IPTABLE et le module iprange ! [résolut]

Support Debian
#1

Don je fait bref :

les règle déjà présente dans le par feux ne signal aucun problème.

un règle nouvellement ajoutée donne:

iptables -A INPUT -m iprange --src-range 209.131.119.xx  -j DROP
iptables v1.4.1.1: iprange: Bad value for "--src-ip" option: "209.131.119.69"
Try `iptables -h' or 'iptables --help' for more information.

le module a été recompiler en dure!

cat '/boot/config-2.6.25xnmin0023'|grep CONFIG_NETFILTER_XT_MATCH_IPRANGE
CONFIG_NETFILTER_XT_MATCH_IPRANGE=y

tester également avec le kernel officiel:

cat '/boot/config-2.6.25-2-686' |grep CONFIG_NETFILTER_XT_MATCH_IPRANGE
CONFIG_NETFILTER_XT_MATCH_IPRANGE=m

J’ai quelque règle interdisant l’acès a certin site qui n’ont pas pus être ré-actualisée du coup elle ne sont plus chargée. pas chance les règle déjà active ne son pas touchée !

Une idée sur la question parce que la c’est quand même inquiétant !?
ma config RF ma signature:)
[edit]
ces règle étant chargée par le passer porte donc a croit que la syntaxe était juste et prise en compte!

#2

[quote] (Please note: This match requires kernel support that might not be
available in official Linux kernel sources or Debian’s packaged Linux
kernel sources. And if support for this match is available for the
specific Linux kernel source version, that support might not be enabled
in the current Linux kernel binary.)

   [!]--src-range ip-ip
          Match source IP in the specified range.

   [!]--dst-range ip-ip
          Match destination IP in the specified range.

[/quote]

La syntaxe n’est pas celle que tu donnes:

C’est --src-range 209.131.119.00-209.131.119.255 (moi je mettrais simplement -s 209.131.119.0/24)

Dis, BUG critique tu y vas fort là, non?

#3

Arf

Attention le module iprange n’a pas la même fonction que ta syntax.
en effet
-s 209.131.119.0/24
n’est pas la meme chose que:
-s 209.131.119.60 chose que le module iprange permet de faire justement.
en effet avec /24 tu banni une plage complète !

-m iprange --src-range 224.0.0.0-255.0.0.255 (exemple)

mai ceci dit il semblerai que la syntaxe a simplement changer.
209.131.119.200-209.131.119.200 marche parfaitement alors que si je fait 209.131.119.200 seulement sa marche pas
Donc sa reste quand même a ne pas négliger. Par chance j’ai tout les ip dans un fichier ce fut assez simple de les changer bon je modifie le topic Critique était pas le mots approprier sorry :blush:

#4

Oui mais comme tu as mis xxx, j’ai présumé que le xxx signifiait 0->255, et dans ce cas la notation que je te donnais est plus parlante et ne nécessite pas iprange.

#5

Haaa quand on m’aura tout dit :laughing:
simple question : si j’ai un plage plus petite
*.20 ->30 tu l’écrirait comment ?

#6

Là tu n’as pas d’autre solution, dans mes scripts j’utilise des plages ciblées accessibles comme ça, par exemple

192.168.1.192->207 = 192.168.1.192/28
ou encore
192.168.1.160->167 = 192.168.1.160/29
Ta plage de 10 machines aurait été mise dans
192.168.1.16/28 (qui va de 16->31).

Je ne me suis jamais servi de iprange avec cette méthode. C’est contraignant sur la gestion des IP mais ça se révèle efficace. Il faut dire que mes premiers scripts étaient avec ipfwadm/noyau 2.2 et il n’y avait pas de plage d’IP mise à part cette méthode.

#7

ben oui iprange facilite la lecture pour les nouveaux venu :slightly_smiling: car la sa nécessite de connais la manière de calculer la plage ce qui je doit dire est un peux lourd et peux lisible /28 ? 30 ? etc iprange facilite vraiment la lecture :slightly_smiling:. toute fois sa reste une bonne approche :slightly_smiling: