question iptables : peut t'on specifier 2 ou 3 ip sources ou destination dan s 1 même regle ...
7 réponses
Sébastien CRAMATTE
Bonjour
J'ai question concernant iptables
peut t'on spécifier 2 ip sources ou destination dans 1 même règle
mes ips ne sont pas contigus donc je ne peux pas utiliser le module
range de plus ma règle
j'ai ça
iptables -A FORWARD -i eth0 -s 192.168.0.2 -o eth1 -d 0.0.0.0/0 -m state
--state ! INVALID -j ACCEPT
...
et je voudrais quelque chose comme ça
iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Un idée ?
D'autre part peut t'on utiliser plusieur modules dans un même règle...
je crois qu'il faut utiliser une table utilisateur pour ça ?
merci
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
on4hu
je ne suis pas certain de ma réponse mais essaye iptables -A FORWARD -i eth0 -s 192.168.0.2/24 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Le Vendredi 20 Octobre 2006 13:55, Sébastien CRAMATTE a écrit :
Bonjour
J'ai question concernant iptables
peut t'on spécifier 2 ip sources ou destination dans 1 même règle mes ips ne sont pas contigus donc je ne peux pas utiliser le module range de plus ma règle
j'ai ça iptables -A FORWARD -i eth0 -s 192.168.0.2 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT ... et je voudrais quelque chose comme ça iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Un idée ?
D'autre part peut t'on utiliser plusieur modules dans un même règle... je crois qu'il faut utiliser une table utilisateur pour ça ?
merci
-- WEB server: http://www.on4hu.be/ FTP server: ftp://ftp.on4hu.be/ COMPUTERS ARE LIKE AIR-CONDITIONERS THEY STOP WORKING PROPERLY AS SOON AS YOU OPEN WINDOWS
je ne suis pas certain de ma réponse mais essaye
iptables -A FORWARD -i eth0 -s 192.168.0.2/24 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Le Vendredi 20 Octobre 2006 13:55, Sébastien CRAMATTE a écrit :
Bonjour
J'ai question concernant iptables
peut t'on spécifier 2 ip sources ou destination dans 1 même règle
mes ips ne sont pas contigus donc je ne peux pas utiliser le module
range de plus ma règle
j'ai ça
iptables -A FORWARD -i eth0 -s 192.168.0.2 -o eth1 -d 0.0.0.0/0 -m state
--state ! INVALID -j ACCEPT
...
et je voudrais quelque chose comme ça
iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Un idée ?
D'autre part peut t'on utiliser plusieur modules dans un même règle...
je crois qu'il faut utiliser une table utilisateur pour ça ?
merci
--
WEB server: http://www.on4hu.be/
FTP server: ftp://ftp.on4hu.be/
COMPUTERS ARE LIKE AIR-CONDITIONERS THEY STOP WORKING
PROPERLY AS SOON AS YOU OPEN WINDOWS
je ne suis pas certain de ma réponse mais essaye iptables -A FORWARD -i eth0 -s 192.168.0.2/24 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Le Vendredi 20 Octobre 2006 13:55, Sébastien CRAMATTE a écrit :
Bonjour
J'ai question concernant iptables
peut t'on spécifier 2 ip sources ou destination dans 1 même règle mes ips ne sont pas contigus donc je ne peux pas utiliser le module range de plus ma règle
j'ai ça iptables -A FORWARD -i eth0 -s 192.168.0.2 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT ... et je voudrais quelque chose comme ça iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Un idée ?
D'autre part peut t'on utiliser plusieur modules dans un même règle... je crois qu'il faut utiliser une table utilisateur pour ça ?
merci
-- WEB server: http://www.on4hu.be/ FTP server: ftp://ftp.on4hu.be/ COMPUTERS ARE LIKE AIR-CONDITIONERS THEY STOP WORKING PROPERLY AS SOON AS YOU OPEN WINDOWS
Serge Cavailles
Bonjour,
Le Vendredi 20 Octobre 2006 14:14, on4hu a écrit :
je ne suis pas certain de ma réponse mais essaye iptables -A FORWARD -i eth0 -s 192.168.0.2/24 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Le /24 ne fait que préciser le masque applicable au 192.168.0.2. Ce n'est donc pas la solution.
