Re: question iptables : peut t'on specifier 2 ou 3 ip sources ou destination dans 1 même regle ...
Salut,
Sébastien CRAMATTE a écrit :
J'ai question concernant iptables
peut t'on spécifier 2 ip sources ou destination dans 1 même règle
mes ips ne sont pas contigus donc je ne peux pas utiliser le module
range de plus ma règle
je voudrais quelque chose comme ça
iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
Pas possible, les options -s et -d n'admettent qu'une seule adresse ou
un préfixe (bloc d'adresses). Et bien que la dernière version d'iptables
(1.3.6) supporte désormais l'invocation multiple d'une même
"correspondance" ou "match" (-m xxx) dans une règle, on ne peut pas s'en
servir pour invoquer plusieurs fois iprange avec une adresse source
différente car toutes les conditions d'une règles fonctionnent en ET
logique et ne peuvent donc être exclusives. Cela sert plutôt à invoquer
plusieurs options d'une même correspondance. A défaut, une chaîne
utilisateur permet de "factoriser" les autres éléments de la règle.
Un idée ?
Voir du côte d'ipset et de la correspondance "set".
http://www.netfilter.org/projects/ipset/index.html
http://ipset.netfilter.org/
http://packages.debian.org/unstable/net/ipset
Cela nécessite de patcher le noyau avec le patch "set" du patch-o-matic-ng.
D'autre part peut t'on utiliser plusieur modules dans un même règle...
Qu'est-ce que tu appelles un module exactement ?
Reply to: