Iptables et adresse IP au format w.x.y.z (sans reverse)

Bonjour,

Sur mon serveur web, je cherche à mettre mon adresse IP (fixe) du domicile en liste blanche.
J’ai donc ajouter mon adresse perso par:

Mais quand je fais la liste des règles, IPTABLES m’affiche pour cette règle:

Le soucis, c’est que cette adresse change (pas mon adresse IP qui reste w.x.y.z), car la semaine dernière (avant ma maj) cette règle était (après l’avoir "introduite) de la même manière:

Et ce n’est donc pas la même adresse pour le firewall.

Question: peut on forcer, lors de l’ajout de la règle, à ne pas résoudre le reverse (car c’est le reverse qui est affiché par IPTABLES -L et qui est géré) et ne conserver que la “vraie” adresse IP ?

Dans le cas contraire, je me verrais contraint de faire une tache cron qui mettra à jour la règle régulièrement, mais je trouve çà pas très propre.

Merci.

Faux problème.
Les règles iptables ne travaillent qu’avec des adresses IP et se fichent royalement des reverses. C’est seulement la commande [mono]iptables -L[/mono] (dont la sortie est pourrie au passage, mieux vaut utiliser [mono]iptables-save[/mono] ou à la limite [mono]iptables -nvL[/mono]) qui affiche le reverse à la place des adresses.

Merci pour cette réponse, mais alors comment expliquer que mon IP (suite à des tests depuis mon domicile vers vers mon serveur) était rejetée par le firewall (donc que ma règle de liste bkanche, en tête des règles, ne fonctionnait pas) et que ce n’est qu’en mettant à jour la dites règle (via 4G de mon tel) que j’ai pu avoir de nouveau accès ?

Probablement, ton adresse IP a changé. Le “dyn” dans les deux reverses que tu cites ne va pas dans le sens d’une adresse IP fixe. Le reverse d’une adresse IP ne change pas tout seul.

Mon adresse IP est toujours la même, le w.x.y.z est resté fixe.
(je log aussi mon adresse IP domicile donc sûr à 100% de cette affirmation)
Mais oui, le reverse à changé (la box a été mise à jour entre temps, et bouygues à pu changer aussi le reverse de son coté)

PS: Depuis que je suis chez eux, j’ai demandé mon type d’adresse: dynamique, comme chez tout les FAI, mais en fait, depuis la mise en route de la box, elle n’a jamais changé (comme chez la plupart des FAI quand on est en fibre)
.

Si tu es en fibre, alors la modification du reverse est probablement une correction faite par le FAI pour coller à la réalité de l’usage de ton adresse IP :

• “lns” et “dsl” évoquent l’ADSL et l’architecture de collecte sous-jacente,
• “hfc” évoque la fibre.

Si ton adresse n’a pas changé, alors le comportement de la règle iptables vis à vis de celle-ci n’a pas changé non plus. Si tu as besoin de mettre ton adresse en liste blanche, je suppose que tu as mis en place un système de liste noire automatique de type fail2ban ? Dans ce cas, comment fonctionne ce système ? Es-tu sûr que ta règle reste en début de chaîne et s’applique avant ? fail2ban installe aussi sa déviation en début de chaîne.
Comment as-tu fait exactement pour “mettre à jour la règle via 4G” ?

Je suis fibre depuis le début avec bouygues (6 mois), je n’explique pas le dsl …

Oui, j’ai fail2ban en place et voici le détail du début de iptables -L:

Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- localhost.localdomain anywhere ACCEPT all -- w-x-y-z.hfc.dyn.abo.bbox.fr anywhere fail2ban all -- anywhere anywhere DOS-ATTACK all -- anywhere anywhere MALFORMATION all -- anywhere anywhere SPAM tcp -- anywhere anywhere tcp dpt:smtp WEB tcp -- anywhere anywhere tcp dpt:httpflags: SYN/SYN,RST,ACK BLACKLIST all -- anywhere anywhere PORTS-OUVERTS all -- anywhere anywhere LOG all -- anywhere anywhere limit: avg 1/sec burst 5 LOG level debug prefix "drop_packet" DROP all -- anywhere anywhere
Je ne mets pas la suite (toutes les chaines se terminent par un RETURN), mais je suppose (peut être à tord), que les règles s’exécutent dans cet ordre, donc que mon IP est gérée avant la règle de fail2ban.

Pour mettre à jour via la 4g, je me suis simplement connecté en SSH avec un client style putty. J’ai juste supprimé la règle et refaites, mais avant j’ai fait un iptables -L, ainsi qu’après et c’est ce qui m’a permis de voir la différence.
Et juste après cette manip, j’avais de nouveau accès à mon serveur depuis la box.

D’où mon idée, peut être fausse, que iptables se servirait des reverse plutôt que des adresses IP.

Bon, j’ai trouvé, et c’est de ma faute:

Je n’avais pas vu ni cc la première ligne de mon iptables -L INPUT:

Une règle ajoutée à fail2ban mais qui ne se place pas dans la chaine fail2ban mais en tête des règles.

Ca n’explique pas le reste (les 2 reverse différents (enfin si mais je ne vais pas rentrer dans les détails de mon serveur))

Merci de ton aide qui m’a quand même permis de trouver la cause et d’en apprendre un peu plus sur ipatables.

Je vais maintenant m’attaquer à mettre la chaine fail2ban-recidivist dans la chaine fail2ban.