En effet: si on a une IPSet de type hash:ip,port, il faut utiliser dans la règle iptables, deux flags comme src,dst qui s'interprètent comme suit: src,dst signifie qu'il faut prendre le premier paramètre (ici une adresse IP) en utilisant la Source et le deuxième paramètre (ici un numéro de port) en utilisant la Destination.
il s'agit bien d'un ET entre les deux conditions. Je n'ai pas essayé avec une liste de type hash:net,iface car après réflexion, je préfère n'utiliser que des adresses IP, dans mes règles IPTables mais j'imagine qu'une séquence src,src devrait faire l'affaire (si l'IPSet est construite en cohérence). Merci beaucoup, Jean-Michel, pour ton aide. Le mar. 28 nov. 2023 à 02:31, Jean-Michel OLTRA <jeanmic...@shoponyou.com> a écrit : > > > Bonjour, > > > Le lundi 27 novembre 2023, Olivier a écrit... > > > > ipset create Foo hash:net,iface > > ipset add Foo 192.168.1.0/24,eth1.101 > > .... > > iptables -A FORWARD -m set match-set Foo src,XXX .... > > > > Par quoi remplacer XXX si on veut que la règle s'applique si le paquet > > provient du réseau 192.168.1.0/24 ET/OU de l'interface eth1.101 ? > > As tu essayé src,src ? J'avais des sets bitmap:ip,mac qui fonctionnaient > comme ça. Mais dans ce cas je crois bien que c'est un ET et pas OU. > > -- > jm >
