je voudrais interdire qu'une adresse IP (192.168.0.2) sorte sur Internet.
Quelle règle IPTable dois-je ajouter ?
Je veux quand même que cette adresse puisse contacter le routeur 192.168.0.1
Quelle règle dois-je lancer pour annuler cette règle ?
je voudrais interdire qu'une adresse IP (192.168.0.2) sorte sur Internet.
Quelle règle IPTable dois-je ajouter ?
Je veux quand même que cette adresse puisse contacter le routeur 192.168.0.1
Quelle règle dois-je lancer pour annuler cette règle ?
je voudrais interdire qu'une adresse IP (192.168.0.2) sorte sur Internet.
Quelle règle IPTable dois-je ajouter ?
Je veux quand même que cette adresse puisse contacter le routeur 192.168.0.1
Quelle règle dois-je lancer pour annuler cette règle ?
Les paquets traversant le routeur sont gérés par la chaîne
FORWARD,
Les paquets traversant le routeur sont gérés par la chaîne
FORWARD,
Les paquets traversant le routeur sont gérés par la chaîne
FORWARD,
On Wed, 19 Apr 2006 15:29:47 +0200, Pascal Hambourg wrote:Les paquets traversant le routeur sont gérés par la chaîne
FORWARD,
ça serait pas MASQUERADE dans le sens ou il l'entend?
J'ai cru comprendre qu'il parlait du sens "sortant"...
On Wed, 19 Apr 2006 15:29:47 +0200, Pascal Hambourg wrote:
Les paquets traversant le routeur sont gérés par la chaîne
FORWARD,
ça serait pas MASQUERADE dans le sens ou il l'entend?
J'ai cru comprendre qu'il parlait du sens "sortant"...
On Wed, 19 Apr 2006 15:29:47 +0200, Pascal Hambourg wrote:Les paquets traversant le routeur sont gérés par la chaîne
FORWARD,
ça serait pas MASQUERADE dans le sens ou il l'entend?
J'ai cru comprendre qu'il parlait du sens "sortant"...
On Wed, 19 Apr 2006 15:29:47 +0200, Pascal Hambourg wrote:Les paquets traversant le routeur sont gérés par la chaîne FORWARD,
ça serait pas MASQUERADE dans le sens ou il l'entend?
J'ai compris la demande comme "empêcher la machine locale qui a
l'adresse 192.168.0.2 d'envoyer des paquets vers internet". S'il
s'agissait en fait de "ne pas balancer sur internet des paquets avec
l'adresse source 192.168.0.2", alors la cible SNAT ou MASQUERADE est
effectivement la solution. Mébon, je ne vois pas trop pourquoi NATer
cette adresse et pas les autres.J'ai cru comprendre qu'il parlait du sens "sortant"...
Tout est relatif. Ici "sortant" veut dire du réseau local vers internet,
mais ça passe par la chaîne FORWARD dans les deux sens.
On Wed, 19 Apr 2006 15:29:47 +0200, Pascal Hambourg wrote:
Les paquets traversant le routeur sont gérés par la chaîne FORWARD,
ça serait pas MASQUERADE dans le sens ou il l'entend?
J'ai compris la demande comme "empêcher la machine locale qui a
l'adresse 192.168.0.2 d'envoyer des paquets vers internet". S'il
s'agissait en fait de "ne pas balancer sur internet des paquets avec
l'adresse source 192.168.0.2", alors la cible SNAT ou MASQUERADE est
effectivement la solution. Mébon, je ne vois pas trop pourquoi NATer
cette adresse et pas les autres.
J'ai cru comprendre qu'il parlait du sens "sortant"...
Tout est relatif. Ici "sortant" veut dire du réseau local vers internet,
mais ça passe par la chaîne FORWARD dans les deux sens.
On Wed, 19 Apr 2006 15:29:47 +0200, Pascal Hambourg wrote:Les paquets traversant le routeur sont gérés par la chaîne FORWARD,
ça serait pas MASQUERADE dans le sens ou il l'entend?
J'ai compris la demande comme "empêcher la machine locale qui a
l'adresse 192.168.0.2 d'envoyer des paquets vers internet". S'il
s'agissait en fait de "ne pas balancer sur internet des paquets avec
l'adresse source 192.168.0.2", alors la cible SNAT ou MASQUERADE est
effectivement la solution. Mébon, je ne vois pas trop pourquoi NATer
cette adresse et pas les autres.J'ai cru comprendre qu'il parlait du sens "sortant"...
