Re: question iptables : peut t'on specifier 2 ou 3 ip sources ou destination dans 1 même regle ...
Pascal Hambourg a écrit :
> Salut,
>
Salut
> Sébastien CRAMATTE a écrit :
>>
>> J'ai question concernant iptables
>>
>> peut t'on spécifier 2 ip sources ou destination dans 1 même règle
>> mes ips ne sont pas contigus donc je ne peux pas utiliser le module
>> range de plus ma règle
>>
>> je voudrais quelque chose comme ça
>> iptables -A FORWARD -i eth0 -s 192.168.0.2,192.168.0.10 -o eth1 -d
>> 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
>
> Pas possible, les options -s et -d n'admettent qu'une seule adresse ou
> un préfixe (bloc d'adresses). Et bien que la dernière version
> d'iptables (1.3.6) supporte désormais l'invocation multiple d'une même
> "correspondance" ou "match" (-m xxx) dans une règle, on ne peut pas
> s'en servir pour invoquer plusieurs fois iprange avec une adresse
> source différente car toutes les conditions d'une règles fonctionnent
> en ET logique et ne peuvent donc être exclusives. Cela sert plutôt à
> invoquer plusieurs options d'une même correspondance. A défaut, une
> chaîne utilisateur permet de "factoriser" les autres éléments de la
> règle.
>
>> Un idée ?
>
> Voir du côte d'ipset et de la correspondance "set".
> http://www.netfilter.org/projects/ipset/index.html
> http://ipset.netfilter.org/
> http://packages.debian.org/unstable/net/ipset
>
Ca l'air interessant ... merci du tuyeau
> Cela nécessite de patcher le noyau avec le patch "set" du
> patch-o-matic-ng.
>
Il va falloir que je regarde comment faire ça ... j'utilise le packages
de backports.org
Et j'ai déjá des galères pour compiler le module layer7 alors ...
>> D'autre part peut t'on utiliser plusieur modules dans un même règle...
>
> Qu'est-ce que tu appelles un module exactement ?
>
>
module : conntrack, range, layer7 ...
Reply to: