j'ai un serveur derrière un routeur. mon routeur autorise le service ssh
pour l'extérieur (une seule adresse ip autorisée) et le redirige bien
vers mon serveur. Si je ne mets pas de règle de filtrage d'adresse MAC
pour iptables tt fonctionne parfaitement, je peux me connecter de
l'extérieur. Je décide de devenir parano et j'instaure le filtrage sur
l'adresse mac : seuls sont autorisés à pénétrer par le port 22 sur mon
serveur : mon portable (qui est lui aussi branché à mon routeur) et un
pc de l'extérieur (à mon boulot). Je récupère les adresses MAC via
ifconfig et je mets ces règles là :
iptables -A INPUT -p tcp --dport 22 -m mac --mac-source
??:??:??:??:??:?? -j ACCEPT
mon portable se connecte ss pb au serveur ms par contre le pc extérieur
se voit refuser la connection...pourquoi???
si vous avez la réponse à mon tit pb, ben n'hésitez pas!
Merci d'avance
Guillaume
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jedi de Pacotille
giggz a écrit :
Hello,
iptables -A INPUT -p tcp --dport 22 -m mac --mac-source ??:??:??:??:??:?? -j ACCEPT
mon portable se connecte ss pb au serveur ms par contre le pc extérieur se voit refuser la connection...pourquoi???
si vous avez la réponse à mon tit pb, ben n'hésitez pas!
Je vais peut-être (probablement) dire une conne*ie, mais l'adresse MAC n'est pas véhiculée par TCP/IP, et pour cause, puisque c'est un niveau beaucoup plus bas. Or, quand tu te connectes à Internet, tu te connectes uniquement via TCP/IP, tout ce qui est dans les couches inférieures ne passe pas.
Me trompè-je ?
-- JdP
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
giggz a écrit :
Hello,
iptables -A INPUT -p tcp --dport 22 -m mac --mac-source
??:??:??:??:??:?? -j ACCEPT
mon portable se connecte ss pb au serveur ms par contre le pc extérieur
se voit refuser la connection...pourquoi???
si vous avez la réponse à mon tit pb, ben n'hésitez pas!
Je vais peut-être (probablement) dire une conne*ie, mais l'adresse MAC
n'est pas véhiculée par TCP/IP, et pour cause, puisque c'est un niveau
beaucoup plus bas. Or, quand tu te connectes à Internet, tu te connectes
uniquement via TCP/IP, tout ce qui est dans les couches inférieures ne
passe pas.
Me trompè-je ?
--
JdP
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
iptables -A INPUT -p tcp --dport 22 -m mac --mac-source ??:??:??:??:??:?? -j ACCEPT
mon portable se connecte ss pb au serveur ms par contre le pc extérieur se voit refuser la connection...pourquoi???
si vous avez la réponse à mon tit pb, ben n'hésitez pas!
Je vais peut-être (probablement) dire une conne*ie, mais l'adresse MAC n'est pas véhiculée par TCP/IP, et pour cause, puisque c'est un niveau beaucoup plus bas. Or, quand tu te connectes à Internet, tu te connectes uniquement via TCP/IP, tout ce qui est dans les couches inférieures ne passe pas.
Me trompè-je ?
-- JdP
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
--=-0iBJTYLjHYN6/ujYB+Rb Content-Type: application/pgp-signature; name=signature.asc Content-Description: Ceci est une partie de message =?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée? -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
--=-0iBJTYLjHYN6/ujYB+Rb
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
--=-0iBJTYLjHYN6/ujYB+Rb Content-Type: application/pgp-signature; name=signature.asc Content-Description: Ceci est une partie de message =?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée? -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Mon, 21 Aug 2006 19:59:11 +0200, giggz a voulu dire :
Bonsoir la liste,
j'ai un serveur derrière un routeur. mon routeur autorise le service ssh pour l'extérieur (une seule adresse ip autorisée) et le redirige bien vers mon serveur. Si je ne mets pas de règle de filtrage d'adresse MAC pour iptables tt fonctionne parfaitement, je peux me connecter de l'extérieur. Je décide de devenir parano et j'instaure le filtrage sur l'adresse mac : seuls sont autorisés à pénétrer par le port 22 su r mon serveur : mon portable (qui est lui aussi branché à mon routeur) et un pc de l'extérieur (à mon boulot). Je récupère les adresses MAC via ifconfig et je mets ces règles là : iptables -A INPUT -p tcp --dport 22 -m mac --mac-source ??:??:??:??:??:?? -j ACCEPT
mon portable se connecte ss pb au serveur ms par contre le pc extérieur se voit refuser la connection...pourquoi???
si vous avez la réponse à mon tit pb, ben n'hésitez pas!
