Discussion :

[pcouas]

Bonsoir,

Je cherche à interdire les packets provenant du reseau local en 192, sauf si ils proviennent de deux adresses Mac precise, et sauf pour 192.168.0.1 ma freebox, cela est il possible dans la meme instruction ?

Merci d'avance
Phil

[becket]

Pour une seule mac, tu peux faire ceci mais pour deux, je ne pense pas que ce soit possible en une seule commande

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
 iptables -A INPUT  -s 192.168.0.0/24 -m mac ! --mac-source  00:fb:fb:fb:fb:fb -j DROP

[pcouas]

Bonjour

Mon script commence comme ceci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
 
#!/bin/sh
###############################################################################
# NOM: /etc/scripts/iptables_init.sh
# COMMENTAIRE : Utilisation du suivi de connexion (ip_conntrack)
###############################################################################
###############################################################################
# Variables globales
###############################################################################
echo "  + ============== INITIALISATION DES TABLES NETFILTER ==============="
# Parametrage du reseau local (LAN = Local Area Network)
SAMBA=1				; # 1:SAMBA actif / 0:SAMBA inactif pour l'attribution d'IP local
DHCP=1				; # 1:DHCP actif / 0:DHCP inactif pour l'attribution d'IP local
VMWARE=0			; # 1:VmWare actif / 0:VmWare inactif
VMWARE_ETH1=vmnet1		; # Interface reseau virtuelle VmWare 1
VMWARE_LAN_NET1=192.168.218.0/24; # Reseau interne VmWare 1
VMWARE_IP1=192.168.218.1	; # IP Interface reseau virtuelle VmWare 1
VMWARE_BCAST1=192.168.218.255	; # Adresse de broadcast Interface reseau virtuelle VmWare 1
VMWARE_ETH2=vmnet8		; # Interface reseau virtuelle VmWare 2
VMWARE_LAN_NET2=172.16.120.0/24	; # Reseau interne VmWare 2
VMWARE_IP2=172.16.120.1		; # IP Interface reseau virtuelle VmWare 2
VMWARE_BCAST2=172.16.120.255	; # Adresse de broadcast Interface reseau virtuelle VmWare 2
LAN_ETH=eth0			; # Interface reseau interne
LAN_IP=192.168.ZZ.ZZ		; # Adresse reseau interne
LAN_NETWORK=192.168.0.0/24	; # Reseau interne
LAN_BROADCAST=192.168.0.255	; # Adresse de broadcast interne
#
MULE_TCP_PORT=8270		; # Port TCP utilise par *mule
MULE_UDP_PORT=8271		; # Port UDP utilise par *mule
FTP_SRV=0			; # Serveur FTP local 1:actif / 0:inactif
FTP_SRV_PORT=21			; # Port d'ecoute du serveur FTP local
SSH_SRV=1			; # Serveur SSH local 1:actif / 0:inactif
SSH_PORT=xxxxx			; # Port d'ecoute du serveur SSH local
WEB_SRV=1			; # Serveur WEB local 1:actif / 0:inactif
WEB_PORT=80			; # Port d'ecoute du serveur SWEB local
SM_ENV=1
SM_ENV_PORT=25			; # Port envoi sendmail
###############################################################################
### Initialisation des tables
###############################################################################
# Initialise la table Filter (par defaut tout les echanges sont refuses)
echo "  + Initialisation de la table Filter"
iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
 
# Initialise la table NAT (par defaut tout les echanges sont actives)
echo "  + Initialisation de la table NAT"
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING  ACCEPT
iptables -t nat -P OUTPUT	ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
 
# Initialise la table Mangle (par defaut tout les echanges sont actives)
echo "  + Initialisation de la table MANGLE"
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING  ACCEPT
iptables -t mangle -P INPUT       ACCEPT
iptables -t mangle -P FORWARD     ACCEPT
iptables -t mangle -P OUTPUT      ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
 
# Desactivation du NAT (fonction routeur)
echo "  + Desactivation du NAT"
echo 0 > /proc/sys/net/ipv4/ip_forward
 
###############################################################################
### Creation des regles de filtrages 
###############################################################################
# Autorise l'interface loopback à dialoguer avec elle-mem
echo "  + Regles du localhost"
iptables -t filter -A OUTPUT -o lo -p all -j ACCEPT
iptables -t filter -A INPUT -i lo -p all -j ACCEPT
 
# Autorise les connexions avec le reseau LAN connecte à l'interface $LAN_ETH
echo "  + Regles du reseau local ($LAN_ETH - $LAN_IP - $LAN_NETWORK)"
# Connexions firewall <-> reseau
iptables -t filter -A OUTPUT -o $LAN_ETH -s $LAN_IP -d $LAN_NETWORK -m state ! --state INVALID -j ACCEPT
iptables -t filter -A INPUT -i $LAN_ETH -s $LAN_NETWORK -d $LAN_IP -m state ! --state INVALID -j ACCEPT
 
# Connexions firewall <-> broadcast reseau
iptables -t filter -A OUTPUT -o $LAN_ETH -s $LAN_IP -d $LAN_BROADCAST -m state ! --state INVALID -j ACCEPT
iptables -t filter -A INPUT  -i $LAN_ETH -s $LAN_NETWORK -d $LAN_BROADCAST -m state ! --state INVALID -j ACCEPT

Est il donc possible d'inverser la regle ?
D'interdire toutes les adresses mac sur le reseau interne, de garder celle en provenance d'internet via la freebox en SSH. Puis de faire deux lignes ACCEPT de MAC ADRESS ?

Merci d'avance
Philippe

[becket]

Puisque tu as un DEFAULT DROP sur INPUT , je ferais

1 - Dans la table INPUT autorise source 192.168.1.0/24 et mac XXXX
2 - Dans la table INPUT autorise source 192.168.1.0/24 et mac XXXX
3 - Dans la table INPUT autorise sur le port 22 ce qui arrive sur l'interface connectée a la freebox

Le reste passera dans la default policies -> DROP