Le Vendredi 20 Octobre 2006 13:55, Sébastien CRAMATTE a écrit : > Bonjour > > J'ai question concernant iptables > > peut t'on spécifier 2 ip sources ou destination dans 1 même règle > mes ips ne sont pas contigus donc je ne peux pas utiliser le module > range de plus ma règle
Pas à ma connaissance, mais je ne connais pas tout. Dans tous les cas, pas avec iprange qui n'accepte ni virgules pour sépare r des ip, ni déclaration multiples dans une même règle.
> > j'ai ça > iptables -A FORWARD -i eth0 -s 192.168.0.2 -o eth1 -d 0.0.0.0/0 -m > state --state ! INVALID -j ACCEPT > ... > et je voudrais quelque chose comme ça > iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d > 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT > > Un idée ? > > D'autre part peut t'on utiliser plusieur modules dans un même règle ...
Oui. J'utilise par exemple iptables -A OUTPUT -o eth0 -m iprange --dst-range 192.168.0.1-192.168.0.6 - m multiport -p tcp --dports 22,80,873 -j ACCEPT.
> je crois qu'il faut utiliser une table utilisateur pour ça ?
C'est pas nécessaire, comme vu ci dessus. Par contre c'est peut-être une piste pour spécifier plusieurs ips src/d est.
> > > merci
de rien.
-- serge
Bonjour,
Le Vendredi 20 Octobre 2006 14:14, on4hu a écrit :
je ne suis pas certain de ma réponse mais essaye
iptables -A FORWARD -i eth0 -s 192.168.0.2/24 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Le /24 ne fait que préciser le masque applicable au 192.168.0.2. Ce n'est
donc pas la solution.
Le Vendredi 20 Octobre 2006 13:55, Sébastien CRAMATTE a écrit :
> Bonjour
>
> J'ai question concernant iptables
>
> peut t'on spécifier 2 ip sources ou destination dans 1 même règle
> mes ips ne sont pas contigus donc je ne peux pas utiliser le module
> range de plus ma règle
Pas à ma connaissance, mais je ne connais pas tout.
Dans tous les cas, pas avec iprange qui n'accepte ni virgules pour sépare r
des ip, ni déclaration multiples dans une même règle.
>
> j'ai ça
> iptables -A FORWARD -i eth0 -s 192.168.0.2 -o eth1 -d 0.0.0.0/0 -m
> state --state ! INVALID -j ACCEPT
> ...
> et je voudrais quelque chose comme ça
> iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d
> 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
>
> Un idée ?
>
> D'autre part peut t'on utiliser plusieur modules dans un même règle ...
Oui. J'utilise par exemple
iptables -A OUTPUT -o eth0 -m iprange --dst-range 192.168.0.1-192.168.0.6 - m
multiport -p tcp --dports 22,80,873 -j ACCEPT.
> je crois qu'il faut utiliser une table utilisateur pour ça ?
C'est pas nécessaire, comme vu ci dessus.
Par contre c'est peut-être une piste pour spécifier plusieurs ips src/d est.
Le Vendredi 20 Octobre 2006 14:14, on4hu a écrit :
je ne suis pas certain de ma réponse mais essaye iptables -A FORWARD -i eth0 -s 192.168.0.2/24 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Le /24 ne fait que préciser le masque applicable au 192.168.0.2. Ce n'est donc pas la solution.
Le Vendredi 20 Octobre 2006 13:55, Sébastien CRAMATTE a écrit : > Bonjour > > J'ai question concernant iptables > > peut t'on spécifier 2 ip sources ou destination dans 1 même règle > mes ips ne sont pas contigus donc je ne peux pas utiliser le module > range de plus ma règle
Pas à ma connaissance, mais je ne connais pas tout. Dans tous les cas, pas avec iprange qui n'accepte ni virgules pour sépare r des ip, ni déclaration multiples dans une même règle.
> > j'ai ça > iptables -A FORWARD -i eth0 -s 192.168.0.2 -o eth1 -d 0.0.0.0/0 -m > state --state ! INVALID -j ACCEPT > ... > et je voudrais quelque chose comme ça > iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d > 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT > > Un idée ? > > D'autre part peut t'on utiliser plusieur modules dans un même règle ...
Oui. J'utilise par exemple iptables -A OUTPUT -o eth0 -m iprange --dst-range 192.168.0.1-192.168.0.6 - m multiport -p tcp --dports 22,80,873 -j ACCEPT.