Tout est relatif. Ici "sortant" veut dire du réseau local vers internet,
mais ça passe par la chaîne FORWARD dans les deux sens.
je viens de mettre ceci sur IPCop (mon routeur sous Linux)
iptables -N bloque_ip
iptables -A FORWARD -i eth0 -o ppp0 -j bloque_ip
iptables -A bloque_ip -s 192.168.0.2 -j REJECT --reject-with net-unreach
mais depuis le client 192.168.0.2 j'arrive toujours à pinger Google (et
à voir une page sur Internet) !
Voici les règles définies par IPCop
[...]
-A FORWARD -d 127.0.0.0/255.0.0.0 -m state --state NEW -j DROP
-A FORWARD -i eth0 -m state --state NEW -j ACCEPT
[...]
je ne veux pas modifier les règles précédentes je veux que mon script
s'ajoute à la config de ce routeur (et d'un autre sous Mandriva)
je viens de mettre ceci sur IPCop (mon routeur sous Linux)
iptables -N bloque_ip
iptables -A FORWARD -i eth0 -o ppp0 -j bloque_ip
iptables -A bloque_ip -s 192.168.0.2 -j REJECT --reject-with net-unreach
mais depuis le client 192.168.0.2 j'arrive toujours à pinger Google (et
à voir une page sur Internet) !
Voici les règles définies par IPCop
[...]
-A FORWARD -d 127.0.0.0/255.0.0.0 -m state --state NEW -j DROP
-A FORWARD -i eth0 -m state --state NEW -j ACCEPT
[...]
je ne veux pas modifier les règles précédentes je veux que mon script
s'ajoute à la config de ce routeur (et d'un autre sous Mandriva)
je viens de mettre ceci sur IPCop (mon routeur sous Linux)
iptables -N bloque_ip
iptables -A FORWARD -i eth0 -o ppp0 -j bloque_ip
iptables -A bloque_ip -s 192.168.0.2 -j REJECT --reject-with net-unreach
mais depuis le client 192.168.0.2 j'arrive toujours à pinger Google (et
à voir une page sur Internet) !
Voici les règles définies par IPCop
[...]
-A FORWARD -d 127.0.0.0/255.0.0.0 -m state --state NEW -j DROP
-A FORWARD -i eth0 -m state --state NEW -j ACCEPT
[...]
je ne veux pas modifier les règles précédentes je veux que mon script
s'ajoute à la config de ce routeur (et d'un autre sous Mandriva)
PS: il fait des choses bizarres, IPCop. A quoi riment les chaînes ipac~*
sans cible ?
PS: il fait des choses bizarres, IPCop. A quoi riment les chaînes ipac~*
sans cible ?
PS: il fait des choses bizarres, IPCop. A quoi riment les chaînes ipac~*
sans cible ?
Si la règle qui appelle la chaîne bloque_ip est insérée après la seconde
règle citée qui accepte toute nouvelle connexion arrivant par eth0, elle
sera inefficace.
Si la règle qui appelle la chaîne bloque_ip est insérée après la seconde
règle citée qui accepte toute nouvelle connexion arrivant par eth0, elle
sera inefficace.
Si la règle qui appelle la chaîne bloque_ip est insérée après la seconde
règle citée qui accepte toute nouvelle connexion arrivant par eth0, elle
sera inefficace.
ce qui m'étonne c'est que j'arrive à couper toute connexion
client/routeur en faisantr
iptables -A OUTPUT -d 192.168.0.2 -j DROP
bon je n'ai plus accès à Internet mais je n'ai plus accès au routeur...
Ce qui m'étonne c'est qu'une règle aussi restrictive puisse être
appliquée à la fin et pas la règle moins "dure" qui consiste à interdire
le transfert net/client mais pas routeur/client
ce qui m'étonne c'est que j'arrive à couper toute connexion
client/routeur en faisantr
iptables -A OUTPUT -d 192.168.0.2 -j DROP
bon je n'ai plus accès à Internet mais je n'ai plus accès au routeur...
Ce qui m'étonne c'est qu'une règle aussi restrictive puisse être
appliquée à la fin et pas la règle moins "dure" qui consiste à interdire
le transfert net/client mais pas routeur/client
ce qui m'étonne c'est que j'arrive à couper toute connexion
client/routeur en faisantr
iptables -A OUTPUT -d 192.168.0.2 -j DROP
bon je n'ai plus accès à Internet mais je n'ai plus accès au routeur...
Ce qui m'étonne c'est qu'une règle aussi restrictive puisse être
appliquée à la fin et pas la règle moins "dure" qui consiste à interdire
le transfert net/client mais pas routeur/client