Firewall iptables, bloquer un ping d'une ip

alex2746 · 13/12/2011, 22h11

Bonjour,
Je fais des tests du firewall de Linux (iptables).

J'utilise trois pc :
Pc1, une carte réseau, ip 192.168.253.1
Pc2, deux cartes réseau, ip 192.168.253.2 et 192.168.254.2
Pc3, une carte réseau, ip 192.168.254.3

Le Pc 2 est mon firewall (j'utilise iptables), j'ai tout bien configuré.
Tous mes tests fonctionnent bien sauf un: je veux empêcher de faire un ping du pc 1 vers le pc 3 (donc empêcher le pc1 de faire: ping 192.168.254.3).

Je fais donc sur le pc2 (qui sert de firewall):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A FORWARD -s 192.168.253.1 -p icmp -j DROP

Cela bloque bien ce que je veux bloquer, mais ça empêche également le pc3 de faire un ping sur le pc1! (donc de faire sur le pc3: ping 192.168.253.1)

Pourriez vous m'aider?

Merci d'avance!

matafan · 14/12/2011, 11h29

Ajoute peut-être --icmp-type echo-request ? Parce que là je supposes que tu bloques aussi les echo-reply qui viennent de pc1 en réponse à pc3.

messinese · 15/12/2011, 08h45

Salut, as-tu essayer:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A INPUT -s 192.168.253.1 -i ethxxx -p icmp -j DROP

?

Pourquoi passes-tu par FORWARD (pas compris) ?

Adawid · 17/02/2012, 15h07

Il faut utiliser la chaine FORWARD car le ping n'est pas à destination du firewall mais au delà !
du coup j'aurais fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

IPTABLES -A FORWARD -s 192.168.253.1 -d 192.168.254.3 -p ICMP -j DROP

La Chaine INPUT c'est pour les paquets à destination de ton firewall !

Ta requete bloque le retour du ping (lors du ping de pc3>PC1), sinon tu peux voir à accepter les réponses des connections établies, afin que ton PC3 puisse recevoir la réponse).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Je ferais un truc du genre mais j'ai pas utilisé IPTABLE depuis longtemp

13/12/2011, 22h11	#1
alex2746 Futur Membre du Club Inscription : mai 2008 Messages : 155 Détails du profil Informations forums : Inscription : mai 2008 Messages : 155 Points : 16 Points : 16	Firewall iptables, bloquer un ping d'une ip Bonjour, Je fais des tests du firewall de Linux (iptables). J'utilise trois pc : Pc1, une carte réseau, ip 192.168.253.1 Pc2, deux cartes réseau, ip 192.168.253.2 et 192.168.254.2 Pc3, une carte réseau, ip 192.168.254.3 Le Pc 2 est mon firewall (j'utilise iptables), j'ai tout bien configuré. Tous mes tests fonctionnent bien sauf un: je veux empêcher de faire un ping du pc 1 vers le pc 3 (donc empêcher le pc1 de faire: ping 192.168.254.3). Je fais donc sur le pc2 (qui sert de firewall): Code : Sélectionner tout - Visualiser dans une fenêtre à part iptables -A FORWARD -s 192.168.253.1 -p icmp -j DROP Cela bloque bien ce que je veux bloquer, mais ça empêche également le pc3 de faire un ping sur le pc1! (donc de faire sur le pc3: ping 192.168.253.1) Pourriez vous m'aider? Merci d'avance!
	10

15/12/2011, 08h45	#3
messinese Membre éclairé Jean-marie Bourbon Administrateur systèmes et réseaux Inscription : septembre 2007 Messages : 198 Détails du profil Informations personnelles : Nom : Jean-marie Bourbon Âge : 30 Localisation : France, Aude (Languedoc Roussillon) Informations professionnelles : Activité : Administrateur systèmes et réseaux Secteur : Administration - Collectivité locale Informations forums : Inscription : septembre 2007 Messages : 198 Points : 361 Points : 361	Salut, as-tu essayer: Code : Sélectionner tout - Visualiser dans une fenêtre à part iptables -A INPUT -s 192.168.253.1 -i ethxxx -p icmp -j DROP ? Pourquoi passes-tu par FORWARD (pas compris) ?
	30

17/02/2012, 15h07	#4
Adawid Invité de passage Inscription : décembre 2010 Messages : 12 Détails du profil Informations forums : Inscription : décembre 2010 Messages : 12 Points : 3 Points : 3	Il faut utiliser la chaine FORWARD car le ping n'est pas à destination du firewall mais au delà ! du coup j'aurais fait : Code : Sélectionner tout - Visualiser dans une fenêtre à part IPTABLES -A FORWARD -s 192.168.253.1 -d 192.168.254.3 -p ICMP -j DROP La Chaine INPUT c'est pour les paquets à destination de ton firewall ! Ta requete bloque le retour du ping (lors du ping de pc3>PC1), sinon tu peux voir à accepter les réponses des connections établies, afin que ton PC3 puisse recevoir la réponse). Code : Sélectionner tout - Visualiser dans une fenêtre à part iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT Je ferais un truc du genre mais j'ai pas utilisé IPTABLE depuis longtemp
	00

14/12/2011, 11h29	#2
matafan Membre Expert Ingénieur développement logiciels Inscription : octobre 2008 Messages : 1 378 Détails du profil Informations personnelles : Sexe : Âge : 33 Localisation : France Informations professionnelles : Activité : Ingénieur développement logiciels Informations forums : Inscription : octobre 2008 Messages : 1 378 Points : 2 040 Points : 2 040	Ajoute peut-être --icmp-type echo-request ? Parce que là je supposes que tu bloques aussi les echo-reply qui viennent de pc1 en réponse à pc3.
	20

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email