question iptables : peut t'on specifier 2 ou 3 ip sources ou destination dan s 1 même regle ...

je ne suis pas certain de ma réponse mais essaye
iptables -A FORWARD -i eth0 -s 192.168.0.2/24 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT



Le Vendredi 20 Octobre 2006 13:55, Sébastien CRAMATTE a écrit :

Bonjour

J'ai question concernant iptables

peut t'on spécifier 2 ip sources ou destination dans 1 même règle
mes ips ne sont pas contigus donc je ne peux pas utiliser le module
range de plus ma règle

j'ai ça
iptables -A FORWARD -i eth0 -s 192.168.0.2 -o eth1 -d 0.0.0.0/0 -m state
--state ! INVALID -j ACCEPT
...
et je voudrais quelque chose comme ça
iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT

Un idée ?

D'autre part peut t'on utiliser plusieur modules dans un même règle...
je crois qu'il faut utiliser une table utilisateur pour ça ?


merci

--
WEB server: http://www.on4hu.be/
FTP server: ftp://ftp.on4hu.be/
COMPUTERS ARE LIKE AIR-CONDITIONERS THEY STOP WORKING
PROPERLY AS SOON AS YOU OPEN WINDOWS

Bonjour,

Le Vendredi 20 Octobre 2006 14:14, on4hu a écrit :

je ne suis pas certain de ma réponse mais essaye
iptables -A FORWARD -i eth0 -s 192.168.0.2/24 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT

Le /24 ne fait que préciser le masque applicable au 192.168.0.2. Ce n'est
donc pas la solution.

Le Vendredi 20 Octobre 2006 13:55, Sébastien CRAMATTE a écrit :
> Bonjour
>
> J'ai question concernant iptables
>
> peut t'on spécifier 2 ip sources ou destination dans 1 même règle
> mes ips ne sont pas contigus donc je ne peux pas utiliser le module
> range de plus ma règle

Pas à ma connaissance, mais je ne connais pas tout.
Dans tous les cas, pas avec iprange qui n'accepte ni virgules pour sépare r
des ip, ni déclaration multiples dans une même règle.

>
> j'ai ça
> iptables -A FORWARD -i eth0 -s 192.168.0.2 -o eth1 -d 0.0.0.0/0 -m
> state --state ! INVALID -j ACCEPT
> ...
> et je voudrais quelque chose comme ça
> iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d
> 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
>
> Un idée ?
>
> D'autre part peut t'on utiliser plusieur modules dans un même règle ...

Oui. J'utilise par exemple
iptables -A OUTPUT -o eth0 -m iprange --dst-range 192.168.0.1-192.168.0.6 - m
multiport -p tcp --dports 22,80,873 -j ACCEPT.

> je crois qu'il faut utiliser une table utilisateur pour ça ?

C'est pas nécessaire, comme vu ci dessus.
Par contre c'est peut-être une piste pour spécifier plusieurs ips src/d est.

>
>
> merci

de rien.

--
serge

Salut,

Sébastien CRAMATTE a écrit :

J'ai question concernant iptables

peut t'on spécifier 2 ip sources ou destination dans 1 même règle
mes ips ne sont pas contigus donc je ne peux pas utiliser le module
range de plus ma règle

je voudrais quelque chose comme ça
iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT

Pas possible, les options -s et -d n'admettent qu'une seule adresse ou
un préfixe (bloc d'adresses). Et bien que la dernière version d'iptables
(1.3.6) supporte désormais l'invocation multiple d'une même
"correspondance" ou "match" (-m xxx) dans une règle, on ne peut pas s'en
servir pour invoquer plusieurs fois iprange avec une adresse source
différente car toutes les conditions d'une règles fonctionnent en ET
logique et ne peuvent donc être exclusives. Cela sert plutôt à invoquer
plusieurs options d'une même correspondance. A défaut, une chaîne
utilisateur permet de "factoriser" les autres éléments de la règle.

Un idée ?

Voir du côte d'ipset et de la correspondance "set".
http://www.netfilter.org/projects/ipset/index.html
http://ipset.netfilter.org/
http://packages.debian.org/unstable/net/ipset

Cela nécessite de patcher le noyau avec le patch "set" du patch-o-matic-ng.

D'autre part peut t'on utiliser plusieur modules dans un même règle...

Qu'est-ce que tu appelles un module exactement ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Serge Cavailles a écrit :

Bonjour,

Le Vendredi 20 Octobre 2006 14:14, on4hu a écrit :

je ne suis pas certain de ma réponse mais essaye
iptables -A FORWARD -i eth0 -s 192.168.0.2/24 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT

Le /24 ne fait que préciser le masque applicable au 192.168.0.2. Ce n'est
donc pas la solution.

