Le 7 juin 14 à 19:37, Francois Lafont a écrit : Bonjour,
Le 07/06/2014 18:16, Philippe Gras a écrit :
===================================================================== # iptables -A INPUT -p tcp --dport 80 -s 72.44.248.136 -j DROP # iptables -A INPUT -p tcp --dport 80 -s 66.23.229.10 -j DROP # iptables -A INPUT -m state --state RELATED,ESTABLISHED -p tcp --dport 80 -s 72.44.248.136 -j DROP # iptables -A INPUT -m state --state RELATED,ESTABLISHED -p tcp --dport 80 -s 66.23.229.10 -j DROP =====================================================================
Sauf erreur de ma part, les deux dernière règles ci-dessus sont inutiles. Si ça matche pour l'une d'entre elles, ça matchera de toute façon pour une des deux premières.
Non, en fait. Si le client est déjà connecté sur le serveur, INPUT ne matche pas.
C'était le cas pour moi. J'ai vu que ça ramait dans le backend, et je suis allé voir les logs, et c'est là que j'ai remarqué le manège… J'ai d'abord établi la première règle, mais il était toujours là à taper dans le mur.
Il faut d'abord le dropper en RELATED ou ESTABLISHED, et ensuite, il n'a plus la possibilité de revenir, à cause du drop en INPUT.
Après avoir rejeté la première IP, le gars est revenu avec une deuxième.
J'ai établi une deuxième série de 2 règles, et il a laissé tomber. Il était déjà tard.
Ph. Gras
-- François Lafont
-- Lisez la FAQ de la liste avant de poser une question :
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
|