Re: Exemple d'utilisation d'une IPSet de type hash:net,iface dans iptables [RESOLU]
En effet: si on a une IPSet de type hash:ip,port, il faut utiliser dans la règle iptables, deux flags comme src,dst qui s'interprètent comme suit: src,dst signifie qu'il faut prendre le premier paramètre (ici une adresse IP) en utilisant la Source et le deuxième paramètre (ici un numéro de port) en utilisant la Destination. il s'agit bien d'un ET entre les deux conditions. Je n'ai pas essayé avec une liste de type hash:net,iface car après réflexion, je préfère n'utiliser que des adresses IP, dans mes règles IPTables mais j'imagine qu'une séquence src,src devrait faire l'affaire (si l'IPSet est construite en cohérence). Merci beaucoup, Jean-Michel, pour ton aide. Le mar. 28 nov. 2023 à 02:31, Jean-Michel OLTRA a écrit : > > > Bonjour, > > > Le lundi 27 novembre 2023, Olivier a écrit... > > > > ipset create Foo hash:net,iface > > ipset add Foo 192.168.1.0/24,eth1.101 > > > > iptables -A FORWARD -m set match-set Foo src,XXX > > > > Par quoi remplacer XXX si on veut que la règle s'applique si le paquet > > provient du réseau 192.168.1.0/24 ET/OU de l'interface eth1.101 ? > > As tu essayé src,src ? J'avais des sets bitmap:ip,mac qui fonctionnaient > comme ça. Mais dans ce cas je crois bien que c'est un ET et pas OU. > > -- > jm >
Re: Exemple d'utilisation d'une IPSet de type hash:net,iface dans iptables
Bonjour, Le lundi 27 novembre 2023, Olivier a écrit... > ipset create Foo hash:net,iface > ipset add Foo 192.168.1.0/24,eth1.101 > > iptables -A FORWARD -m set match-set Foo src,XXX > > Par quoi remplacer XXX si on veut que la règle s'applique si le paquet > provient du réseau 192.168.1.0/24 ET/OU de l'interface eth1.101 ? As tu essayé src,src ? J'avais des sets bitmap:ip,mac qui fonctionnaient comme ça. Mais dans ce cas je crois bien que c'est un ET et pas OU. -- jm
Re: Exemple d'utilisation d'une IPSet de type hash:net,iface dans iptables
idem avec une une IPSet de type hash:ip,port Le lun. 27 nov. 2023 à 16:19, Olivier a écrit : > > Hello, > > Comment utiliser (sur Bullseye) une IPSet de type hash:net,iface dans > une règle iptables ? > Avez-vous un exemple ? > > ipset create Foo hash:net,iface > ipset add Foo 192.168.1.0/24,eth1.101 > > iptables -A FORWARD -m set match-set Foo src,XXX > > Par quoi remplacer XXX si on veut que la règle s'applique si le paquet > provient du réseau 192.168.1.0/24 ET/OU de l'interface eth1.101 ? > > La doc mentionne la possibilité d'avoir jusqu'à 6 flags de type src, > dst mais je n'ai pas vu d'exemple de flag correspondant au nom de > l'interface d'entrée. > > Slts
Exemple d'utilisation d'une IPSet de type hash:net,iface dans iptables
Hello, Comment utiliser (sur Bullseye) une IPSet de type hash:net,iface dans une règle iptables ? Avez-vous un exemple ? ipset create Foo hash:net,iface ipset add Foo 192.168.1.0/24,eth1.101 iptables -A FORWARD -m set match-set Foo src,XXX Par quoi remplacer XXX si on veut que la règle s'applique si le paquet provient du réseau 192.168.1.0/24 ET/OU de l'interface eth1.101 ? La doc mentionne la possibilité d'avoir jusqu'à 6 flags de type src, dst mais je n'ai pas vu d'exemple de flag correspondant au nom de l'interface d'entrée. Slts