Question sur IPTABLES et paramètres -o $RED_DEV

[loberty]

Bonjour,
Sur une version 1.3.0, dès que je défini dans une règle IPTABLES le paramètre -o $RED_DEV cela ne fonctionne pas.
Exemple : /sbin/iptables -A FORWARD -o $RED_DEV -p tcp --dport ! 80 -j DENY
La règle qui accepte tous flux sortants depuis $GREEN_DEV a été désactivée.
Y aurait-il un principe que je n'aurais pas compris ?
J'ai regardé dans les doc, rien.
Merci

[Franck78]

Hello,

Expliques un peu ton "ca fonctionne pas".

Tout continue à sortir
Rien ne passe
IpCop réagit comment
Sur poste un client, ca change quelquechose

Des faits concrets si tu veux une aide....



Bye

[loberty]

Bonjour,
Désolé pour avoir été aussi peu clair.
J'ai la règle suivante :
/sbin/iptables -A FORWARD -i $GREEN_DEV - j ACCEPT
Cela signifie donc que tout forward depuis GREEN est autorisé.
Pour ma part, je veux que seuls les forward depuis GREEN vers RED soit autorisé vers un port particulier (aucun raison précise c'est juste pour tenter de m'en sortir avec IP¨TABLES, donc faire des tests).
J'ai essayé plusieurs règles différentes même en faisant abstraction du port et du protocole, par exemple :
/sbin/iptables -A FORWARD -i $GREEN_DEV -o $RED_DEV - j ACCEPT, mais cela ne donne rien. Depuis un poste client de GREEN je ne sort plus que ce soit en 80 ou autre.
Après différents tests, je me rend compte que du moment que je précise -o $RED_DEV je ne peux plus sortir de GREEN vers RED.
Si je saisi la règle sous le prompt et non pas dans le fichier /etc/rc.d/rc.firewall, aucune erreur n'apparaît.
Merci

[Franck78]

C'est vrai que vu comme ça cela a l'air correct...
Je pense que cela vient d'un mauvaise utilisation de -i -o
Quand le paquet 'entre', tu testes l'interface d'entrée (-i) ok. Mais il est absolument impossible de préjuger à ce moment de l'interface qu'il utilisera (-o) pour sortir.
Donc la règle n'est jamais bonne.
C'est pareil à la sortie (-o): pas moyen de savoir par ou il est entré (-i)

Iptables n'est pas un switch!

[loberty]

Hello,

Merci pour cette explication.
C'est tout de suite beaucoup plus clair.

A+

[loberty]

Hello,
En fait cela fonctionne seulement si à la place de $RED_DEV j'utilise ppp0 !
Exemple :
ne fonctionne pas : /sbin/iptables -A FORWARD -i $GREEN_DEV -o $RED_DEV -j ACCEPT
fonctionne : /sbin/iptables -A FORWARD -i $GREEN_DEV -o ppp0 -j ACCEPT
Bizarre ?
Pourtant je n'ai pas touché à la définition de $RED_DEV.
PS : Quand je dis fonctionne pas c'est que pas de http depuis client de GREEN.
Il doit y avoir une signification ?
A+

[Franck78]

Tu rajoutes un

echo MON RED CONTIENT:$RED_DEV >\dev\tty12

avant ta ligne si tu veux vraiment savoir ce qu'elle contient pendant l'execution du script.

Alors si ca marche, c'est que mon explication ne tient pas la route. Poutant elle me plaisait bien. Mais j'ai pas envie de me replonger dans les arcanes de iptables :rool: donc tu sais ce qu'il te reste à faire.

[tomtom]

Après différents tests, je me rend compte que du moment que je précise -o $RED_DEV je ne peux plus sortir de GREEN vers RED.
Si je saisi la règle sous le prompt et non pas dans le fichier /etc/rc.d/rc.firewall, aucune erreur n'apparaît.
Merci

Salut.

AMHA, la variable RED_DEV n'est juste pas definie dans le script rc.firewall...
Donc, RED_DEV vaut "vide", et donc la regle est fausse, provocant des problèmes au niveau des regles, et donc plus rien ne marche..

t.

[Franck78]

Salut Tomtom,

Bon voyage ?

Encore un gars compliqué: il pouvait pas dire simplement
j'ai telle erreur qui appararait quand ...
wierd character...bad arg


J'étais parti sur une erreur sur le résultat obtenu moi


bye

[tomtom]

Salut Tomtom,

Bon voyage ?

Super merci