Andesi - forum

Forum francophone pour Debian

Vous n'êtes pas identifié(e).

#1 09/04/2010 09:16:18

philippe_g
Membre
Inscription : 27/04/2007
Messages : 13

Iptables et restrictions horaires

Bonjour,

J'ai un petit réseau local perso, avec un serveur/passerelle/pare-feu (debian 4.0, iptables 1.3.6) qui fonctionne parfaitement depuis pas mal de temps déjà.
J'ai un script iptables qui fonctionne très bien lui aussi depuis longtemps (accès web/mail/ssh/ftp, partage connexion).

J'ai voulu mettre en place un contrôle de l'utilisation du net par 2 de mes pc locaux, en coupant l'accès à certaines heures, mais cela ne fonctionne pas.

Mon pare-feu est composé de 2 interfaces:

[Internet] --- [eth1]<==>[passerelle]<===>[eth0]---[mon réseau local]

J'ai pas mal cherché sur le net, et j'ai d'abord tenté une restrictions sur les IP, de cette façon:

# coupure IP 1
$IPTABLES -I INPUT -p all -s 192.168.0.100 -j DROP
$IPTABLES -I OUTPUT -p all -d 192.168.0.100 -j DROP
$IPTABLES -I FORWARD -p all -d 192.168.0.100 -j DROP
# coupure IP 2
$IPTABLES -I INPUT -p all -s 192.168.0.115 -j DROP
$IPTABLES -I OUTPUT -p all -d 192.168.0.115 -j DROP
$IPTABLES -I FORWARD -p all -d 192.168.0.115 -j DROP

Les règles sont bien mises en premier, mais apparament cela n'empèche pas les 2 PC de continuer à surfer ...

Voyant que cela ne fonctionnait pas, j'ai ensuite tenté une restriction sur l'adresse MAC de cette façon:

# coupure pc 1
$IPTABLES -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
$IPTABLES -I FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
$IPTABLES -t nat -I PREROUTING -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
# coupure pc 2
$IPTABLES -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
$IPTABLES -I FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
$IPTABLES -t nat -I PREROUTING -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP

(les adresses mac sont correctes, je me permet de les masquer ici)

La aussi, les règles sont correctement insérées en première position dans les diverses tables d'iptables, mais la aussi cela ne fonctionne pas, les PC continuent à surfer malgré cela.

J'avoue que je sèche un peu la, j'en appelle à votre expertise,

Merci d'avance de vos avis.

Hors ligne

#2 09/04/2010 09:36:12

ledub
Membre
Lieu : Creil (60)
Inscription : 22/04/2003
Messages : 4 545

Re : Iptables et restrictions horaires

Ne faut-il pas faire un arrêt/relance du service iptables ?
Je dis ça, je dis rien !!!!

LeDub toujours aussi quiche en réseau et toujours aussi bavard sur Andesi.


« Ne doutez pas qu'un petit nombre de personnes déterminées puisse changer le monde. En fait, ça a même toujours marché comme ça.»
Margaret Mead
---
VeoSearch est un moteur de recherche solidaire qui permet de financer des projets associatifs de développement durable par vos recherches Internet. Utilisez-le !!!

Hors ligne

#3 15/04/2010 11:23:17

philippe_g
Membre
Inscription : 27/04/2007
Messages : 13

Re : Iptables et restrictions horaires

Bonjour,

ledub a écrit :

Ne faut-il pas faire un arrêt/relance du service iptables ?

Non, relancer iptables n'est pas nécessaire à chaque ajout/retrait de règles.

Je ne sais pas si c'est important, mais pour INPUT et FORWARD j'ai une chaîne personnelle:

$IPTABLES -N SuiviCnx
$IPTABLES -A SuiviCnx -m state --state NEW -i ! $INET_IFACE -j ACCEPT
$IPTABLES -A SuiviCnx -m state --state ESTABLISHED,RELATED -j ACCEPT
# On fait pointer la chaine SuiviCnx sur INPUT et FORWARD
$IPTABLES -A INPUT -j SuiviCnx
$IPTABLES -A FORWARD -j SuiviCnx

Mes règles de restrictions sont insérées avant avec le -I.

Sur un autre forum on m'a proposé ça:

$IPTABLES -I FORWARD -p all -s 192.168.0.100 -j DROP

Mais cela ne fonctionne pas mieux:

iptables -nvL
...
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       0    --  *      *       192.168.0.115        0.0.0.0/0           
    0     0 DROP       0    --  *      *       192.168.0.100        0.0.0.0/0           
 855M  479G SuiviCnx   0    --  *      *       0.0.0.0/0            0.0.0.0/0

Je continue à chercher ...

Hors ligne

#4 30/04/2010 09:30:43

philippe_g
Membre
Inscription : 27/04/2007
Messages : 13

Re : Iptables et restrictions horaires

Bonjour,

Bon, j'ai tenté une autre approche, en voulant désactiver le masquerading pour les 2 pc concernés, mais même résultat, cela ne fonctionne pas

$IPTABLES -t nat -I POSTROUTING -o eth1 -s 192.168.0.100 -j DROP
$IPTABLES -t nat -I POSTROUTING -o eth1 -s 192.168.0.115 -j DROP

Les règles sont pourtant bien insérées au début, mais les compteurs restent à zéro et les PC continuent de surfer ...

J'ai l'impression que quoi que je fasse, rien ne marche, c'est quand même étrange ...

Hors ligne

#5 25/07/2010 20:45:39

Jordan67
Membre
Inscription : 25/07/2010
Messages : 4

Re : Iptables et restrictions horaires

Je donne une piste mais je ne sais pas ce que elle vaux : C'est pas une histoire de ne pas coupe une connexion déjà active avec ce genre de regles ? :

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Dernière modification par Jordan67 (25/07/2010 20:47:40)

Hors ligne

Pied de page des forums