Je l'utilise quand je veux specifier un sous-reseau en entier ...

Le Vendredi 20 Octobre 2006 13:55, Sébastien CRAMATTE a écrit :

Bonjour

J'ai question concernant iptables

peut t'on spécifier 2 ip sources ou destination dans 1 même règle
mes ips ne sont pas contigus donc je ne peux pas utiliser le module
range de plus ma règle

Pas à ma connaissance, mais je ne connais pas tout.
Dans tous les cas, pas avec iprange qui n'accepte ni virgules pour séparer
des ip, ni déclaration multiples dans une même règle.

Dommage

j'ai ça
iptables -A FORWARD -i eth0 -s 192.168.0.2 -o eth1 -d 0.0.0.0/0 -m
state --state ! INVALID -j ACCEPT
...
et je voudrais quelque chose comme ça
iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT

Un idée ?

D'autre part peut t'on utiliser plusieur modules dans un même règle...

Oui. J'utilise par exemple
iptables -A OUTPUT -o eth0 -m iprange --dst-range 192.168.0.1-192.168.0.6 -m
multiport -p tcp --dports 22,80,873 -j ACCEPT.

bonne nouvelle :)

je crois qu'il faut utiliser une table utilisateur pour ça ?

C'est pas nécessaire, comme vu ci dessus.
Par contre c'est peut-être une piste pour spécifier plusieurs ips src/dest.

... A étudier

merci

de rien.

Merci


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Pascal Hambourg a écrit :

Salut,

Salut

Sébastien CRAMATTE a écrit :

J'ai question concernant iptables

peut t'on spécifier 2 ip sources ou destination dans 1 même règle
mes ips ne sont pas contigus donc je ne peux pas utiliser le module
range de plus ma règle

je voudrais quelque chose comme ça
iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT

Pas possible, les options -s et -d n'admettent qu'une seule adresse ou
un préfixe (bloc d'adresses). Et bien que la dernière version
d'iptables (1.3.6) supporte désormais l'invocation multiple d'une même
"correspondance" ou "match" (-m xxx) dans une règle, on ne peut pas
s'en servir pour invoquer plusieurs fois iprange avec une adresse
source différente car toutes les conditions d'une règles fonctionnent
en ET logique et ne peuvent donc être exclusives. Cela sert plutôt à
invoquer plusieurs options d'une même correspondance. A défaut, une
chaîne utilisateur permet de "factoriser" les autres éléments de la
règle.

Un idée ?

Voir du côte d'ipset et de la correspondance "set".
http://www.netfilter.org/projects/ipset/index.html
http://ipset.netfilter.org/
http://packages.debian.org/unstable/net/ipset

Ca l'air interessant ... merci du tuyeau

Cela nécessite de patcher le noyau avec le patch "set" du
patch-o-matic-ng.

Il va falloir que je regarde comment faire ça ... j'utilise le packages
de backports.org
Et j'ai déjá des galères pour compiler le module layer7 alors ...

D'autre part peut t'on utiliser plusieur modules dans un même règle...

Qu'est-ce que tu appelles un module exactement ?

module : conntrack, range, layer7 ...




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Sébastien CRAMATTE a écrit :

Et j'ai déjá des galères pour compiler le module layer7 alors ...

Alors ne t'embête pas et crée des chaînes utilisateur.

D'autre part peut t'on utiliser plusieur modules dans un même règle...

Qu'est-ce que tu appelles un module exactement ?

module : conntrack, range, layer7 ...

Des "correspondances", donc ("match" en anglais), qui peuvent aussi bien
être en modules qu'en dur selon les options de compilation du noyau,
tout comme les "cibles" (targets).
Oui, on peut inclure plusieurs correspondances dans une même règle.
C'est d'ailleurs souvent le cas quand on associe un protocole (-p) et un
état de suivi connexion (-m state) : par exemple l'option -p tcp inclut
implicitement la correspondance -m tcp.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le Vendredi 20 Octobre 2006 16:51, Sébastien CRAMATTE a écrit :

Serge Cavailles a écrit :
>
> Le /24 ne fait que préciser le masque applicable au 192.168.0.2. Ce
> n'est donc pas la solution.

Je l'utilise quand je veux specifier un sous-reseau en entier ...

Sans doute avec 192.168.0.0/24 dans ce cas.

>>> merci
>
> de rien.

Merci

de rien :-)

--
Serge