Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
850 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Codes et scripts

  Petite question sur une règle Iptables...

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Petite question sur une règle Iptables...

n°206882
le passant
Posté le 02-01-2003 à 14:45:49  profilanswer
 

Bon, je souhaite loguer tout le traffic qui parviendra jusqu'a ce point des règles, sauf ce qui provient de netbios par exemple...
 
J'ai penser à utiliser :

Code :
  1. $IPTABLES -A INPUT -p udp --dp ! 137:139 -m limit --limit 5/minute --limit-burst 5 -j LOG --log-prefix "Iptables - INPUT HS: "


 
Mais, je pense qu'il y a un soucis pour tout le reste (tcp et icmp). J'ai un peu de mal à visualiser les limites de cette règle.
 
Ne s'applique-t'elle justement que pour tout udp, sauf le netbios ?
Ou alors, c'est pour tout sauf netbios ?
 
Personnellement, je penche pour la première solution (et je ne veux pas ce type de fonctionnement), mais j'aimerais beaucoup avoir une confirmation.
 
Le passant.

mood
Publicité
Posté le 02-01-2003 à 14:45:49  profilanswer
 

n°206885
Tux Le Pen​guin
Posté le 02-01-2003 à 14:51:18  profilanswer
 

tout udp sauf netbios

n°206890
le passant
Posté le 02-01-2003 à 14:56:28  profilanswer
 

Tux Le Penguin a écrit :

tout udp sauf netbios


 
C'est bien ce que je craignais... zut !
 
Le passant.

n°206893
Tux Le Pen​guin
Posté le 02-01-2003 à 15:07:46  profilanswer
 

et avec -p all ça t'irait pas ?

n°206895
le passant
Posté le 02-01-2003 à 15:11:48  profilanswer
 

Tux Le Penguin a écrit :

et avec -p all ça t'irait pas ?


 
Rohh, j'avais oublié le -p all, merci :) !
 
Ca me convient parfaitement :).
 
Le passant.

n°206900
Tux Le Pen​guin
Posté le 02-01-2003 à 15:15:52  profilanswer
 

pas de quoi, quand on peut aider  :o  ;)

n°206903
le passant
Posté le 02-01-2003 à 15:22:22  profilanswer
 

Euh, après vérification, il n'y a pas de -p all (ça plante).
 
Je vais donc laisser comme maintenant :

Code :
  1. $IPTABLES -A INPUT -i $EXT_IFACE -p udp --dp 137:139 -j DROP
  2. $IPTABLES -A INPUT -m limit --limit 5/minute --limit-burst 5 -j LOG --log-prefix "Iptables - INPUT HS:
  3. "


 
C'est un peu bizarre avec ma policy à DROP, mais comme je ne veux pas loguer les rejet netbios...
 
Le passant.

n°206907
Tux Le Pen​guin
Posté le 02-01-2003 à 15:30:33  profilanswer
 

Le passant a écrit :

Euh, après vérification, il n'y a pas de -p all (ça plante).
 
Je vais donc laisser comme maintenant :

Code :
  1. $IPTABLES -A INPUT -i $EXT_IFACE -p udp --dp 137:139 -j DROP
  2. $IPTABLES -A INPUT -m limit --limit 5/minute --limit-burst 5 -j LOG --log-prefix "Iptables - INPUT HS:
  3. "


 
C'est un peu bizarre avec ma policy à DROP, mais comme je ne veux pas loguer les rejet netbios...
 
Le passant.


 
ah non c'est vrai
quand on spécifie un port, il faut aussi spécifier un protocole ... je trouve ça con d'ailleurs, ça enleve tout interet à la cible "all"

n°206911
le passant
Posté le 02-01-2003 à 15:36:12  profilanswer
 

Je trouve aussi, car ce n'est pas le seul cas ou une possibilité de ce type pourrait bien m'aider.
 
Bon, on va faire sans ;).
 
Merci quand même...
 
Le passant.

n°206967
_guigui_
Posté le 02-01-2003 à 18:17:07  profilanswer
 

Tux Le Penguin a écrit :


 
ah non c'est vrai
quand on spécifie un port, il faut aussi spécifier un protocole ... je trouve ça con d'ailleurs, ça enleve tout interet à la cible "all"


ben comment tu fais pour fermer l'accés au port 8080 en tcp si tu veux laisser ouvert le 8080 en udp? :sarcastic:

mood
Publicité
Posté le 02-01-2003 à 18:17:07  profilanswer
 

n°206974
apolon34
Vive Linux!!
Posté le 02-01-2003 à 18:38:07  profilanswer
 

le probleme c'est que la cible all inclut l'icmp qui ne comporte pas de numero de port
 
on devrait pouvoir utiliser -p tcp,udp par contre, ca serait sympa

n°206980
le passant
Posté le 02-01-2003 à 18:52:16  profilanswer
 

_guigui_ a écrit :


ben comment tu fais pour fermer l'accés au port 8080 en tcp si tu veux laisser ouvert le 8080 en udp? :sarcastic:  


 
Oui, c'est très bien qu'on puisse différencier chaque protocol. Mais quand tu te retrouve à vouloir créer une règle comme la mienne, des possibilitées un peut plus étendue ne ferait pas de mal.
 
Le passant.

n°207014
Tux Le Pen​guin
Posté le 02-01-2003 à 20:13:16  profilanswer
 

_guigui_ a écrit :


ben comment tu fais pour fermer l'accés au port 8080 en tcp si tu veux laisser ouvert le 8080 en udp? :sarcastic:  


 
t'as pas du tout comprendre au problème toi :heink:

n°207023
_guigui_
Posté le 02-01-2003 à 20:46:12  profilanswer
 

Tux Le Penguin a écrit :


 
t'as pas du tout comprendre au problème toi :heink:  


explique... je vois pas ma connerie là... développe :whistle:

n°207028
Tux Le Pen​guin
Posté le 02-01-2003 à 20:50:29  profilanswer
 

_guigui_ a écrit :


explique... je vois pas ma connerie là... développe :whistle:  


 
je critique pas le fait qu'on puisse faire des règles séparées, au contraire  :o
mais la cible "all" ne me parait pas servir à grand chose, voilà tout (enfin ils auraient pu étendre son utilisation, ça aurait été pratique, parce que je me souviens avoir eu le même pb)
bref, pour être clair, tu étais un peu à coté de la discussion là :D  ;)

n°207030
_guigui_
Posté le 02-01-2003 à 21:15:14  profilanswer
 

bah c'était juste mes 2 centimes... ;)  
pas trés intéressant certes :whistle:


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Codes et scripts

  Petite question sur une règle Iptables...

 

Sujets relatifs
Question de stratégie Iptables ....Alerte iptables sur ip de la classe 10.X.X.X
Forward de port iptablesUne regle Iptables ...
Question important : Convertir une partoche FAT32 ou NTFS en Ext3Pb script iptables : forward pop3
[question outlook]Debian question d'un débutant
Plus de sujets relatifs à : Petite question sur une règle Iptables...


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR