regle iptable

[Yoda]

bonjour, <BR> <BR>je dois bloquer une plage d'adresse ip avec seulement l acces au port 80,443, 110,25 ca je sais faire. <BR> <BR>seulement dans cette plage, j ai besoin de liberer 30 adresses avec acces complet la je ne sais po !!!! <BR> <BR>je ne vois pas trop comment faire <BR> <BR> <BR>merci

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-02-23 11:49, Yoda a écrit: <BR>bonjour, <BR> <BR>je dois bloquer une plage d'adresse ip avec seulement l acces au port 80,443, 110,25 ca je sais faire. <BR> <BR>seulement dans cette plage, j ai besoin de liberer 30 adresses avec acces complet la je ne sais po !!!! <BR> <BR>je ne vois pas trop comment faire <BR> <BR> <BR>merci <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>- Autorisr l'acces complet pour la plage : <BR>iptables -A FORWARD -s 192.168.15.xxx/27 -i $IFACE_GREEN -j ACCEPT <BR>(/27 correspond à une plage contigue de 32 adresses.. à toi d'adapter en fonctione de tes adresses.. <BR>Si elles sont disseminées un peu partout dans l'autre plage, il ta faut une règle par addresse....) <BR> <BR>-Autoriser les ports voulus pour tout le monde dans la plage <BR>iptables -A FORWARD -s 192.168.15.0/24 -i $IFACE_GREEN -p tcp --dport 80 -j ACCEPT <BR>iptables -A FORWARD -s 192.168.15.0/24 -i $IFACE_GREEN -p tcp --dport 443 -j ACCEPT <BR>iptables -A FORWARD -s 192.168.15.0/24 -i $IFACE_GREEN -p tcp --dport 110-j ACCEPT <BR>iptables -A FORWARD -s 192.168.15.0/24 -i $IFACE_GREEN -p tcp --dport 25 -j ACCEPT <BR> <BR>- Bloquer le reste <BR>iptables -A FORWARD -i $IFACE_GREEN -j DROP <BR> <BR> <BR>A adapter bien sur dans l'architecture de règles ipcop que je ne connais toujours pas.. <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR> <BR>t.

[Yoda]

merci t.

[Yoda]

t., <BR> <BR>si je rentre une regle du type: <BR> <BR>#autoriser tout pour une machine <BR>iptables -A INPUT -p tcp --dport all -s adresse_ip_autorisée -j ACCEPT <BR> <BR>--> all ???? ca va aller ca ?

[tomtom]

ben si tu veux autoriser pour tous, pourquoi ne pas faire juste : <BR> <BR>iptables -A FORWARD -p tcp -s @ip_source -j ACCEPT <BR> <BR>Si tu ne mets pas de critère, ca prend tout <IMG SRC="images/smiles/icon_wink.gif"> <BR>Note que là tu n'autorises que le tcp (donc par exemple, pas de resolution dns... ). <BR>Tu peux vraiment tout autoriser avec : <BR> <BR>iptables -A FORWARD -s @ip_source -j ACCEPT <BR> <BR>t.

[Franck78]

Entre tout tcp, <BR>Tout tcp et tout udp <BR>Et tout <BR>Ca fait un grosse différence <BR>C'est quand même plus sain de <BR>choisir tout tcp et tout udp <BR>Et eventuellement rajouté Ike et AH. <BR>