Discussion :

[byloute]

Bonjour,

J'ai monté un serveur "wmaker" pour accèder à la DMZ.
Je souhaite le sécuriser ainsi:
- Seul les connexions SSH sont autorisées pour accèder à ce serveur.
- Refuser l'accès à ce serveur pour un poste (10.0.0.1).

J'ai fait:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
là ça marche!

Mais lorsque je veux ajouter le refus d'accès pour un poste avec :
iptables -A INPUT -s 10.0.0.1 -j DROP

La commande passe, mais le "iptables -L" bloque sur ma première règle.(et le drop ne fonctionne pas)

Savez vous pourquoi ?

Merci à tous...

Laurent

[ovh]

Normal, iptables applique les règles séquentiellement, dans l'ordre où tu les as écrit. Donc, si 10.0.0.1 essaie de se connecter en ssh, la première règle est vérifiée (connexion tcp à destination du port 22), donc appliquée, et la machine peut se connecter... Mets donc cette règle en premier

[baali_hacene]

Bonjour,
si j'ai bien compri il y a qu'un seul client 10.0.0.1 qui est interdit de se connecter.
je suis newbi, et moi je préfére de mettre 10.0.0.1 dans les @ip deny,
dans le fichier .deny???
c'est plus facile je croi

[byloute]

Effectivement OVH, merci.

Par contre, pour autoriser un poste (quelque soit le port) je fais :
iptables -P INPUT DROP
iptables -A INPUT -s 10.0.0.1 -j ACCEPT

ça ne fonctionne pas, le "DROP" ne doit-il pas être appliquer uniquement si la règle n'est pas concernée par le contenu de la partie "INPUT" ?

Merci