> je crois qu'il faut utiliser une table utilisateur pour ça ?
C'est pas nécessaire, comme vu ci dessus. Par contre c'est peut-être une piste pour spécifier plusieurs ips src/d est.
> > > merci
de rien.
-- serge
Pascal Hambourg
Salut,
Sébastien CRAMATTE a écrit :
J'ai question concernant iptables
peut t'on spécifier 2 ip sources ou destination dans 1 même règle mes ips ne sont pas contigus donc je ne peux pas utiliser le module range de plus ma règle
je voudrais quelque chose comme ça iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Pas possible, les options -s et -d n'admettent qu'une seule adresse ou un préfixe (bloc d'adresses). Et bien que la dernière version d'iptables (1.3.6) supporte désormais l'invocation multiple d'une même "correspondance" ou "match" (-m xxx) dans une règle, on ne peut pas s'en servir pour invoquer plusieurs fois iprange avec une adresse source différente car toutes les conditions d'une règles fonctionnent en ET logique et ne peuvent donc être exclusives. Cela sert plutôt à invoquer plusieurs options d'une même correspondance. A défaut, une chaîne utilisateur permet de "factoriser" les autres éléments de la règle.
Un idée ?
Voir du côte d'ipset et de la correspondance "set". http://www.netfilter.org/projects/ipset/index.html http://ipset.netfilter.org/ http://packages.debian.org/unstable/net/ipset
Cela nécessite de patcher le noyau avec le patch "set" du patch-o-matic-ng.
D'autre part peut t'on utiliser plusieur modules dans un même règle...
Qu'est-ce que tu appelles un module exactement ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
Sébastien CRAMATTE a écrit :
J'ai question concernant iptables
peut t'on spécifier 2 ip sources ou destination dans 1 même règle
mes ips ne sont pas contigus donc je ne peux pas utiliser le module
range de plus ma règle
je voudrais quelque chose comme ça
iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Pas possible, les options -s et -d n'admettent qu'une seule adresse ou
un préfixe (bloc d'adresses). Et bien que la dernière version d'iptables
(1.3.6) supporte désormais l'invocation multiple d'une même
"correspondance" ou "match" (-m xxx) dans une règle, on ne peut pas s'en
servir pour invoquer plusieurs fois iprange avec une adresse source
différente car toutes les conditions d'une règles fonctionnent en ET
logique et ne peuvent donc être exclusives. Cela sert plutôt à invoquer
plusieurs options d'une même correspondance. A défaut, une chaîne
utilisateur permet de "factoriser" les autres éléments de la règle.
Un idée ?
Voir du côte d'ipset et de la correspondance "set".
http://www.netfilter.org/projects/ipset/index.html
http://ipset.netfilter.org/
http://packages.debian.org/unstable/net/ipset
Cela nécessite de patcher le noyau avec le patch "set" du patch-o-matic-ng.
D'autre part peut t'on utiliser plusieur modules dans un même règle...
Qu'est-ce que tu appelles un module exactement ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
peut t'on spécifier 2 ip sources ou destination dans 1 même règle mes ips ne sont pas contigus donc je ne peux pas utiliser le module range de plus ma règle
je voudrais quelque chose comme ça iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Pas possible, les options -s et -d n'admettent qu'une seule adresse ou un préfixe (bloc d'adresses). Et bien que la dernière version d'iptables (1.3.6) supporte désormais l'invocation multiple d'une même "correspondance" ou "match" (-m xxx) dans une règle, on ne peut pas s'en servir pour invoquer plusieurs fois iprange avec une adresse source différente car toutes les conditions d'une règles fonctionnent en ET logique et ne peuvent donc être exclusives. Cela sert plutôt à invoquer plusieurs options d'une même correspondance. A défaut, une chaîne utilisateur permet de "factoriser" les autres éléments de la règle.
Un idée ?
Voir du côte d'ipset et de la correspondance "set". http://www.netfilter.org/projects/ipset/index.html http://ipset.netfilter.org/ http://packages.debian.org/unstable/net/ipset
Cela nécessite de patcher le noyau avec le patch "set" du patch-o-matic-ng.
D'autre part peut t'on utiliser plusieur modules dans un même règle...
