Vous n'êtes pas identifié(e).
Bonjour,
J'ai un petit réseau local perso, avec un serveur/passerelle/pare-feu (debian 4.0, iptables 1.3.6) qui fonctionne parfaitement depuis pas mal de temps déjà.
J'ai un script iptables qui fonctionne très bien lui aussi depuis longtemps (accès web/mail/ssh/ftp, partage connexion).
J'ai voulu mettre en place un contrôle de l'utilisation du net par 2 de mes pc locaux, en coupant l'accès à certaines heures, mais cela ne fonctionne pas.
Mon pare-feu est composé de 2 interfaces:
[Internet] --- [eth1]<==>[passerelle]<===>[eth0]---[mon réseau local]
J'ai pas mal cherché sur le net, et j'ai d'abord tenté une restrictions sur les IP, de cette façon:
# coupure IP 1
$IPTABLES -I INPUT -p all -s 192.168.0.100 -j DROP
$IPTABLES -I OUTPUT -p all -d 192.168.0.100 -j DROP
$IPTABLES -I FORWARD -p all -d 192.168.0.100 -j DROP
# coupure IP 2
$IPTABLES -I INPUT -p all -s 192.168.0.115 -j DROP
$IPTABLES -I OUTPUT -p all -d 192.168.0.115 -j DROP
$IPTABLES -I FORWARD -p all -d 192.168.0.115 -j DROP
Les règles sont bien mises en premier, mais apparament cela n'empèche pas les 2 PC de continuer à surfer ...
Voyant que cela ne fonctionnait pas, j'ai ensuite tenté une restriction sur l'adresse MAC de cette façon:
# coupure pc 1
$IPTABLES -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
$IPTABLES -I FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
$IPTABLES -t nat -I PREROUTING -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
# coupure pc 2
$IPTABLES -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
$IPTABLES -I FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
$IPTABLES -t nat -I PREROUTING -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
(les adresses mac sont correctes, je me permet de les masquer ici)
La aussi, les règles sont correctement insérées en première position dans les diverses tables d'iptables, mais la aussi cela ne fonctionne pas, les PC continuent à surfer malgré cela.
J'avoue que je sèche un peu la, j'en appelle à votre expertise,
Merci d'avance de vos avis.
Hors ligne
Ne faut-il pas faire un arrêt/relance du service iptables ?
Je dis ça, je dis rien !!!!
LeDub toujours aussi quiche en réseau et toujours aussi bavard sur Andesi.
« Ne doutez pas qu'un petit nombre de personnes déterminées puisse changer le monde. En fait, ça a même toujours marché comme ça.»
Margaret Mead
---
VeoSearch est un moteur de recherche solidaire qui permet de financer des projets associatifs de développement durable par vos recherches Internet. Utilisez-le !!!
Hors ligne
Bonjour,
Ne faut-il pas faire un arrêt/relance du service iptables ?
Non, relancer iptables n'est pas nécessaire à chaque ajout/retrait de règles.
Je ne sais pas si c'est important, mais pour INPUT et FORWARD j'ai une chaîne personnelle:
$IPTABLES -N SuiviCnx
$IPTABLES -A SuiviCnx -m state --state NEW -i ! $INET_IFACE -j ACCEPT
$IPTABLES -A SuiviCnx -m state --state ESTABLISHED,RELATED -j ACCEPT
# On fait pointer la chaine SuiviCnx sur INPUT et FORWARD
$IPTABLES -A INPUT -j SuiviCnx
$IPTABLES -A FORWARD -j SuiviCnx
Mes règles de restrictions sont insérées avant avec le -I.
Sur un autre forum on m'a proposé ça:
$IPTABLES -I FORWARD -p all -s 192.168.0.100 -j DROP
Mais cela ne fonctionne pas mieux:
iptables -nvL
...
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP 0 -- * * 192.168.0.115 0.0.0.0/0
0 0 DROP 0 -- * * 192.168.0.100 0.0.0.0/0
855M 479G SuiviCnx 0 -- * * 0.0.0.0/0 0.0.0.0/0
Je continue à chercher ...
Hors ligne
Bonjour,
Bon, j'ai tenté une autre approche, en voulant désactiver le masquerading pour les 2 pc concernés, mais même résultat, cela ne fonctionne pas
$IPTABLES -t nat -I POSTROUTING -o eth1 -s 192.168.0.100 -j DROP
$IPTABLES -t nat -I POSTROUTING -o eth1 -s 192.168.0.115 -j DROP
Les règles sont pourtant bien insérées au début, mais les compteurs restent à zéro et les PC continuent de surfer ...
J'ai l'impression que quoi que je fasse, rien ne marche, c'est quand même étrange ...
Hors ligne
Je donne une piste mais je ne sais pas ce que elle vaux : C'est pas une histoire de ne pas coupe une connexion déjà active avec ce genre de regles ? :
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Dernière modification par Jordan67 (25/07/2010 20:47:40)
Hors ligne