[PB Résolu] Bloquer une plage d'adresses IP externes

par **c3dx4** » 02 Fév 2006 16:56

Bonjour,

Je souhaiterai bloquer une plage d'adresse (IP début - IP fin) qui ne correspond à
aucun masque (/24, /23, ...).
En cherchant le man d'iptables, j'ai trouvé l'argument --to-destination ; cependant,
il n'a pas l'air d'être présent dans ma version (IPCop 1.4.10, iptables ??).
Voici la chaîne que j'essaye de faire passer :

iptables -t -nat -A PREROUTING -i eth1 -d --to-destination 64.34.*.* - 64.34.*.* -j DROP
mais aussi,
iptables -t -nat -A PREROUTING -i eth1 -d 64.34.*.* --to-destination 64.34.*.* -j DROP

Est ce que quelqu'un pourrait m'éclairer ??
Merci.

par **loberty** » 02 Fév 2006 21:49

Bonsoir,

Essayes --d-destination

A+

par **c3dx4** » 03 Fév 2006 23:21

Bonjour,
tout d'abord merci pour ta réponse.
J'ai essayé :
iptables -t -nat -A PREROUTING -i eth1 -d --d-destination 64.34.*.* - 64.34.*.* -j DROP
mais aussi,
iptables -t -nat -A PREROUTING -i eth1 -d 64.34.*.* --d-destination 64.34.*.* -j DROP

et ni l'un ni l'autre ne fonctionnent ....

Quelqu'un aurait-il la solution ?

par **loberty** » 03 Fév 2006 23:24

Bonsoir,
Tu veux dire que tu as vraiment mis des étoiles ?
T'as vérifié que cela fonctionne ?
J'en suis pas certain.
Mais bon, je suis bien loin de maîtrisé iptables.

A+

par **c3dx4** » 03 Fév 2006 23:32

Non non j'ai pas mis d'étoiles, j'ai mis des IP parfaitement valides
mais voici que que j'obtiens :

root@******:~ # iptables -t -nat -A PREROUTING -i eth1 --d-destination 64.34.160.0 - 64.34.165.167 -j DROP
iptables v1.2.11: Unknown arg `--d-destination'

root@******:~ # iptables -t -nat -A POSTROUTING -i eth1 -d 64.34.160.0 --d-destination 64.34.165.167 -j DROP
iptables v1.2.11: Unknown arg `--d-destination'

root@******:~ # iptables -t -nat -A PREROUTING -i eth1 -d --d-destination 64.34.160.0 - 64.34.165.167 -j DROP Bad argument `64.34.160.0'

par **loberty** » 03 Fév 2006 23:36

Essayes avec ":", par exemple 10.0.0.1:10.0.0.15
Sinon, tente sur le net, GOOGLE !

par **c3dx4** » 03 Fév 2006 23:39

En fait le truc c'est que nulle part dans "iptables --help"
on ne parle d'address range ... :/
ni --d-destination, ni --to-destination ...

par **loberty** » 03 Fév 2006 23:59

Certes mais essayes tout de même ce que je t'ai proposé.
C'est comme cela que sont gérées les plages de ports.
Pourquoi pas la même logique pour les plages d'adresses !

par **c3dx4** » 06 Fév 2006 16:44

Bonjour,

Voici ce que j'ai essayé :

iptables -t -nat -A PREROUTING -i eth1 -s 64.34.*.* : 64.34.*.* -j DROP
sans succès...

Je me suis donc résigné à entrer ces plages avec des masques ... :/
Je crois que c'est la seule solution avant de mettre à jour iptables...

Merci en tout cas.

par **c3dx4** » 26 Oct 2008 17:27

Bonjour à tous,

Le problème s'étant reposer sous mes yeux, j'ai trouvé la solution ; il suffit de charger le module
"iprange" d'IPTables pour pouvoir activer les commandes "--src-range" et "--dst-range" :

Code: Tout sélectionner: iptables -I CUSTOMFORWARD -m iprange --dst-range @IPDébut-@IPFin -j DROP

Ainsi, plus besoin de "subnetter" les plages d'adresses en multiples /32 pour sélectionner finement
les adresses indésirables.
Reste plus qu'à positionner ces règles dans le fichier /etc/rc.d/rc.firewall.local et elles seront chargées
à chaque boot de l'IPCop !

++