Parce que l'adresse MAC n'est disponible que sur le réseau Ethernet. Donc il ne t'est pas possible de filtrer sur une adresse MAC distante comme tu souhaites le faire (on peut filtrer sur les adresses MAC locales). Les paquets (Internet) qui transitent par ton modem/routeur à destination du réseau local auront dans leur entête l'adresse MAC de l'interface Ethernet de ton routeur.
Extrait du man :
"--mac-source [!] adresse Établit une correspondance avec l'adresse MAC source. Elle doit être de la forme XX:XX:XX:XX:XX:XX. Notez que ceci n'a de sens que pour les paquets en provenance d'une interface Ethernet et passant par les chaînes PREROUTING, FORWARD ou INPUT"
Un bon tutoriel http://www.linux-france.org/prj/inetdoc/guides/iptables-tutorial/howtoread. html
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Mon, 21 Aug 2006 19:59:11 +0200, giggz a voulu dire :
Bonsoir la liste,
j'ai un serveur derrière un routeur. mon routeur autorise le service ssh
pour l'extérieur (une seule adresse ip autorisée) et le redirige bien
vers mon serveur. Si je ne mets pas de règle de filtrage d'adresse MAC
pour iptables tt fonctionne parfaitement, je peux me connecter de
l'extérieur. Je décide de devenir parano et j'instaure le filtrage sur
l'adresse mac : seuls sont autorisés à pénétrer par le port 22 su r mon
serveur : mon portable (qui est lui aussi branché à mon routeur) et un
pc de l'extérieur (à mon boulot). Je récupère les adresses MAC via
ifconfig et je mets ces règles là :
iptables -A INPUT -p tcp --dport 22 -m mac --mac-source
??:??:??:??:??:?? -j ACCEPT
mon portable se connecte ss pb au serveur ms par contre le pc extérieur
se voit refuser la connection...pourquoi???
si vous avez la réponse à mon tit pb, ben n'hésitez pas!
Parce que l'adresse MAC n'est disponible que sur le réseau Ethernet.
Donc il ne t'est pas possible de filtrer sur une adresse MAC distante
comme tu souhaites le faire (on peut filtrer sur les adresses MAC
locales). Les paquets (Internet) qui transitent par ton
modem/routeur à destination du réseau local auront dans leur entête
l'adresse MAC de l'interface Ethernet de ton routeur.
Extrait du man :
"--mac-source [!] adresse
Établit une correspondance avec l'adresse MAC source. Elle doit
être de la forme XX:XX:XX:XX:XX:XX. Notez que ceci n'a de sens que
pour les paquets en provenance d'une interface Ethernet et passant
par les chaînes PREROUTING, FORWARD ou INPUT"
Un bon tutoriel
http://www.linux-france.org/prj/inetdoc/guides/iptables-tutorial/howtoread. html
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Mon, 21 Aug 2006 19:59:11 +0200, giggz a voulu dire :
Bonsoir la liste,
j'ai un serveur derrière un routeur. mon routeur autorise le service ssh pour l'extérieur (une seule adresse ip autorisée) et le redirige bien vers mon serveur. Si je ne mets pas de règle de filtrage d'adresse MAC pour iptables tt fonctionne parfaitement, je peux me connecter de l'extérieur. Je décide de devenir parano et j'instaure le filtrage sur l'adresse mac : seuls sont autorisés à pénétrer par le port 22 su r mon serveur : mon portable (qui est lui aussi branché à mon routeur) et un pc de l'extérieur (à mon boulot). Je récupère les adresses MAC via ifconfig et je mets ces règles là : iptables -A INPUT -p tcp --dport 22 -m mac --mac-source ??:??:??:??:??:?? -j ACCEPT
mon portable se connecte ss pb au serveur ms par contre le pc extérieur se voit refuser la connection...pourquoi???
si vous avez la réponse à mon tit pb, ben n'hésitez pas!
Parce que l'adresse MAC n'est disponible que sur le réseau Ethernet. Donc il ne t'est pas possible de filtrer sur une adresse MAC distante comme tu souhaites le faire (on peut filtrer sur les adresses MAC locales). Les paquets (Internet) qui transitent par ton modem/routeur à destination du réseau local auront dans leur entête l'adresse MAC de l'interface Ethernet de ton routeur.