Qu'est-ce que tu appelles un module exactement ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Sébastien CRAMATTE
Serge Cavailles a écrit :
Bonjour,
Le Vendredi 20 Octobre 2006 14:14, on4hu a écrit :
je ne suis pas certain de ma réponse mais essaye iptables -A FORWARD -i eth0 -s 192.168.0.2/24 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Le /24 ne fait que préciser le masque applicable au 192.168.0.2. Ce n'est donc pas la solution.
Je l'utilise quand je veux specifier un sous-reseau en entier ...
Le Vendredi 20 Octobre 2006 13:55, Sébastien CRAMATTE a écrit :
Bonjour
J'ai question concernant iptables
peut t'on spécifier 2 ip sources ou destination dans 1 même règle mes ips ne sont pas contigus donc je ne peux pas utiliser le module range de plus ma règle
Pas à ma connaissance, mais je ne connais pas tout. Dans tous les cas, pas avec iprange qui n'accepte ni virgules pour séparer des ip, ni déclaration multiples dans une même règle.
Dommage
j'ai ça iptables -A FORWARD -i eth0 -s 192.168.0.2 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT ... et je voudrais quelque chose comme ça iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Un idée ?
D'autre part peut t'on utiliser plusieur modules dans un même règle...
Oui. J'utilise par exemple iptables -A OUTPUT -o eth0 -m iprange --dst-range 192.168.0.1-192.168.0.6 -m multiport -p tcp --dports 22,80,873 -j ACCEPT.
bonne nouvelle :)
je crois qu'il faut utiliser une table utilisateur pour ça ?
C'est pas nécessaire, comme vu ci dessus. Par contre c'est peut-être une piste pour spécifier plusieurs ips src/dest.
... A étudier
merci
de rien.
Merci
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Serge Cavailles a écrit :
Bonjour,
Le Vendredi 20 Octobre 2006 14:14, on4hu a écrit :
je ne suis pas certain de ma réponse mais essaye
iptables -A FORWARD -i eth0 -s 192.168.0.2/24 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Le /24 ne fait que préciser le masque applicable au 192.168.0.2. Ce n'est
donc pas la solution.
Je l'utilise quand je veux specifier un sous-reseau en entier ...
Le Vendredi 20 Octobre 2006 13:55, Sébastien CRAMATTE a écrit :
Bonjour
J'ai question concernant iptables
peut t'on spécifier 2 ip sources ou destination dans 1 même règle
mes ips ne sont pas contigus donc je ne peux pas utiliser le module
range de plus ma règle
Pas à ma connaissance, mais je ne connais pas tout.
Dans tous les cas, pas avec iprange qui n'accepte ni virgules pour séparer
des ip, ni déclaration multiples dans une même règle.
Dommage
j'ai ça
iptables -A FORWARD -i eth0 -s 192.168.0.2 -o eth1 -d 0.0.0.0/0 -m
state --state ! INVALID -j ACCEPT
...
et je voudrais quelque chose comme ça
iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Un idée ?
D'autre part peut t'on utiliser plusieur modules dans un même règle...
Oui. J'utilise par exemple
iptables -A OUTPUT -o eth0 -m iprange --dst-range 192.168.0.1-192.168.0.6 -m
multiport -p tcp --dports 22,80,873 -j ACCEPT.
bonne nouvelle :)
je crois qu'il faut utiliser une table utilisateur pour ça ?
C'est pas nécessaire, comme vu ci dessus.
Par contre c'est peut-être une piste pour spécifier plusieurs ips src/dest.
... A étudier
merci
de rien.
Merci
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Vendredi 20 Octobre 2006 14:14, on4hu a écrit :
je ne suis pas certain de ma réponse mais essaye iptables -A FORWARD -i eth0 -s 192.168.0.2/24 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Le /24 ne fait que préciser le masque applicable au 192.168.0.2. Ce n'est donc pas la solution.
Je l'utilise quand je veux specifier un sous-reseau en entier ...
Le Vendredi 20 Octobre 2006 13:55, Sébastien CRAMATTE a écrit :
Bonjour
J'ai question concernant iptables
peut t'on spécifier 2 ip sources ou destination dans 1 même règle mes ips ne sont pas contigus donc je ne peux pas utiliser le module range de plus ma règle
Pas à ma connaissance, mais je ne connais pas tout. Dans tous les cas, pas avec iprange qui n'accepte ni virgules pour séparer des ip, ni déclaration multiples dans une même règle.
