Re: [HS] Help pour débuter avec iptables

[Pascal Hambourg <pascal.mail@plouf.fr.eu.org>]

giggz a écrit :
> Le 10/09/2010 20:11, Pascal Hambourg a écrit :
>
>> eth0:2 n'est pas une interface mais un alias IP, une façon obsolète
>> d'affecter une adresse IP supplémentaire à l'interface eth0.
> 
> oui. d'ailleurs je suppose que je ne peux pas faire:
> -A Firewall-1-INPUT -i eth0:2 -s 192.168.200.0/255.255.255.0 -j ACCEPT non ?

Tu peux, même si iptables affiche un avertissement. Mais ça ne fera pas
ce que tu attends. Cette règle n'accrochera jamais aucun paquet puisque
l'interface eth0:2 n'existe pas.

>>> :Firewall-1-INPUT - [0:0]
>> Cette chaîne est inutile, tout ce qu'elle contient peut être mis dans INPUT.
> 
> mais via cette chaine je traite INPUT et FORWARD en même temps, non ?

Justement, il y a de forte chances que les besoins de filtrage dans
INPUT et FORWARD soient très différents. Seules les règles communes sont
susceptibles d'être factorisées dans une chaîne utilisateur.

>>> -A INPUT -i eth1 -s 240.0.0.0/4  -j DROP
>> Ah, voilà la bonne longueur de préfixe.
>>
>>> -A INPUT -i eth1 -s 255.255.255.255/32  -j DROP
>> Déjà inclus dans le préfixe précédent.
> 
> donc à virer ?

Oui, cette règle n'accrochera aucun paquet puisque tous les paquets
qu'elle pourrait accrocher auront déjà été bloqués par la règle
précédente plus large.

>>> -A INPUT -i eth1 -s 168.254.0.0/16  -j DROP
>> Pourquoi, tu as quelque chose contre les écoles publiques du comté de
>> Hillsborough en Floride ?
> 
> ben je les aime po :p

C'est toi qui vois.

> ok. mais qu'est ce que je met qd c'est un alias ? dans mon cas eth0:2,
> je met eth0 ?

Oui. iptables ne connaît que les interfaces et les adresses, pas les alias.

> c'est encore un reste. j'ai tenté de logguer mais il y a tellement de
> tentative...que je me suis  retrouvé avec un fichier message de 10 mo en
> 30 minutes...donc encore un reste.

Trop de log tue le log...