iptables - flush par ip

par **koatler** » 12 Oct 2006 17:05

Hello,

J'ai un routeur firewall linux et derrière se trouvent plusieurs vservers de clients. Les clients peuvent modifier les règles de firewall pour leur IP... Maintenant, j'aimerais trouver un moyen de supprimer toutes les règles d'un client (donc d'un IP) via une commande iptables (sans avoir à faire un iptables -D pour chaque règle entrée)... Une sorte de iptables --flush IPduclient...

Est-ce que quelqu'un a une idée de comment faire cela?

Merci d'avance
koatler

par **fred-info** » 12 Oct 2006 17:28

Salut,

iptables -F

A+

par **koatler** » 13 Oct 2006 09:32

Non cette commande va me flusher toutes les règles, même celles créées pour les autres IP (autres clients)... Je veux faire une sorte de flush sélectif pour les règles contenant l'IP définit...

par **tomtom** » 13 Oct 2006 10:05

A coup de grep et de sed, tu devrais t'en sortir

Pas de commande spécifique pour faire ça.

Un bon moyen, c'est d'ajouter un numéro lors de l'ajout de tes règles en utilisant uniquement -I pour les ajouter, et de gérer les numéros, car ainsi tu peux les supprimer en utilisant -D numero

t.

par **arapaho** » 13 Oct 2006 11:25

Ou bien de créer une chaine par client, avec les règles par clients dans les chaines correspondantes. Il te suffit de rediriger ce qui vient du clientA vers la chaineA et le flush par chaine est alors réalisable.

par **koatler** » 13 Oct 2006 15:26

Tout d'abord merci pour vos réponses, je vais retenir celle d'arapaho qui m'a l'air bien.

ok donc

# iptables -N nomdechaine (pour créer la chaine)

après je balance les commandes... et quand le client nous quitte je fais :

# iptables -F nomdechaine (flush)
# iptables -X nomdechaine (suppression de la chaine)

A+
koatler

par **Franck78** » 13 Oct 2006 21:54

c'est aussi celle d'ipcop.

Un squelette de 'tables' est créé. A charge pour chaque composant majeur de maintenir le contenu de sa table.
Ton cas est un peu diffrend, on ne connait pas toutes les branches du squelette à l'avance, par contre on sait que c'est toujours 'le même os' raccroché au même endroit. Donc il te suffit de maintenir un simple fichier comportant les noms des règles à lier.
Voir même un simple répertoire avec un script par client. Pas de script , pas de règle !

Le vrai problème c'est de supprimer une règle sans tout relire ou encore qui et comment c'est fait.

par **koatler** » 23 Oct 2006 11:53

J'ai bien créé une chain par client. Maintenant le problème c'est que je pense qu'il faut définir des propritétés à cette chaîne pour qu'elle forward les paquets ?!

Par exemple, si j'entre une règle dans la chaine FORWARD, ça marche impec. Mais dans ma nouvelle chaine rien... Donc il faudrait que je donne les mêmes propriétés à ma nouvelle chaine que FORWARD...

Qqun a une idée sur la manière de faire ça??

Salutations
koatler

par **tomtom** » 23 Oct 2006 12:54

Tout est la : http://christian.caleca.free.fr/netfilter/

a+

t.

par **koatler** » 23 Oct 2006 17:52

OK, donc

iptables -A FORWARD -j nomdemachaine

voila, merci a+

iptables - flush par ip

iptables - flush par ip

Qui est en ligne ?