Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Iptables, domaine et plage de ports aléatoire

Brunod

Comme je disais sur un autre post, je fatigue un peu; donc je ne suis pas certain d'avoir bien compris son problème. Mais comme mon formateur le répète sans cesse, entrer les règles par la ligne de commande permet de vérifier immédiatement, ligne après ligne, si la syntaxe est correcte. Chipoter dans un fichier, ou un script que l'on ne maîtrise pas pour le balancer dans iptables est dangereux :/ Et si c'est automatisé, le message d'erreur ne sera peut-être même pas vu...

[supprimé]

Merci pour ton expérience et aussi ton temps, ça m'a fait avancé, à bientôt sur le fofo.

Brunod

Je viens de relire après une bonne (mais courte) nuit de sommeil.
Tu écris

-pascal34- a écritMais comme sa politique OUTPUT est DROP, je viens de comprendre que sa ligne là :
....

Où as-tu lu cela ? Je le suppose que sa policy output est drop, mais ce n'est qu'une supposition car je ne l'ai lu nulle part.
Aucune des policy d'ailleurs.
Et selon qu'elle soit drop ou pas, cela change complètement la donne par rapport à l'efficacité/utilité de cette ligne.

[supprimé]

Oui pareil, je suppose que OUTPUT soit sur DROP, si ce n'est pas le cas cette ligne ne sert à rien en langage IPtables, mais au final, après relecture, je me rends compte aussi que plein de choses ne vont pas, du coup ça va être difficile d'aider Ansuz, s'il ne peut pas répondre à nos questions, je reste en Standby de mon côté, une fois qu'il aura décidé de répondre à nos questions ça débloquera sa situation, car s'il ne nous explique pas ce qu'il y a chez lui, c'est impossible de le faire avancer, il nous met au point mort, cela met donc sa discussion au point mort, à lui de la faire repartir s'il veut des réponses claires et concises 😉

Bonne journée Brunod et encore merci de tes questions ici, ça m'a fait avancer perso, à plus

[supprimé]

Ansuz j'ai des choses à apprendre de toi donc n'hésites pas à repasser, merci...

[supprimé]

Ansuz a écrit

Vous l'aurez compris, les règles que j'ai établies dans mon parefeu fonctionnent, mais uniquement lorsque l'IP et le port concordent...

salut, je n'ai lu que le premier message (flemme de tout lire), j'en déduis que le "OUTPUT est en Drop par défaut" sur la connection interface standard et "OUTUT en ACCEPT par défaut" via interface VPN ? l'objet de la demande concerne en fait la SORTIE Non vpn ? (vpn ou pas aucune différence dans ce cas)

la réponse est simple, tu utilises l'un ou l'autre (port ou ip) , les 2 conjugués vont forcément multiplier le nombre de lignes nécessaires.

si tu choisis autoriser avec ip: (exemple plage adresse youtube à autoriser si le début est 173.194....)
iptables -t filter -A OUTPUT -d 173.194.0.0/16 -j ACCEPT

évidement si la requête se fait avec nom de domaine, il faut aussi que le port 53 soit autorisé en sortie lui aussi (dns)

[supprimé]

J'ai rien compris

[supprimé]

moi non plus, non ce qui a à comprendre, c'est que cette règle suffit:
iptables -t filter -A OUTPUT -d xx.xx.0.0/16 -j ACCEPT (xx.xx = ip commençant par) c'est ce que je voulais dire.

si tu met dans la même ligne: protocole, port, ip alors il faut que toute les conditions soient réunies pour que la règle s'applique alors forcément....ça va le faire une fois sur 100....

[supprimé]

Oui ok. Pour la terminaison 0.0/16 cela correspond à quelle plage d'adresses svp ? De xx.xx.0.0 jusqu'à xx.xx.254.254 svp ??

Brunod

Oui
Edit : Voila une calculatrice ip pour cela :
http://www.subnet-calculator.com/subnet.php?net_class=B

[supprimé]

-pascal34- a écritOui ok. Pour la terminaison 0.0/16 cela correspond à quelle plage d'adresses svp ? De xx.xx.0.0 jusqu'à xx.xx.254.254 svp ??

....0.0/16 (65534 hotes) masque décimal: 255.255.0.0
étendue de xx.xx.0.1 à xx.xx.255.254

[supprimé]

Merci Wholes.

[supprimé]

En fait, j'ai relevé que le domaine demandé utilise cinq adresses IP, mais aussi deux plages de ports.

je suis parti sur l'hypothèse que ces 5 IP ne sont jamais les même, sinon dans le cas contraire il suffirait alors d'écrire 5 lignes précisant les ip uniquement (ignorer les protocoles et plages de ports).

parceque autoriser 65534 hotes pour seulement 5 adresses...

[supprimé]

wholes a écrit
En fait, j'ai relevé que le domaine demandé utilise cinq adresses IP, mais aussi deux plages de ports.

parceque autoriser 65534 hotes pour seulement 5 adresses...

Comme il n'a répondu quasiment à aucune des questions essentielles que nous lui avons posé, c'est qu'il y a une raison. Je pense qu'il s'est rendu compte qu'il était un peu aux choux sur pas mal de ses règles IPTABLES. Il a de fait du pain sur la planche, en plus il n'est pas aidé avec Openvpn de la 14.04 qui bug à tout va, comment s'assurer que tout va bien sur le réseau que l'on déploie, si tout va mal ? Comme on l'a vu souvent sur ce forum, l'utilisateur (moi compris) est souvent à la ramasse, mais peu savent accepter cet état de fait, donc peu progressent vraiment. Pas grave, il y aura d'autres occasions...

« Page précédente