[RESOLU] Bloquer des IP LAN >> INTERNET

par **koilito** » 10 Sep 2004 13:47

Bonjour,

Je souhaite interdire l'accès vers l'extérieur à certaines IP de mon LAN via une règle IPTABLE sur ma passerelle SME 6.

La règle iptable est ultra simple :

Code: Tout sélectionner: /sbin/iptables -I INPUT -s 192.168.10.164 -j DROP

Par contre pour faire comprendre ça à SME c'est une autre histoire :roll:

C'est là que j'ai besoin de vos services, pour modifier les templates et modifier le "masq":

J'ai crée un répertoire dans template-custom

Code: Tout sélectionner: mkdir /etc/e-smith/templates-custom/etc/rc.d/init.d/masq

Ensuite j'ai crée un fichier 92AccessDeny pour y coller la règle ci-dessus

Code: Tout sélectionner: vi 92AccessDeny

Code: Tout sélectionner: /sbin/iptables -I INPUT -s 192.168.10.164 -j DROP

:wq!
Allez hop, on fait prendre en compte la modification :

Code: Tout sélectionner: /sbin/e-smith/expand-template /etc/rc.d/init.d/masq

Je redémmare le masq :

Code: Tout sélectionner: /sbin/service masq restart

Je jette un coup d'oeil :

Code: Tout sélectionner: vi /etc/rc.d/init.d/masq

Ma ligne se rajoute bien à la fin du script (entre "Portforwarding" et "Masqstop")
OK.

Pourtant la machine qui dispose de l'adresse 192.168.10.164 continue de pouvoir accéder à l'extérieur...

Pourquoi ?

par **Argenlos** » 10 Sep 2004 13:52

Bonjour, tu as relancer le service?

Genre "/etc/init.d/iptables reload" (je ne connais pas la syntaxe exacte mais l'idée est là)

par **antolien** » 10 Sep 2004 14:30

Un service iptables ? c'est nouveau

C'est plutôt dans la chaine FORWARD qu'il faut créer la règle iptables.

par **koilito** » 10 Sep 2004 14:32

ça marche....

Du moment que la règle IPTABLE est juste .... :oops:

Avec cette règle (qui pourtant fonctionnait sur mon IPCOP) je réussissais encore à pinger sur le net.
J'ai rajouter cette ligne dans mon 92AccessDeny:

Code: Tout sélectionner: /sbin/iptables -I FORWARD -s 192.168.10.169 -j DROP

Et là plus rien ne passe...

Petite victoire, je viens pour la première fois de "customiser" un template (merci le site de Grand-Pa)

par **Argenlos** » 10 Sep 2004 14:43

Ha! Trés bien Antolien. Je ne savais pas. Car le plus part tu temps quand je fais des modifs dans des templates, pour que les modifs soient prises en compte on relance un service.

par **MasterSleepy** » 10 Sep 2004 15:13

ce que Antolien voulait dire c'est que c'est pas iptables qui faut relancer mais le script qui le configure.
Dans le cas de la SME c'est masq.

A+

par **Argenlos** » 10 Sep 2004 15:24

Bien merci MasterSleepy, mais comment relance t-on alors ce script?

par **MasterSleepy** » 10 Sep 2004 15:47

ben tu peux le relancer avec

/etc/init.d/masq restart

ou

service masq restart

par **tomtom** » 10 Sep 2004 15:51

Vous enervez pas..

Sur mandrake et rh, la commande "service" lance simplement ce qui est dans /etc/rc.x ... , avec x le runlevel courant.

En gros,

Code: Tout sélectionner: service iptables restart

est la même chose que

Code: Tout sélectionner: /etc/rc5.d/iptables restart

[mode troll on]
Comme si qu'on dirait que mandrake (et rh) essayerai de faire comme si que ce serait un windows...
[/troll off]

t.

par **antolien** » 10 Sep 2004 16:06

Oui c'est ce que je voulais dire, un service correspond à un daemon; postfix où apache sont plus des services par exemple.

[RESOLU] Bloquer des IP LAN >> INTERNET

[RESOLU] Bloquer des IP LAN >> INTERNET

Qui est en ligne ?