giggz a écrit : > Le 10/09/2010 20:11, Pascal Hambourg a écrit : > >> eth0:2 n'est pas une interface mais un alias IP, une façon obsolète >> d'affecter une adresse IP supplémentaire à l'interface eth0. > > oui. d'ailleurs je suppose que je ne peux pas faire: > -A Firewall-1-INPUT -i eth0:2 -s 192.168.200.0/255.255.255.0 -j ACCEPT non ?
Tu peux, même si iptables affiche un avertissement. Mais ça ne fera pas ce que tu attends. Cette règle n'accrochera jamais aucun paquet puisque l'interface eth0:2 n'existe pas. >>> :Firewall-1-INPUT - [0:0] >> Cette chaîne est inutile, tout ce qu'elle contient peut être mis dans INPUT. > > mais via cette chaine je traite INPUT et FORWARD en même temps, non ? Justement, il y a de forte chances que les besoins de filtrage dans INPUT et FORWARD soient très différents. Seules les règles communes sont susceptibles d'être factorisées dans une chaîne utilisateur. >>> -A INPUT -i eth1 -s 240.0.0.0/4 -j DROP >> Ah, voilà la bonne longueur de préfixe. >> >>> -A INPUT -i eth1 -s 255.255.255.255/32 -j DROP >> Déjà inclus dans le préfixe précédent. > > donc à virer ? Oui, cette règle n'accrochera aucun paquet puisque tous les paquets qu'elle pourrait accrocher auront déjà été bloqués par la règle précédente plus large. >>> -A INPUT -i eth1 -s 168.254.0.0/16 -j DROP >> Pourquoi, tu as quelque chose contre les écoles publiques du comté de >> Hillsborough en Floride ? > > ben je les aime po :p C'est toi qui vois. > ok. mais qu'est ce que je met qd c'est un alias ? dans mon cas eth0:2, > je met eth0 ? Oui. iptables ne connaît que les interfaces et les adresses, pas les alias. > c'est encore un reste. j'ai tenté de logguer mais il y a tellement de > tentative...que je me suis retrouvé avec un fichier message de 10 mo en > 30 minutes...donc encore un reste. Trop de log tue le log... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers [email protected] En cas de soucis, contactez EN ANGLAIS [email protected] Archive: http://lists.debian.org/[email protected]
