IPTABLES filtrage ip

fabdunet13 · Le 23/04/2006, à 23:56

Bonjours , tel mon architecture réseaux , je pocède un serveur proxy sous linux qui filtre le trafic internet ( filtrage des site web , et mise en cash des page web... )

je voudrais savoir comment filtrer avec IPTABLE un ordinateur de mon reseaux . (Interdire l'accée au serveur linux)

Voici l@ip du PC que je veux filtrer 192.168.1.211

Merci

Kiraa · Le 24/04/2006, à 06:23

http://iptables-tutorial.frozentux.net/iptables-tutorial.html
culture culture : http://en.wikipedia.org/wiki/Iptables

pour anglophobe
http://lea-linux.org/cached/index/Reseau-secu-iptables.html#
culture culture : http://fr.wikipedia.org/wiki/Iptables

il y a un célèbre dicton qui dit : on n'est jamais mieu servi que par soi même

fabdunet13 · Le 24/04/2006, à 13:56

slt KIRA , sur ta documentation ma impeux aider . j'ais taper ceci et sa ne me filtre pas l'@IP

iptables -A INPUT -s 192.168.1.109/24 -j DROP
iptables -A OUTPUT -d 192.168.1.109/24 -j DROP
iptables -A FORWARD -s 192.168.1.109/24 -j DROP

Pourrais tu me donner les commandes exacte a tapper

fabdunet13 · Le 24/04/2006, à 21:21

Quelle commandes je doit tapper en conssole pour filter une @ip du réseaux !!!

je veux filtrer 192.168.1.221 .

MErci

fabdunet13 · Le 24/04/2006, à 22:31

§§§§ aidez moi SVP !!!!

sksbir · Le 25/04/2006, à 00:25

Franchement, ça fonctionne ?

Parce que avec ta zone RED dans le même sous-réseau IP que ta zone GREEN, je ne vois vraiment pas comment ça peut fonctionner.
Ou alors t'as modifié le netmask par défaut.

Sinon, interdire l'acces à ton serveur ipcop, et interdire l'accès à internet pour une machine donnée, c'est pas la même chose.

un de ces 4, faudrait vraiment que je me penche sur iptables, mais pas ce soir...

fabdunet13 · Le 25/04/2006, à 08:53

Mais tu c'est comment on fait ... ??? bloquer sur l'interface web je sais le faire , mais pas en conssole ? mais je sais pas bloquer une @IP sur mon réseaux

sksbir a écrit :

Franchement, ça fonctionne ?
Parce que avec ta zone RED dans le même sous-réseau IP que ta zone GREEN, je ne vois vraiment pas comment ça peut fonctionner.
Ou alors t'as modifié le netmask par défaut.
Sinon, interdire l'acces à ton serveur ipcop, et interdire l'accès à internet pour une machine donnée, c'est pas la même chose.
un de ces 4, faudrait vraiment que je me penche sur iptables, mais pas ce soir...

Bobbybionic · Le 25/04/2006, à 09:15

Merci d'éviter le multi-postage

fabdunet13 · Le 25/04/2006, à 09:17

Quelle commandes je doit tapper en conssole pour filter une @ip du réseaux !!!

je veux filtrer 192.168.1.221 .

MErci

Tioneb · Le 25/04/2006, à 09:22

je ne vois pas bien ce que tu veux faire en filtrant et interdire l'accès au server linux ? pas aller sur internet c'est ça ?
parcque si tu lui interdit l'accès au serveur il ne purra pas non plus contacter les autres PC, vu que tu as un hub et pas un routeur entre tes autres PC.
Ou alors il faut que ton server microsoft gère le routage de 192.168.1.211 vers les autres PC ?

Ou je suis c** ou tu t'exprimes mal mais j'ai du mal à visualiser ce que tu veux faire et ne aps faire avec ce PC

PS -> ta connexion red c"est une ppp (point to point protocol) ou ethernet classique vers un modem routeur ?

Dernière modification par Tioneb (Le 25/04/2006, à 09:24)

CeReAl KiLLeR Du 77 · Le 25/04/2006, à 09:26

Pour bloquer un ip sur ton lan tu rentre sa

iptables -A FORWARD -s <ip> -j DROP

Si tu as un proxy transparent tu met INPUT

iptables -A INPUT -s <ip> -j DROP

Je ne veut pas être méchant, mais comme je t'ai dit, commence à lire la doc d'iptables, tu dit que tu ne comprend pas grand chose, alors un conseil garde ton ipcop ne migre pas sous Debian si tu n'y comprend rien.

Puis n'oublie pas google, http://www.google.fr/search?hl=fr&q=blo … DcountryFR

fabdunet13 · Le 25/04/2006, à 09:28

c'est mon but de filtrer tout un PC du réseaux , PK tu va me dire , c'est idiot !!! NON car je veux filtrer toutes les @ip et déclarer uniquement ceux qui ont accée au réseaux et ceux qui ont accée au net !!

si on pc ce branche sur une prises réseaux je veux qu'ils est accée a rien car l'administrateur réseaux ne la pas encore autoriser !!!

