[PB Résolu] Bloquer une plage d'adresses IP externes

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[PB Résolu] Bloquer une plage d'adresses IP externes

Messagepar c3dx4 » 02 Fév 2006 16:56

Bonjour,

Je souhaiterai bloquer une plage d'adresse (IP début - IP fin) qui ne correspond à
aucun masque (/24, /23, ...).
En cherchant le man d'iptables, j'ai trouvé l'argument --to-destination ; cependant,
il n'a pas l'air d'être présent dans ma version (IPCop 1.4.10, iptables ??).
Voici la chaîne que j'essaye de faire passer :

iptables -t -nat -A PREROUTING -i eth1 -d --to-destination 64.34.*.* - 64.34.*.* -j DROP
mais aussi,
iptables -t -nat -A PREROUTING -i eth1 -d 64.34.*.* --to-destination 64.34.*.* -j DROP

Est ce que quelqu'un pourrait m'éclairer ??
Merci.
Dernière édition par c3dx4 le 26 Oct 2008 17:27, édité 1 fois au total.
"Un con qui marche va toujours plus loin
que 2 intelligents assis."
Michel Audiard
Image
c3dx4
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 02 Juin 2004 14:13
Localisation: Saint-Brieuc / Paris

Messagepar loberty » 02 Fév 2006 21:49

Bonsoir,

Essayes --d-destination

A+
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Messagepar c3dx4 » 03 Fév 2006 23:21

Bonjour,
tout d'abord merci pour ta réponse.
J'ai essayé :
iptables -t -nat -A PREROUTING -i eth1 -d --d-destination 64.34.*.* - 64.34.*.* -j DROP
mais aussi,
iptables -t -nat -A PREROUTING -i eth1 -d 64.34.*.* --d-destination 64.34.*.* -j DROP

et ni l'un ni l'autre ne fonctionnent ....

Quelqu'un aurait-il la solution ?
"Un con qui marche va toujours plus loin
que 2 intelligents assis."
Michel Audiard
Image
c3dx4
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 02 Juin 2004 14:13
Localisation: Saint-Brieuc / Paris

Messagepar loberty » 03 Fév 2006 23:24

Bonsoir,
Tu veux dire que tu as vraiment mis des étoiles ?
T'as vérifié que cela fonctionne ?
J'en suis pas certain.
Mais bon, je suis bien loin de maîtrisé iptables.

A+
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Messagepar c3dx4 » 03 Fév 2006 23:32

Non non j'ai pas mis d'étoiles, j'ai mis des IP parfaitement valides
mais voici que que j'obtiens :

root@******:~ # iptables -t -nat -A PREROUTING -i eth1 --d-destination 64.34.160.0 - 64.34.165.167 -j DROP
iptables v1.2.11: Unknown arg `--d-destination'

root@******:~ # iptables -t -nat -A POSTROUTING -i eth1 -d 64.34.160.0 --d-destination 64.34.165.167 -j DROP
iptables v1.2.11: Unknown arg `--d-destination'

root@******:~ # iptables -t -nat -A PREROUTING -i eth1 -d --d-destination 64.34.160.0 - 64.34.165.167 -j DROP Bad argument `64.34.160.0'
"Un con qui marche va toujours plus loin
que 2 intelligents assis."
Michel Audiard
Image
c3dx4
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 02 Juin 2004 14:13
Localisation: Saint-Brieuc / Paris

Messagepar loberty » 03 Fév 2006 23:36

Essayes avec ":", par exemple 10.0.0.1:10.0.0.15
Sinon, tente sur le net, GOOGLE !
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Messagepar c3dx4 » 03 Fév 2006 23:39

En fait le truc c'est que nulle part dans "iptables --help"
on ne parle d'address range ... :/
ni --d-destination, ni --to-destination ...
"Un con qui marche va toujours plus loin
que 2 intelligents assis."
Michel Audiard
Image
c3dx4
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 02 Juin 2004 14:13
Localisation: Saint-Brieuc / Paris

Messagepar loberty » 03 Fév 2006 23:59

Certes mais essayes tout de même ce que je t'ai proposé.
C'est comme cela que sont gérées les plages de ports.
Pourquoi pas la même logique pour les plages d'adresses !
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Messagepar c3dx4 » 06 Fév 2006 16:44

Bonjour,

Voici ce que j'ai essayé :

iptables -t -nat -A PREROUTING -i eth1 -s 64.34.*.* : 64.34.*.* -j DROP
sans succès...

Je me suis donc résigné à entrer ces plages avec des masques ... :/
Je crois que c'est la seule solution avant de mettre à jour iptables...

Merci en tout cas.
"Un con qui marche va toujours plus loin
que 2 intelligents assis."
Michel Audiard
Image
c3dx4
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 02 Juin 2004 14:13
Localisation: Saint-Brieuc / Paris

[PB Résolu] Bloquer une plage d'adresses IP externes

Messagepar c3dx4 » 26 Oct 2008 17:27

Bonjour à tous,

Le problème s'étant reposer sous mes yeux, j'ai trouvé la solution ; il suffit de charger le module
"iprange" d'IPTables pour pouvoir activer les commandes "--src-range" et "--dst-range" :
Code: Tout sélectionner
iptables -I CUSTOMFORWARD -m iprange --dst-range @IPDébut-@IPFin -j DROP

Ainsi, plus besoin de "subnetter" les plages d'adresses en multiples /32 pour sélectionner finement
les adresses indésirables.
Reste plus qu'à positionner ces règles dans le fichier /etc/rc.d/rc.firewall.local et elles seront chargées
à chaque boot de l'IPCop !

++
c3dx4
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 02 Juin 2004 14:13
Localisation: Saint-Brieuc / Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron