View previous topic :: View next topic |
Author |
Message |
hackensolo n00b
Joined: 23 Oct 2016 Posts: 22 Location: Bruxelles
|
Posted: Mon Nov 28, 2016 2:36 pm Post subject: (Résolu)[UFW Firewall] Bloquage de plage d'ip dans lan |
|
|
Bonjour,
j'utilise ma Gentoo comme serveur firewall et je souhaiterais bloquer une plage d'ip sur le port 8000
Je ne suis pas un spécialiste réseau et je ne suis pas spécialiste tout court.
Si quelqu'un à de solide base réseau pour me dépanner je suis à l'écoute.
On m'a soumis un problème mais je suis certain que parmi vous ça ne devrait pas être un problème.
Le voici :
je dois bloquer la plage d'adresse IP de 172.17.17.1 à 17.17.17.18 sur le port 8000 avec ufw mais laisser passer tous les autres 172.17.17.25...172.17.17.26....etc voici ma règle qui ne marche pas:
Code: | ufw deny from 172.17.17.1/24-172.17.17.18/24 to any port 8000/tcp |
Si quelqu'un a la solution...
Last edited by hackensolo on Tue Nov 29, 2016 6:19 am; edited 3 times in total |
|
Back to top |
|
|
El_Goretto Moderator
Joined: 29 May 2004 Posts: 3169 Location: Paris
|
Posted: Mon Nov 28, 2016 3:35 pm Post subject: |
|
|
Je ne connais pas le détail de la syntaxe UFW, mais j'ai peut être une piste
"172.17.17.1/24-172.17.17.18/24" n'est sûrement pas valide, car 172.17.17.1/24 correspond à tout le sous-réseau 172.17.17.0/24, tout comme 172.17.17.18/24 en fait.
Si UFW accepte des "ranges" d'@IP, il faut probablement faire sauter la taille du masque de sous-réseau et faire quelque chose du genre 172.17.17.1-172.17.17.18.
A toi de jouer _________________ -TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT) |
|
Back to top |
|
|
guitou Guru
Joined: 02 Oct 2003 Posts: 534 Location: France
|
Posted: Mon Nov 28, 2016 4:56 pm Post subject: |
|
|
Hello
Avec une recherche rapide sur le net, j'ai l'impression que tu n'as que les netmasks pour definir des IP ranges (voir ici).
Donc a priori pour resoudre ton probleme, il faut a mon avis faire 3 regles
une avec 172.17.17.1//28
et deux clones avec les IP 172.17.17.17 et 172.17.17.18
Sinon, ca vaut peut-etre le coup de tester si les shell expansions fonctionnent: une regle avec 172.17.17.{1..18}
++
Gi) |
|
Back to top |
|
|
hackensolo n00b
Joined: 23 Oct 2016 Posts: 22 Location: Bruxelles
|
Posted: Tue Nov 29, 2016 6:18 am Post subject: |
|
|
Merci pour l'aide.
Je crois que j'ai trouvé l'erreur immonde que je faisais.
j'ai mi une règle allow avant une deny et ça laissais passé évidemment.
Je poste les règles :
En plus du firewall, j'ai Squid sur le serveur donc :
Code: | ufw allow 8000
ufw insert 1 deny from 172.17.17.0/24 |
ça laisse passer tous les utilisateurs du réseau sauf ceux dont le réseau est indiqué.
Réglé. |
|
Back to top |
|
|
El_Goretto Moderator
Joined: 29 May 2004 Posts: 3169 Location: Paris
|
Posted: Tue Nov 29, 2016 12:39 pm Post subject: |
|
|
Ce qui n'est absolument pas ce que tu disais vouloir faire dans le premier post... Mais bon, "c'est vous qui voyez" _________________ -TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT) |
|
Back to top |
|
|
hackensolo n00b
Joined: 23 Oct 2016 Posts: 22 Location: Bruxelles
|
Posted: Tue Nov 29, 2016 2:19 pm Post subject: |
|
|
El_Goretto wrote: | Ce qui n'est absolument pas ce que tu disais vouloir faire dans le premier post... Mais bon, "c'est vous qui voyez" |
Exact ! mais en faisant des tests je me suis rendu compte que la demande formulée dans le premier post était trop permissive et la configuration du second post me convient mieux.
Le premier post n'était pas vraiment ce que je souhaitais faire, mais les quelques réponses que j'ai eue, m'on aidé à y réfléchir et au final trouver une solution plus adaptée.
Encore merci ! |
|
Back to top |
|
|
|