question iptables : peut t'on specifier 2 ou 3 ip sources ou destination dan s 1 même regle ...
Le
Sébastien CRAMATTE
Bonjour
J'ai question concernant iptables
peut t'on spécifier 2 ip sources ou destination dans 1 même règle
mes ips ne sont pas contigus donc je ne peux pas utiliser le module
range de plus ma règle
j'ai ça
iptables -A FORWARD -i eth0 -s 192.168.0.2 -o eth1 -d 0.0.0.0/0 -m state
--state ! INVALID -j ACCEPT
et je voudrais quelque chose comme ça
iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Un idée ?
D'autre part peut t'on utiliser plusieur modules dans un même règle
je crois qu'il faut utiliser une table utilisateur pour ça ?
merci
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
J'ai question concernant iptables
peut t'on spécifier 2 ip sources ou destination dans 1 même règle
mes ips ne sont pas contigus donc je ne peux pas utiliser le module
range de plus ma règle
j'ai ça
iptables -A FORWARD -i eth0 -s 192.168.0.2 -o eth1 -d 0.0.0.0/0 -m state
--state ! INVALID -j ACCEPT
et je voudrais quelque chose comme ça
iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Un idée ?
D'autre part peut t'on utiliser plusieur modules dans un même règle
je crois qu'il faut utiliser une table utilisateur pour ça ?
merci
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
iptables -A FORWARD -i eth0 -s 192.168.0.2/24 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Le Vendredi 20 Octobre 2006 13:55, Sébastien CRAMATTE a écrit :
--
WEB server: http://www.on4hu.be/
FTP server: ftp://ftp.on4hu.be/
COMPUTERS ARE LIKE AIR-CONDITIONERS THEY STOP WORKING
PROPERLY AS SOON AS YOU OPEN WINDOWS
Le Vendredi 20 Octobre 2006 14:14, on4hu a écrit :
Le /24 ne fait que préciser le masque applicable au 192.168.0.2. Ce n'est
donc pas la solution.
Pas à ma connaissance, mais je ne connais pas tout.
Dans tous les cas, pas avec iprange qui n'accepte ni virgules pour sépare r
des ip, ni déclaration multiples dans une même règle.
Oui. J'utilise par exemple
iptables -A OUTPUT -o eth0 -m iprange --dst-range 192.168.0.1-192.168.0.6 - m
multiport -p tcp --dports 22,80,873 -j ACCEPT.
C'est pas nécessaire, comme vu ci dessus.
Par contre c'est peut-être une piste pour spécifier plusieurs ips src/d est.
de rien.
--
serge
Sébastien CRAMATTE a écrit :
Pas possible, les options -s et -d n'admettent qu'une seule adresse ou
un préfixe (bloc d'adresses). Et bien que la dernière version d'iptables
(1.3.6) supporte désormais l'invocation multiple d'une même
"correspondance" ou "match" (-m xxx) dans une règle, on ne peut pas s'en
servir pour invoquer plusieurs fois iprange avec une adresse source
différente car toutes les conditions d'une règles fonctionnent en ET
logique et ne peuvent donc être exclusives. Cela sert plutôt à invoquer
plusieurs options d'une même correspondance. A défaut, une chaîne
utilisateur permet de "factoriser" les autres éléments de la règle.
Voir du côte d'ipset et de la correspondance "set".
http://www.netfilter.org/projects/ipset/index.html
http://ipset.netfilter.org/
http://packages.debian.org/unstable/net/ipset
Cela nécessite de patcher le noyau avec le patch "set" du patch-o-matic-ng.
Qu'est-ce que tu appelles un module exactement ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Je l'utilise quand je veux specifier un sous-reseau en entier ...
Dommage
bonne nouvelle :)
... A étudier
Merci
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Salut
Ca l'air interessant ... merci du tuyeau
Il va falloir que je regarde comment faire ça ... j'utilise le packages
de backports.org
Et j'ai déjá des galères pour compiler le module layer7 alors ...
module : conntrack, range, layer7 ...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Alors ne t'embête pas et crée des chaînes utilisateur.
Des "correspondances", donc ("match" en anglais), qui peuvent aussi bien
être en modules qu'en dur selon les options de compilation du noyau,
tout comme les "cibles" (targets).
Oui, on peut inclure plusieurs correspondances dans une même règle.
C'est d'ailleurs souvent le cas quand on associe un protocole (-p) et un
état de suivi connexion (-m state) : par exemple l'option -p tcp inclut
implicitement la correspondance -m tcp.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Sans doute avec 192.168.0.0/24 dans ce cas.
de rien :-)
--
Serge