Discussion :

[alex2746]

Bonjour,
Je fais des tests du firewall de Linux (iptables).

J'utilise trois pc :
Pc1, une carte réseau, ip 192.168.253.1
Pc2, deux cartes réseau, ip 192.168.253.2 et 192.168.254.2
Pc3, une carte réseau, ip 192.168.254.3

Le Pc 2 est mon firewall (j'utilise iptables), j'ai tout bien configuré.
Tous mes tests fonctionnent bien sauf un: je veux empêcher de faire un ping du pc 1 vers le pc 3 (donc empêcher le pc1 de faire: ping 192.168.254.3).

Je fais donc sur le pc2 (qui sert de firewall):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A FORWARD -s 192.168.253.1 -p icmp -j DROP

Cela bloque bien ce que je veux bloquer, mais ça empêche également le pc3 de faire un ping sur le pc1! (donc de faire sur le pc3: ping 192.168.253.1)

Pourriez vous m'aider?

Merci d'avance!

[matafan]

Ajoute peut-être --icmp-type echo-request ? Parce que là je supposes que tu bloques aussi les echo-reply qui viennent de pc1 en réponse à pc3.

[messinese]

Salut, as-tu essayer:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A INPUT -s 192.168.253.1 -i ethxxx -p icmp -j DROP

?

Pourquoi passes-tu par FORWARD (pas compris) ?

[Adawid]

Il faut utiliser la chaine FORWARD car le ping n'est pas à destination du firewall mais au delà !
du coup j'aurais fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

IPTABLES -A FORWARD -s 192.168.253.1 -d 192.168.254.3 -p ICMP -j DROP

La Chaine INPUT c'est pour les paquets à destination de ton firewall !

Ta requete bloque le retour du ping (lors du ping de pc3>PC1), sinon tu peux voir à accepter les réponses des connections établies, afin que ton PC3 puisse recevoir la réponse).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Je ferais un truc du genre mais j'ai pas utilisé IPTABLE depuis longtemp