Tioneb · Le 25/04/2006, à 09:33

si un PC "lambda" inconnu se branche il y a peu de chance que son adresse IP corresponde à ton mask de sous réseau .....il ne sera pas reconnu... donc n'accédera pas à ton réseau

prends 5 min et lis ça, ça ne peut te faire que du bien

http://christian.caleca.free.fr/netfilter/

fabdunet13 · Le 25/04/2006, à 09:37

sur mon schémat réseaux , je veux que de bases mon serveur linux comunique avec perssonne . et que c'est moi qui dit a linux PC1 PC2 PC3 PC4 est autoriser a comuniquer avec le serveur linux . et que le reste est refuser . si K1 se branche sur mon réseaux et que moi en tant que administrateur je lais pas autoriser (Soit avec @Ip ou MAC ) , je veux qu'ils est accée a rien . ni au réseaux local et non plu au Net

Quesse que je doit tapper en conssolles pour interdite tout le monde au réseaux et au net et autoriser quelques @IP

Je suis pas clair dans mes explication je sais mais suis DSL

Dernière modification par fabdunet13 (Le 25/04/2006, à 09:38)

CeReAl KiLLeR Du 77 · Le 25/04/2006, à 09:42

Ce que je t'ai donné au dessus te permet te bloquer les ip, pour l'autoriser, tu colle un # devant la ligne, et tu relance ton script.
Il y'a aussi possibilité de faire une liste noire et une liste blanche.

Pour le partage de la connection internet, c'est ce que je t'ai donné la dernière fois, au pire, tu as mon script iptables, tu regarde. Il n'ai si complexe que sa

fabdunet13 · Le 25/04/2006, à 09:46

je me suis connecter en SSH avec putty sur mon serveur et tapper cette ligne de commande .
iptables -A FORWARD -d 192.168.1.14 -j DROP
c'est l'@ip demon poste client .
sa aurais du m'interdire le ping et le net !!!

malereusement sa fonctionne pas , suis entrain de chercher sur le site que tu ma donner mais je l'avez déja !!!

CeReAl KiLLeR Du 77 · Le 25/04/2006, à 09:49

Oui alors attends!!!! Tes reglès, tu les rentres sur ton serveur ipcop? Ou tu es passer d'ipcop a Debian?

fabdunet13 · Le 25/04/2006, à 09:52

je l'ais tapper sur ipcop !!

c'est pas bon ??

CeReAl KiLLeR Du 77 · Le 25/04/2006, à 09:54

Oui!!!! Quand j'utilisais ipcop, je rentrais mes regles à la mano, et ce n'étais pas pris en compte

CeReAl KiLLeR Du 77 · Le 25/04/2006, à 09:56

Mais pour faire ce que tu veut, faire, fais le via l'interface.

Il y'a un forum pour ipcop ici http://forums.fr.ixus.net/

fabdunet13 · Le 25/04/2006, à 09:58

j'ais une hautre machine avec débien je v faire le teste .. par contre impossible de la prendre a distance avec putty ???
tu sais comment faire ou pas ??

CeReAl KiLLeR Du 77 · Le 25/04/2006, à 10:04

La machine Debian pas de problème. La machine est sur ton lan?
Si tu as accès physiquement, verifie les règles d'iptables

iptables -nvxL

fabdunet13 · Le 25/04/2006, à 10:12

donc j'ais installer debian , eth0 est sur un routeur WIFI et eth1 sur le net .
et jais tapper :

ifconfig eth0 172.20.0.1
ifconfig eth1 172.20.0.2

iptables -X iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.20.0.0/255.255.0.0 -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Actuèlement sur mes poste client g le net mais
avec PUTTY si je met 172.20.0.1 avec le port 22 sa fonctionne pas !

CeReAl KiLLeR Du 77 · Le 25/04/2006, à 10:17

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

fabdunet13 · Le 25/04/2006, à 10:19

OK je vais tester Merci

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 23/04/2006, à 23:56

IPTABLES filtrage ip

#2 Le 24/04/2006, à 06:23

Re : IPTABLES filtrage ip

#3 Le 24/04/2006, à 13:56

Re : IPTABLES filtrage ip

#4 Le 24/04/2006, à 21:21

Re : IPTABLES filtrage ip

#5 Le 24/04/2006, à 22:31

Re : IPTABLES filtrage ip

#6 Le 25/04/2006, à 00:25

Re : IPTABLES filtrage ip

#7 Le 25/04/2006, à 08:53

Re : IPTABLES filtrage ip

#8 Le 25/04/2006, à 09:15

Re : IPTABLES filtrage ip

#9 Le 25/04/2006, à 09:17

Re : IPTABLES filtrage ip

#10 Le 25/04/2006, à 09:22

Re : IPTABLES filtrage ip

#11 Le 25/04/2006, à 09:26

Re : IPTABLES filtrage ip

#12 Le 25/04/2006, à 09:28

Re : IPTABLES filtrage ip

#13 Le 25/04/2006, à 09:33

Re : IPTABLES filtrage ip

#14 Le 25/04/2006, à 09:37

Re : IPTABLES filtrage ip

#15 Le 25/04/2006, à 09:42

Re : IPTABLES filtrage ip

#16 Le 25/04/2006, à 09:46

Re : IPTABLES filtrage ip

#17 Le 25/04/2006, à 09:49

Re : IPTABLES filtrage ip

#18 Le 25/04/2006, à 09:52

Re : IPTABLES filtrage ip

#19 Le 25/04/2006, à 09:54

Re : IPTABLES filtrage ip

#20 Le 25/04/2006, à 09:56

Re : IPTABLES filtrage ip

#21 Le 25/04/2006, à 09:58

Re : IPTABLES filtrage ip

#22 Le 25/04/2006, à 10:04

Re : IPTABLES filtrage ip

#23 Le 25/04/2006, à 10:12

Re : IPTABLES filtrage ip

#24 Le 25/04/2006, à 10:17

Re : IPTABLES filtrage ip

#25 Le 25/04/2006, à 10:19

Re : IPTABLES filtrage ip

Pied de page des forums