Forum d'entraide de la communauté Freedom-IP VPN
Vous n'êtes pas identifié(e).
Pages : 1
Bonjour,
Je débute avec les iptables même si je comprends bien en quoi c'est vraiment très pratique... J'essaye d'écrire une règle pour éviter qu'un élément de mon réseau (ip locale 192.168.1.177) ne puisse établir de connexions sortantes.
Je me permets de vous soumettre ma règle pour que vous puissiez m'indiquer si elle est correcte ou non...
Un grand merci par avance !
iptables -A OUTPUT -p tcp -j DNAT --to 192.168.1.177 DROPHors ligne
Salut,
La règle n'est pas correcte, elle fera une erreur
Je connais un peu iptables.
Ce que tu veux faire se fait par la commande iptables -A OUTPUT -s 192.168.1.177 -j DROP
Il faut déja choisir la "table" : ici -t filter que je n'ai pas mis car c'est l'option par défaut
Les autres tables : "nat", "mangle"
ensuite, où s'applique la règle (INPUT, FORWARD, OUTPUT)
J'ai utilisé -s pour spécifier l'adresse source (peut aussi être une adresse de réseau de la forme x.x.x.x/x)
-j est l'action à faire lorsqu'un paquet correspond à la règle
[== Indéfini ==]
root@debian-6:/var/www# iptables -L -v -n
Chain INPUT (policy ACCEPT 66 packets, 7156 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 47 packets, 8960 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 192.168.1.177 0.0.0.0/0Et regarde la dernière ligne, on peut lire :
0 pkts, 0 bytes traités par la règle
Elle DROP les paquets qui lui correspondent
pour tout les protocoles
pour n'importe quelle interface d'entrée
pour n'importe quelle interface de sortie
à condition que l'adresse source soit 192.168.1.177, peu importe la destination
A savoir qu'avec iptables il faut faire attention à ne rien bloquer sur l'interface lo, car le système se sert de cette interface pour fonctionner
A+
Hors ligne
Pages : 1