Extrait du man :
"--mac-source [!] adresse Établit une correspondance avec l'adresse MAC source. Elle doit être de la forme XX:XX:XX:XX:XX:XX. Notez que ceci n'a de sens que pour les paquets en provenance d'une interface Ethernet et passant par les chaînes PREROUTING, FORWARD ou INPUT"
Un bon tutoriel http://www.linux-france.org/prj/inetdoc/guides/iptables-tutorial/howtoread. html
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
giggz
nono a écrit :
Le lundi 21 août 2006 à 20:59 +0200, Jedi de Pacotille a écrit :
giggz a écrit :
Hello,
iptables -A INPUT -p tcp --dport 22 -m mac --mac-source ??:??:??:??:??:?? -j ACCEPT
mon portable se connecte ss pb au serveur ms par contre le pc extérieur se voit refuser la connection...pourquoi???
si vous avez la réponse à mon tit pb, ben n'hésitez pas!
Je vais peut-être (probablement) dire une conne*ie, mais l'adresse MAC n'est pas véhiculée par TCP/IP, et pour cause, puisque c'est un niveau beaucoup plus bas. Or, quand tu te connectes à Internet, tu te connectes uniquement via TCP/IP, tout ce qui est dans les couches inférieures ne passe pas.
Me trompè-je ?
non tu ne te trompè-je pas !
Pour faire simple : l'adresse MAC n'est utile que sur le même réseau IP. Qui plus est, les paquets IP du PC extérieur transitent probablement par des réseaux de technologies différentes à celles des réseaux locaux où la notion d'adresse MAC n'existe pas (cas d'une liaison PPP par exemple). nono
nono
Merci à tous les 2 pour cette info...je ne me suis pas trop penché la dessus! Bonne soirée
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
nono a écrit :
Le lundi 21 août 2006 à 20:59 +0200, Jedi de Pacotille a écrit :
giggz a écrit :
Hello,
iptables -A INPUT -p tcp --dport 22 -m mac --mac-source
??:??:??:??:??:?? -j ACCEPT
mon portable se connecte ss pb au serveur ms par contre le pc extérieur
se voit refuser la connection...pourquoi???
si vous avez la réponse à mon tit pb, ben n'hésitez pas!
Je vais peut-être (probablement) dire une conne*ie, mais l'adresse MAC
n'est pas véhiculée par TCP/IP, et pour cause, puisque c'est un niveau
beaucoup plus bas. Or, quand tu te connectes à Internet, tu te connectes
uniquement via TCP/IP, tout ce qui est dans les couches inférieures ne
passe pas.
Me trompè-je ?
non tu ne te trompè-je pas !
Pour faire simple : l'adresse MAC n'est utile que sur le même réseau IP.
Qui plus est, les paquets IP du PC extérieur transitent probablement par
des réseaux de technologies différentes à celles des réseaux locaux où
la notion d'adresse MAC n'existe pas (cas d'une liaison PPP par
exemple).
nono
nono
Merci à tous les 2 pour cette info...je ne me suis pas trop penché la
dessus!
Bonne soirée
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le lundi 21 août 2006 à 20:59 +0200, Jedi de Pacotille a écrit :
giggz a écrit :
Hello,
iptables -A INPUT -p tcp --dport 22 -m mac --mac-source ??:??:??:??:??:?? -j ACCEPT
mon portable se connecte ss pb au serveur ms par contre le pc extérieur se voit refuser la connection...pourquoi???
si vous avez la réponse à mon tit pb, ben n'hésitez pas!
Je vais peut-être (probablement) dire une conne*ie, mais l'adresse MAC n'est pas véhiculée par TCP/IP, et pour cause, puisque c'est un niveau beaucoup plus bas. Or, quand tu te connectes à Internet, tu te connectes uniquement via TCP/IP, tout ce qui est dans les couches inférieures ne passe pas.
Me trompè-je ?
non tu ne te trompè-je pas !
Pour faire simple : l'adresse MAC n'est utile que sur le même réseau IP. Qui plus est, les paquets IP du PC extérieur transitent probablement par des réseaux de technologies différentes à celles des réseaux locaux où la notion d'adresse MAC n'existe pas (cas d'une liaison PPP par exemple). nono
nono
Merci à tous les 2 pour cette info...je ne me suis pas trop penché la dessus! Bonne soirée
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Salut,
nono a écrit :
Pour faire simple : l'adresse MAC n'est utile que sur le même réseau IP.
Sur le même réseau *ethernet*, pas IP.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
nono a écrit :
Pour faire simple : l'adresse MAC n'est utile que sur le même réseau IP.
Sur le même réseau *ethernet*, pas IP.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Pour faire simple : l'adresse MAC n'est utile que sur le même réseau IP.
Sur le même réseau *ethernet*, pas IP.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