Dommage
j'ai ça iptables -A FORWARD -i eth0 -s 192.168.0.2 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT ... et je voudrais quelque chose comme ça iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Un idée ?
D'autre part peut t'on utiliser plusieur modules dans un même règle...
Oui. J'utilise par exemple iptables -A OUTPUT -o eth0 -m iprange --dst-range 192.168.0.1-192.168.0.6 -m multiport -p tcp --dports 22,80,873 -j ACCEPT.
bonne nouvelle :)
je crois qu'il faut utiliser une table utilisateur pour ça ?
C'est pas nécessaire, comme vu ci dessus. Par contre c'est peut-être une piste pour spécifier plusieurs ips src/dest.
... A étudier
merci
de rien.
Merci
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Sébastien CRAMATTE
Pascal Hambourg a écrit :
Salut,
Salut
Sébastien CRAMATTE a écrit :
J'ai question concernant iptables
peut t'on spécifier 2 ip sources ou destination dans 1 même règle mes ips ne sont pas contigus donc je ne peux pas utiliser le module range de plus ma règle
je voudrais quelque chose comme ça iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Pas possible, les options -s et -d n'admettent qu'une seule adresse ou un préfixe (bloc d'adresses). Et bien que la dernière version d'iptables (1.3.6) supporte désormais l'invocation multiple d'une même "correspondance" ou "match" (-m xxx) dans une règle, on ne peut pas s'en servir pour invoquer plusieurs fois iprange avec une adresse source différente car toutes les conditions d'une règles fonctionnent en ET logique et ne peuvent donc être exclusives. Cela sert plutôt à invoquer plusieurs options d'une même correspondance. A défaut, une chaîne utilisateur permet de "factoriser" les autres éléments de la règle.
Un idée ?
Voir du côte d'ipset et de la correspondance "set". http://www.netfilter.org/projects/ipset/index.html http://ipset.netfilter.org/ http://packages.debian.org/unstable/net/ipset
Ca l'air interessant ... merci du tuyeau
Cela nécessite de patcher le noyau avec le patch "set" du patch-o-matic-ng.
Il va falloir que je regarde comment faire ça ... j'utilise le packages de backports.org Et j'ai déjá des galères pour compiler le module layer7 alors ...
D'autre part peut t'on utiliser plusieur modules dans un même règle...
Qu'est-ce que tu appelles un module exactement ?
module : conntrack, range, layer7 ...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg a écrit :
Salut,
Salut
Sébastien CRAMATTE a écrit :
J'ai question concernant iptables
peut t'on spécifier 2 ip sources ou destination dans 1 même règle
mes ips ne sont pas contigus donc je ne peux pas utiliser le module
range de plus ma règle
je voudrais quelque chose comme ça
iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Pas possible, les options -s et -d n'admettent qu'une seule adresse ou
un préfixe (bloc d'adresses). Et bien que la dernière version
d'iptables (1.3.6) supporte désormais l'invocation multiple d'une même
"correspondance" ou "match" (-m xxx) dans une règle, on ne peut pas
s'en servir pour invoquer plusieurs fois iprange avec une adresse
source différente car toutes les conditions d'une règles fonctionnent
en ET logique et ne peuvent donc être exclusives. Cela sert plutôt à
invoquer plusieurs options d'une même correspondance. A défaut, une
chaîne utilisateur permet de "factoriser" les autres éléments de la
règle.
Un idée ?
Voir du côte d'ipset et de la correspondance "set".
http://www.netfilter.org/projects/ipset/index.html
http://ipset.netfilter.org/
http://packages.debian.org/unstable/net/ipset
Ca l'air interessant ... merci du tuyeau
Cela nécessite de patcher le noyau avec le patch "set" du
patch-o-matic-ng.
Il va falloir que je regarde comment faire ça ... j'utilise le packages
de backports.org
Et j'ai déjá des galères pour compiler le module layer7 alors ...
D'autre part peut t'on utiliser plusieur modules dans un même règle...
