)
lol
euh...fu2 fr.comp.lol ??
Sébastien Monbrun aka TiChou
Dans le message <news:e18lj2$v5g$, *Pascal Hambourg* tapota sur f.c.o.l.configuration :
iptables -A INPUT -m iprange -i eth1 --src-range 192.168.1.0-192.168.1.128 -j DROP iptables -A INPUT -i eth1 -s 192.168.1.0/25 -j DROP
Il y avait un piège : 192.168.1.128 n'appartient pas à 192.168.1.0/25.
Oula, oui, honte à moi. Je suis recalé. :-
Ok, je ->[]
Non, c'est plutôt à moi de sortir. :-)
-- Sébastien Monbrun aka TiChou
Dans le message <news:e18lj2$v5g$1@biggoron.nerim.net>,
*Pascal Hambourg* tapota sur f.c.o.l.configuration :
iptables -A INPUT -m iprange -i eth1 --src-range
192.168.1.0-192.168.1.128 -j DROP
iptables -A INPUT -i eth1 -s 192.168.1.0/25 -j DROP
Il y avait un piège : 192.168.1.128 n'appartient pas à 192.168.1.0/25.
Et avec l'habitude de manipuler les masques réseaux, on retrouve vite les bons préfixes ou masques sans être obligé de passer par ce genre d'utilitaire.
fu2 fcri
-- Sébastien Monbrun aka TiChou
Dans le message <news:qu5lg3xfg2.ln2@albedo.gnubox.net>,
*Gnu* tapota sur f.c.o.l.configuration :
oui mais, question idiote sans doute, quand j'ai une plage du genre
206.46.0.0-206.46.255.255
Trop simpliste comme exemple. :)
comment je fais pour traduire ça en w.x.y.z/m ?
En lisant l'excellente FAQ de Eric Lalitte sur les masques réseaux présente
sur le groupe fr.comp.reseaux.ip accessible par exemple ici :
Et avec l'habitude de manipuler les masques réseaux, on retrouve vite les
bons préfixes ou masques sans être obligé de passer par ce genre
d'utilitaire.
Et avec l'habitude de manipuler les masques réseaux, on retrouve vite les bons préfixes ou masques sans être obligé de passer par ce genre d'utilitaire.
fu2 fcri
-- Sébastien Monbrun aka TiChou
Pascal Hambourg
oui mais, question idiote sans doute, quand j'ai une plage du genre 206.46.0.0-206.46.255.255 comment je fais pour traduire ça en w.x.y.z/m ?
Tu vas dans fr.comp.reseaux.ip et tu lis la FAQ sur les masques de sous-réseau.
oui mais, question idiote sans doute, quand j'ai une plage du genre
206.46.0.0-206.46.255.255 comment je fais pour traduire ça en w.x.y.z/m ?
Tu vas dans fr.comp.reseaux.ip et tu lis la FAQ sur les masques de
sous-réseau.
