Salut, krs0605 a écrit :
bonjour, j'ai installé sur une machine un linux Debian avec les paquet iptables, ebtables, bridge-utils pour creer un pont filtrant sans adresse IP. cela marche mais le probleme c'est que certaine commande ne passe pas. exemple : /sbin/iptables -t filter -A forwarding -p icmp -j dropcette commande marche
Ah ? Alors tu n'as pas dû la taper telle quelle, sinon elle aurait provoqué plusieurs erreurs. ;-)
et empeche le ping
Pas seulement le ping mais aussi tous les autres types de messages ICMP, ce qui est une mauvaise idée. Pour ne bloquer que les requêtes de ping, il faut ajouter "--icmp-type echo-request".
a present je souhaite bloquer le ping que sur une seul interfaces, il s'agit de eth0 : /sbin/iptables -t filter -A forwarding -i eth0 -p icmp -j drop et maintenant les ping passe dans les 2 sens il n y a pas de filtrage. Est ce moi qui est omis quelques choses ?
Oui. Quand un paquet traverse un bridge, l'interface d'entrée (et de sortie) que voient les règles iptables est l'interface bridge qui a été créée avec "brctl addbr", pas le port par lequel le paquet est entré. Pour retrouver le port d'entrée, il faut utiliser la correspondance physdev (cf. man iptables) au lieu de -i. Sauf erreur, ça devrait donner quelque chose comme "-m physdev --physdev-in eth0".