iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Bon, j'ai tenté une autre approche, en voulant désactiver le masquerading pour les 2 pc concernés, mais même résultat, cela ne fonctionne pas

$IPTABLES -t nat -I POSTROUTING -o eth1 -s 192.168.0.100 -j DROP
$IPTABLES -t nat -I POSTROUTING -o eth1 -s 192.168.0.115 -j DROP

Les règles sont pourtant bien insérées au début, mais les compteurs restent à zéro et les PC continuent de surfer ...

J'ai l'impression que quoi que je fasse, rien ne marche, c'est quand même étrange ...

Non, relancer iptables n'est pas nécessaire à chaque ajout/retrait de règles.

Je ne sais pas si c'est important, mais pour INPUT et FORWARD j'ai une chaîne personnelle:

$IPTABLES -N SuiviCnx
$IPTABLES -A SuiviCnx -m state --state NEW -i ! $INET_IFACE -j ACCEPT
$IPTABLES -A SuiviCnx -m state --state ESTABLISHED,RELATED -j ACCEPT
# On fait pointer la chaine SuiviCnx sur INPUT et FORWARD
$IPTABLES -A INPUT -j SuiviCnx
$IPTABLES -A FORWARD -j SuiviCnx

Mes règles de restrictions sont insérées avant avec le -I.

Sur un autre forum on m'a proposé ça:

$IPTABLES -I FORWARD -p all -s 192.168.0.100 -j DROP

Mais cela ne fonctionne pas mieux:

iptables -nvL
...
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       0    --  *      *       192.168.0.115        0.0.0.0/0           
    0     0 DROP       0    --  *      *       192.168.0.100        0.0.0.0/0           
 855M  479G SuiviCnx   0    --  *      *       0.0.0.0/0            0.0.0.0/0

Je continue à chercher ...

LeDub toujours aussi quiche en réseau et toujours aussi bavard sur Andesi.

J'ai un petit réseau local perso, avec un serveur/passerelle/pare-feu (debian 4.0, iptables 1.3.6) qui fonctionne parfaitement depuis pas mal de temps déjà.
J'ai un script iptables qui fonctionne très bien lui aussi depuis longtemps (accès web/mail/ssh/ftp, partage connexion).

J'ai voulu mettre en place un contrôle de l'utilisation du net par 2 de mes pc locaux, en coupant l'accès à certaines heures, mais cela ne fonctionne pas.

Mon pare-feu est composé de 2 interfaces:

[Internet] --- [eth1]<==>[passerelle]<===>[eth0]---[mon réseau local]

J'ai pas mal cherché sur le net, et j'ai d'abord tenté une restrictions sur les IP, de cette façon:

# coupure IP 1
$IPTABLES -I INPUT -p all -s 192.168.0.100 -j DROP
$IPTABLES -I OUTPUT -p all -d 192.168.0.100 -j DROP
$IPTABLES -I FORWARD -p all -d 192.168.0.100 -j DROP
# coupure IP 2
$IPTABLES -I INPUT -p all -s 192.168.0.115 -j DROP
$IPTABLES -I OUTPUT -p all -d 192.168.0.115 -j DROP
$IPTABLES -I FORWARD -p all -d 192.168.0.115 -j DROP

Les règles sont bien mises en premier, mais apparament cela n'empèche pas les 2 PC de continuer à surfer ...

Voyant que cela ne fonctionnait pas, j'ai ensuite tenté une restriction sur l'adresse MAC de cette façon:

# coupure pc 1
$IPTABLES -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
$IPTABLES -I FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
$IPTABLES -t nat -I PREROUTING -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
# coupure pc 2
$IPTABLES -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
$IPTABLES -I FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
$IPTABLES -t nat -I PREROUTING -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP

(les adresses mac sont correctes, je me permet de les masquer ici)

La aussi, les règles sont correctement insérées en première position dans les diverses tables d'iptables, mais la aussi cela ne fonctionne pas, les PC continuent à surfer malgré cela.

J'avoue que je sèche un peu la, j'en appelle à votre expertise,

Merci d'avance de vos avis.