Restreindre une IP Local Iptables par MaximeCare - page 1

Bonjour,

Je me situe au niveau d'un routeur/firewall a l'entrée d'un réseau.

Mon but est de restreindre un ordinateur en particulier par exemple;

Je veux que l'adresse locale 192.168.42.34 n'ait plus accès au port HTTPS (ports 443), mais tout ce que j'ai entrepri jusqu'a présent s'est soldé par un echec, j'ai essayé :

sudo iptables -A FORWARD -p tcp -s 192.168.42.34 --dport 443 -j REJECT

sudo iptables -A FORWARD -p tcp -s 192.168.42.34 --dport 443 -j DROP

sudo iptables -A FORWARD -p tcp -d 192.168.42.34 --dport 443 -j REJECT

sudo iptables -A FORWARD -p tcp -d 192.168.42.34 --dport 443 -j DROP

(j'ai même essayé sur INPUT et OUTPUT au cas ou...)

sudo iptables -A FORWARD -m mac --mac-source b8:ae:ed:**:**:** -p tcp --dport 443 -j REJECT
sudo iptables -A FORWARD -m mac --mac-source b8:ae:ed:**:**:** -p tcp --dport 443 -j DROP

(en essayant d'utiliser l'adresse mac, j'ai d'ailleurs remarquer que sur certain topic on donne la même commande avec -destination, mais iptables ne l'accepte plus...)

Je suis même allé jusqu'a tenter de bloquer tout de cette adresse :

sudo iptables -A FORWARD -d 192.168.42.34 -j REJECT
sudo iptables -A FORWARD -d 192.168.42.34 -j DROP
sudo iptables -A FORWARD -s 192.168.42.34 -j REJECT
sudo iptables -A FORWARD -s 192.168.42.34 -j DROP

Merci de votre aide!

Les l'etat avant la connection en HTTPS

Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
116 31871 ACCEPT     all -- *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
   39 2353 ACCEPT     all -- lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     icmp -- *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    0     0 ACCEPT     udp -- *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:20:21
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:110
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143

Chain FORWARD (policy DROP 2 packets, 128 bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all -- *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     all -- *      lo      0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    0     0 ACCEPT     udp -- *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:20:21
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:110
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143
    0     0 REJECT     tcp -- *      *       192.168.42.34        0.0.0.0/0            tcp dpt:443 reject-with icmp-port-unreachable
    0     0 DROP       tcp -- *      *       192.168.42.34        0.0.0.0/0            tcp dpt:443
    0     0 REJECT     tcp -- *      *       0.0.0.0/0            192.168.42.34        tcp dpt:443 reject-with icmp-port-unreachable
    0     0 DROP       tcp -- *      *       0.0.0.0/0            192.168.42.34        tcp dpt:443
    0     0 REJECT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            MAC B8:AE:ED:72:AC:3B tcp dpt:443 reject-with icmp-port-unreachable
    0     0 DROP       tcp -- *      *       0.0.0.0/0            0.0.0.0/0            MAC B8:AE:ED:72:AC:3B tcp dpt:443
    0     0 REJECT     all -- *      *       0.0.0.0/0            192.168.42.34        reject-with icmp-port-unreachable
    0     0 DROP       all -- *      *       0.0.0.0/0            192.168.42.34
    0     0 REJECT     all -- *      *       192.168.42.34        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 DROP       all -- *      *       192.168.42.34        0.0.0.0/0

Chain OUTPUT (policy DROP 2 packets, 146 bytes)
pkts bytes target     prot opt in     out     source               destination
   66 5056 ACCEPT     all -- *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
   39 2353 ACCEPT     all -- *      lo      0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     icmp -- *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    1    60 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
   45 3140 ACCEPT     udp -- *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:20:21
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:110
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143
    4   304 ACCEPT     udp -- *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:123

____________________________________________________________________________________________________________

l'etat après la connection en https

Chain INPUT (policy DROP 32 packets, 3201 bytes)
pkts bytes target     prot opt in     out     source               destination
5127 4096K ACCEPT     all -- *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
474 30152 ACCEPT     all -- lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     icmp -- *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    0     0 ACCEPT     udp -- *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:20:21
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:110
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143