Qu'est-ce que tu appelles un module exactement ?
module : conntrack, range, layer7 ...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
peut t'on spécifier 2 ip sources ou destination dans 1 même règle mes ips ne sont pas contigus donc je ne peux pas utiliser le module range de plus ma règle
je voudrais quelque chose comme ça iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Pas possible, les options -s et -d n'admettent qu'une seule adresse ou un préfixe (bloc d'adresses). Et bien que la dernière version d'iptables (1.3.6) supporte désormais l'invocation multiple d'une même "correspondance" ou "match" (-m xxx) dans une règle, on ne peut pas s'en servir pour invoquer plusieurs fois iprange avec une adresse source différente car toutes les conditions d'une règles fonctionnent en ET logique et ne peuvent donc être exclusives. Cela sert plutôt à invoquer plusieurs options d'une même correspondance. A défaut, une chaîne utilisateur permet de "factoriser" les autres éléments de la règle.
Un idée ?
Voir du côte d'ipset et de la correspondance "set". http://www.netfilter.org/projects/ipset/index.html http://ipset.netfilter.org/ http://packages.debian.org/unstable/net/ipset
Ca l'air interessant ... merci du tuyeau
Cela nécessite de patcher le noyau avec le patch "set" du patch-o-matic-ng.
Il va falloir que je regarde comment faire ça ... j'utilise le packages de backports.org Et j'ai déjá des galères pour compiler le module layer7 alors ...
D'autre part peut t'on utiliser plusieur modules dans un même règle...
Qu'est-ce que tu appelles un module exactement ?
module : conntrack, range, layer7 ...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Sébastien CRAMATTE a écrit :
Et j'ai déjá des galères pour compiler le module layer7 alors ...
Alors ne t'embête pas et crée des chaînes utilisateur.
D'autre part peut t'on utiliser plusieur modules dans un même règle...
Qu'est-ce que tu appelles un module exactement ?
module : conntrack, range, layer7 ...
Des "correspondances", donc ("match" en anglais), qui peuvent aussi bien être en modules qu'en dur selon les options de compilation du noyau, tout comme les "cibles" (targets). Oui, on peut inclure plusieurs correspondances dans une même règle. C'est d'ailleurs souvent le cas quand on associe un protocole (-p) et un état de suivi connexion (-m state) : par exemple l'option -p tcp inclut implicitement la correspondance -m tcp.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Sébastien CRAMATTE a écrit :
Et j'ai déjá des galères pour compiler le module layer7 alors ...
Alors ne t'embête pas et crée des chaînes utilisateur.
D'autre part peut t'on utiliser plusieur modules dans un même règle...
Qu'est-ce que tu appelles un module exactement ?
module : conntrack, range, layer7 ...
Des "correspondances", donc ("match" en anglais), qui peuvent aussi bien
être en modules qu'en dur selon les options de compilation du noyau,
tout comme les "cibles" (targets).
Oui, on peut inclure plusieurs correspondances dans une même règle.
C'est d'ailleurs souvent le cas quand on associe un protocole (-p) et un
état de suivi connexion (-m state) : par exemple l'option -p tcp inclut
implicitement la correspondance -m tcp.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Et j'ai déjá des galères pour compiler le module layer7 alors ...
Alors ne t'embête pas et crée des chaînes utilisateur.
D'autre part peut t'on utiliser plusieur modules dans un même règle...
Qu'est-ce que tu appelles un module exactement ?
module : conntrack, range, layer7 ...
Des "correspondances", donc ("match" en anglais), qui peuvent aussi bien être en modules qu'en dur selon les options de compilation du noyau, tout comme les "cibles" (targets). Oui, on peut inclure plusieurs correspondances dans une même règle. C'est d'ailleurs souvent le cas quand on associe un protocole (-p) et un état de suivi connexion (-m state) : par exemple l'option -p tcp inclut implicitement la correspondance -m tcp.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Serge Cavailles
Le Vendredi 20 Octobre 2006 16:51, Sébastien CRAMATTE a écrit :
Serge Cavailles a écrit : > > Le /24 ne fait que préciser le masque applicable au 192.168.0.2. Ce > n'est donc pas la solution.
Je l'utilise quand je veux specifier un sous-reseau en entier ...
Sans doute avec 192.168.0.0/24 dans ce cas.
>>> merci > > de rien.
Merci
de rien :-)
-- Serge
Le Vendredi 20 Octobre 2006 16:51, Sébastien CRAMATTE a écrit :
Serge Cavailles a écrit :
>
> Le /24 ne fait que préciser le masque applicable au 192.168.0.2. Ce
> n'est donc pas la solution.
Je l'utilise quand je veux specifier un sous-reseau en entier ...