Discussion :

[habib_ensi]

Bonjour,
Je veux anuuler le trafic http entrant vers ma machine avec iptables mais le trafic n'est pas bloqué, ets ce que quelqu'un connait le problème.
Voici la commande iptables:
iptables -A INPUT -p tcp -i eth0 --dport 80 -j DROP
merci.

[lavazavio]

Bonjour,

Est ce que ta règle a bien été prise en compte ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

# iptables -L

Si tu veux que tes règles soient appliquées après redémarrage, il ne faut pas oublier de les executer via /etc/rc.local.

[Djef-69]

Bonjour,

tu peut peut être rajouter une règle en log pour savoir si elle est prise en compte

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
iptables -A INPUT -p tcp -i eth0 --dport 80 -j LOG --log-prefix '[TEST DROP 80 IPTABLE]'
iptables -A INPUT -p tcp -i eth0 --dport 80 -j DROP

tu charge ton script tu fait un test de connexion à ton pc depuis l'exterieur et tu vas jeter un coup d'oeil dans les logs pour voir si tu retrouves des traces de tes logs, si tu n'as toujours rien va falloir chercher si tu n'aurais pas une régle qui autorise un traffic entrant du réseau local par exemple (faudrais que tu nous donne un peu plus de précision sur ta configuration réseau, comment tu teste ton blocage du traffic entrant???, ou même montre nous le script que t'utilise ça aiderais a y voir plus clair)

Pourquoi tu veux bloquer spécifiquement? autrement tu peux fonctionner dans l'autre sens tu mets les règles par défaut à DROP

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP	
$IPTABLES -P FORWARD DROP

et tu n'autorise uniquement ce que tu veux, si tu veux avoir une trace de ce qui sera bloqué tu rajoute en dernère régles lors de la définition de tes tables un truc du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
## la tu met l'ensemble de tes règles INPUT
iptables -A INPUT -i $INET_IFACE -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix ' [IPTABLE :IPT NCORRSP INPUT ] : '
 
## apres tu mets tes règles de OUpUT etc....

ça te permet d'avoir dans un sens un script plus lisible, en tout cas déchargé d'un certains nombres de règles de blocage

ps : pour charger un script automatiquement tu as aussi la possibilité de rattacher le dit script à une interface réseau par le biais du fichier /etc/network/interfaces en rajoutant une directive "pre-up" ce qui te chargera automatiquement le script du parefeu à l'activation de ta carte (ou à la désactivation), par exemple : (je te donne un exemple sur une ip fixe mais ça marche aussi en dhcp)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
auto eth0
iface eth0 inet static
        address 192.168.0.2
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        pre-up /chemin/vers/mon/script/firewal.sh
        post-down /chemin/vers/mon/script/desactivationDeMaCarteReseau.sh

bon j'avais commencé en voulant faire court et je me suis un peu étendu, je ne sais pas si tu vas trouver ton bonheur dans tout ça mais j'espère t'avoir été utile!!!!, autrement fait une recherche sur "didacticiel iptables" tu vas surement trouver un pdf de 200 pages qui vas te paraitre imbuvable mais c'est une mine d'informations plus qu'utile, autrement fait un post !