Chain FORWARD (policy DROP 170 packets, 10460 bytes)
pkts bytes target     prot opt in     out     source               destination
862 696K ACCEPT     all -- *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     all -- *      lo      0.0.0.0/0            0.0.0.0/0
   21 1337 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    4   240 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
   62 4009 ACCEPT     udp -- *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:20:21
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:110
   20 1280 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143
    0     0 REJECT     tcp -- *      *       192.168.42.34        0.0.0.0/0            tcp dpt:443 reject-with icmp-port-unreachable
    0     0 DROP       tcp -- *      *       192.168.42.34        0.0.0.0/0            tcp dpt:443
    0     0 REJECT     tcp -- *      *       0.0.0.0/0            192.168.42.34        tcp dpt:443 reject-with icmp-port-unreachable
    0     0 DROP       tcp -- *      *       0.0.0.0/0            192.168.42.34        tcp dpt:443
    0     0 REJECT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            MAC B8:AE:ED:72:AC:3B tcp dpt:443 reject-with icmp-port-unreachable
    0     0 DROP       tcp -- *      *       0.0.0.0/0            0.0.0.0/0            MAC B8:AE:ED:72:AC:3B tcp dpt:443
    0     0 REJECT     all -- *      *       0.0.0.0/0            192.168.42.34        reject-with icmp-port-unreachable
    0     0 DROP       all -- *      *       0.0.0.0/0            192.168.42.34
    0     0 REJECT     all -- *      *       192.168.42.34        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 DROP       all -- *      *       192.168.42.34        0.0.0.0/0

Chain OUTPUT (policy DROP 10 packets, 730 bytes)
pkts bytes target     prot opt in     out     source               destination
4902 1529K ACCEPT     all -- *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
474 30152 ACCEPT     all -- *      lo      0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     icmp -- *      *       0.0.0.0/0            0.0.0.0/0
238 14280 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
   74 4440 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
482 31081 ACCEPT     udp -- *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:20:21
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:110
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143
    4   304 ACCEPT     udp -- *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:123

(Je n'est pas compris l'utilité donc j'ai peut être pas compris la demmande)

Utilisé le -i et le -o pourrais faire bugger les régles?

-
Edité par MaximeCare 12 octobre 2016 à 10:32:39

MaximeCare

11 octobre 2016 à 15:18:59

elalitte

11 octobre 2016 à 17:35:29

Si tu utilises FORWARD, tu es censé utiliser aussi -i et -o pour préciser les interfaces, ce qui donne le sens d'une connexion.

A priori tes règles sont censées le bloquer, peux-tu les mettre en place, faire un iptables -L -n -v, puis tester le HTTPS depuis la machine, et nous refaire un iptables -L -n -v, et nous donner les deux résultats ?

Ca nous permettra de voir quelles règles sont matchées et où passent ses paquets.

Eric Lalitte, Directeur d'IN'TECH Grand Dax - "Cours TCP/IP" - "La suite du cours TCP/IP" - Mon site, www.lalitte.com - Mailforkids.net, le site de messagerie protégé pour les enfants - La page Facebook d'IN'TECH

12 octobre 2016 à 10:20:57

12 octobre 2016 à 10:33:42

Ben ça semble assez clair, tu as des règles qui acceptent le HTTP et HTTPS avant tes règles qui les bloquent pour ton IP, donc ils sont acceptés.

On voit bien que tes paquets passent dans les règles ACCEPT.

Mets tes règles de blocage avant et ça devrait être bon.

L'ordre des règles dans iptables est hyper important !

12 octobre 2016 à 11:31:44

Merci beaucoup, je ne savais absolument pas que l'ordre était important en fait ...

12 octobre 2016 à 11:40:29

En fait c'est primordial.

Les règles sont parcourues dans l'ordre et dès qu'une règle matche on s'arrête et on applique l'action. Les règles suivantes ne sont même par regardées.

Donc si tu as une règle qui correspond à un paquet et qui le laisse passer, tout ce que tu pourras mettre ensuite qui caractérise le même paquet mais qui bloque ne sera jamais utilisé.

12 octobre 2016 à 13:35:24

Ah oui, tout s'éclairci! Du coup on doit mettre les règles précises en premier et les règles globales sur la fin ?

12 octobre 2016 à 14:07:38

C'est plus compliqué que ça car il peut aussi y avoir une problématique de performance du firewall, mais globalement oui.

12 octobre 2016 à 14:51:39

Merci beaucoup alors, j'ai règlé mon problème !

Merci encore une fois Elalitte!

Restreindre une IP Local Iptables

Restreindre une IP Local Iptables

Supprimer

Modérer

Signaler le message aux modérateurs