précision règle IPTABLES ?

Support Debian
#1

Pour bannir une IP, que faut-il écrire exactement car selon les tutos la réponse est différente :
iptables -A INPUT -s -j DROP
iptables -A INPUT -s -p tcp -m tcp -j DROP
autres ?
:006

#2

Salut ricardo,

Je laisserai les spécialistes te répondre sur les deux premières options … :083

Je post pour “autres”.

Comment bloquer certaines IP sur votre serveur

Que j’ai mis en pratique, très efficace … :whistle:

#3

Merci loreleil, le script répond d’ailleurs à ma question.
Je vais quand même attendre la réponse de Pascal s’il traine dans le coin.

#4

Dans ce cas là tu bloques l’IP source en entrée mais uniquement pour le protocole TCP.

Ici tu bloques l’IP source en entrée pour tous les protocoles (TCP, UDP, ICMP).

#5

Que du bonheur …

D’ailleurs, si Pascal veut bien nous faire part de son point de vue concernant ce script, en passant … :083

#6

Merci Niloo.
La seconde de tes options est donc plus sure (et plus courte à taper :smiley: ).

#7

D’abord je ne traîne pas, je fréquente cet espace de discussion.
Ensuite il faudrait préciser ce que tu entends par “bannir”, en terme de flux réseau. Ouais, je sais, je suis chiant avec mon besoin compulsif de précision.
Pour finir, je rappelle qu’une règle isolée ne vaut rien en elle-même, car elle s’inscrit dans un jeu de règles complet. Notamment les règles qui bloquent doivent être placées dans la chaîne avant les règles qui acceptent, sinon c’est trop tard.

#8

Ce n’est pas un jeu de règles complet, c’est juste un bout de script qui crée des règles particulières. Pas grand chose à dire…

#9

[quote=“PascalHambourg”]D’abord je ne traîne pas, je fréquente cet espace de discussion.
Ensuite il faudrait préciser ce que tu entends par “bannir”, en terme de flux réseau. Ouais, je sais, je suis chiant avec mon besoin compulsif de précision.
Pour finir, je rappelle qu’une règle isolée ne vaut rien en elle-même, car elle s’inscrit dans un jeu de règles complet. Notamment les règles qui bloquent doivent être placées dans la chaîne avant les règles qui acceptent, sinon c’est trop tard.[/quote]
Bannir une IP, dans mon esprit ça signifie :
"interdire l’accès de ma machine à un gus qui se connecte à partir de l’IP "
Je me suis mal exprimé mais il est évident (pour moi) qu’il s’agit d’ajouter cette “interdiction d’accès” dans mes règles iptables permanentes.
Éventuellement, si tu as une réponse plus précise sur le moyen de créer cette règle pour qu’elle prenne en compte, non seulement une IP mais un fichier texte, dans lequel pourraient être ajoutées/retirées plusieurs IP, je serais preneur.

PS : tu as d’excellentes fréquentations :wink:

#10

[quote=“ricardo”]Bannir une IP, dans mon esprit ça signifie :
"interdire l’accès de ma machine à un gus qui se connecte à partir de l’IP "[/quote]
Donc au sens strict, bloquer les communications entrantes uniquement. A contrario le bout de script mentionné plus haut a pour ambition manifeste de bloquer toute communication, entrante, sortante ou même traversante (ce qui ne rime à rien pour une machine qui ne fonctionne pas en routeur). Mais il ne remplit que partiellement cet objectif car ce sont les mêmes règles basées uniquement sur l’adresse source qui sont appelées dans les trois cas alors que pour les paquets sortants dans OUTPUT on devrait se baser sur l’adresse destination et non l’adresse source.

Dans un jeu de règles plus complet on insèrerait les règles de blocage (ou l’appel de la chaîne utilisateur contenant ces règles, comme dans l’exemple cité, c’est plus pratique) après la règle classique autorisant les paquets appartenant ou liés aux connexions établies, mais avant les règles autorisant les connexions entrantes (et éventuellement sortantes) sans distinction d’adresse source (ou destination).