[iptables] ASTUCE : usage multiport

Support Debian
#1

Bonjour, all …

On a souvent l’habitude de coder quelques règles iptables ainsi, pour l’exemple :

Avec l’extension multiport - qui permet de spécifier autant de ports que l’on souhaite - on peut donc les ré-écrire plus simplement :

#2

peux tu me dire ou tu vois de la programmation là dedans ?
Je bascule ce fil dans “support”.

#3

[quote=“mattotop”]peux tu me dire ou tu vois de la programmation là dedans ?
Je bascule ce fil dans “support”.[/quote]

Que veux-tu ?!
Mon coeur a balancé entre ce forum et celui de truc et astuce !
Et, contrairement à toi, support n’est pas à priori le bon forum - ce n’est que mon avis !

++

#4

Bah je suis désolé, je ne suis pas le seul à avoir cet avis puisque nous sommes plusieurs à décider de l’organisation du forum, mais c’est comme ça qu’on a décidé de voir les choses ici pour l’instant.
Si tu as un avis different, tu peux le faire remonter dans “forum interne”.
Mais:

  • support est pour le support (sur iptables par exemple)
  • trucs et astuces est pour PROPOSER des trucs et astuces
  • programmation est le lieu pour parler de programmation (pas d’iptables).

Alors si tu veux, il y a peut être un doute parfois sur la bonne section, mais pour ce qui est de ton post, peu de doutes: c’est une demande de support sur iptables.
Eventuellement on peut dire que c’est plus une discussion qu’une demande de support, mais en tous cas, ce n’est certainement pas un pb de prog.

(désolé d’être si long sans répondre à ton post d’origine, mais ma remarque ne s’adresse pas qu’à toi alors je m’etends un peu)

#5

Comme tu le dis-là, d’où ma circonspection …
puisque si j’ai bien compris l’avantage de mport, ce post peut se transformer aisément en … astuces iptables !
Ce qui à l’origine était mon propos, mais n’étant pas sûr de moi, sur ma compréhension, je l’ai posté sur prog.

[quote]
(désolé d’être si long sans répondre à ton post d’origine, mais ma remarque ne s’adresse pas qu’à toi alors je m’etends un peu)[/quote]
De rien, cela ne me tracasse guère … de même que je comprends aisèment tout ton propos précédent :wink:

++

PS : Après c’est clair, qu’on a polluer le post original ; du coup, j’ai peur de ne pas avoir un retour adhoc :unamused:

#6

Attends, je vais vérifier les réponses qui me viennent à l’esprit, mais j’ai quelques conneries à dire pour recentrer le sujet.
Je relis d’abord tes questions.

#7

quote="PengouinPdt"
Avec l’extension mport - qui permet de spécifier autant de ports que l’on souhaite - on peut donc les ré-écrire plus simplement :
(…)
Aies-je bien compris ?[/quote]Je n’ai pas trouvé le match mport dans le man d’iptables, mais pourtant, je suis à peu prés sûr de l’avoir déjà utilisé comme ça.[quote=“PengouinPdt”]
Aies-je bien écris la règle avec l’inclusion de l’extension mport ?
(sachant qu’il me semble étonnant d’utiliser deux fois l’option -m, pour matcher)

Autre point :

  • La doc officielle parle de mport, le manpage iptables parle de multiport dont le but est le même, à-priori.
    Est-ce que l’écriture mport est un abbrégé de l’écriture multiport ?[/quote]Ben c’est ce que je me demande. C’est simple, tu n’as qu’a tester.
    Chez moi, mport est refusé, mais multiport fonctionne. Reste à tester si ça fait ce qu’on attend et comparer les perfs entre les règles unitaires et la version factorisée.

[quote]routeur@routeur:~$ iptables -A INPUT -m state --state ! INVALID -p TCP -m mport --dports 35,37 -j ACCEPT
-bash: iptables: command not found
routeur@routeur:~$ sudo iptables -A INPUT -m state --state ! INVALID -p TCP -m mport --dports 35,37 -j ACCEPT
iptables v1.3.6: Couldn’t load match `mport’:/lib/iptables/libipt_mport.so: cannot open shared object file: No such file or directory

Try `iptables -h’ or ‘iptables --help’ for more information.
routeur@routeur:~$ sudo iptables -A INPUT -m state --state ! INVALID -p TCP -m multiport --dports 35,37 -j ACCEPT
routeur@routeur:~$ sudo iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
(…)
ACCEPT tcp – anywhere anywhere state NEW,RELATED,ESTABLISHED,UNTRACKED multiport dports 35,37[/quote]

#8

Oki, je testerai ça, sur mon server debian @home :stuck_out_tongue:

Et, je vois qu’implicitement dans ton essai, tu réponds à l’usage du match, il faut spécifier l’option -m à chaque fois … donc, on ne peut pas les “chaîner”, style : -m state --state NEW multiport --ports 20-22 !?!

Quant à ce qui est de tester les perfs - j’y suis pas encore ! :unamused:

PS : au fait : merci :stuck_out_tongue:

#9

Ah oui. L’usage multiplié du -m
Ben bien sûr, tu peux les enchainer: c’est d’ailleurs ce qui permet d’affiner au plus prés les conditions de match quand c’est un ‘AND’ entre deux conditions.
Quand c’est un ‘OR’, il faut deux lignes.
Logique :wink:

#10

[quote=“mattotop”]Ah oui. L’usage multiplié du -m
Ben bien sûr, tu peux les enchainer: c’est d’ailleurs ce qui permet d’affiner au plus prés les conditions de match quand c’est un ‘AND’ entre deux conditions.
Quand c’est un ‘OR’, il faut deux lignes.
Logique :wink:[/quote]

Excellent ! :smiley:

Donc si j’ai bien compris, je finis par écrire les règles iptables :

Franchement, si c’est ça ; je trouve cela excellent :stuck_out_tongue: :smiling_imp:

Etonnant qu’on ne parle pas beaucoup de cette possibilité !

#11

si on n’en parle pas, c’est peut être que ça fait des iptables difficiles à lire, aussi.
Sinon, dans tes règles, tu n’as pas répèté le -m pour state. Comme AMA le mport n’existe pas, ça donne:

#12

[quote=“mattotop”]si on n’en parle pas, c’est peut être que ça fait des iptables difficiles à lire, aussi.
Sinon, dans tes règles, tu n’as pas répèté le -m pour state. Comme AMA le mport n’existe pas, ça donne:

Arfff, bien vu pour le mport … l’empressement :stuck_out_tongue:

Bon, je vais modifié mon post original :smiley: