Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
(Résolu)[UFW Firewall] Bloquage de plage d'ip dans lan
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
hackensolo
n00b
n00b


Joined: 23 Oct 2016
Posts: 22
Location: Bruxelles

PostPosted: Mon Nov 28, 2016 2:36 pm    Post subject: (Résolu)[UFW Firewall] Bloquage de plage d'ip dans lan Reply with quote

Bonjour,
j'utilise ma Gentoo comme serveur firewall et je souhaiterais bloquer une plage d'ip sur le port 8000
Je ne suis pas un spécialiste réseau et je ne suis pas spécialiste tout court.
Si quelqu'un à de solide base réseau pour me dépanner je suis à l'écoute.

On m'a soumis un problème mais je suis certain que parmi vous ça ne devrait pas être un problème.
Le voici :

je dois bloquer la plage d'adresse IP de 172.17.17.1 à 17.17.17.18 sur le port 8000 avec ufw mais laisser passer tous les autres 172.17.17.25...172.17.17.26....etc voici ma règle qui ne marche pas:
Code:
ufw deny from 172.17.17.1/24-172.17.17.18/24 to any port 8000/tcp


Si quelqu'un a la solution...


Last edited by hackensolo on Tue Nov 29, 2016 6:19 am; edited 3 times in total
Back to top
View user's profile Send private message
El_Goretto
Moderator
Moderator


Joined: 29 May 2004
Posts: 3088
Location: Paris

PostPosted: Mon Nov 28, 2016 3:35 pm    Post subject: Reply with quote

Je ne connais pas le détail de la syntaxe UFW, mais j'ai peut être une piste :)
"172.17.17.1/24-172.17.17.18/24" n'est sûrement pas valide, car 172.17.17.1/24 correspond à tout le sous-réseau 172.17.17.0/24, tout comme 172.17.17.18/24 en fait.
Si UFW accepte des "ranges" d'@IP, il faut probablement faire sauter la taille du masque de sous-réseau et faire quelque chose du genre 172.17.17.1-172.17.17.18.

A toi de jouer ;)
_________________
-Gentoo hardened [EoL]: µ-serv Gen8 G1610T, 8Go ECC ; NF9D-2700, 4Go
-FreeBSD 11/Vimage/Jails: DS61, i3 2100T, 16Go ; FreeNAS: µ-serv N40L, 8Go ECC
-Réseau: ERL-3 + ESL-24 + GS108Tv2
-NAS: RN312
Back to top
View user's profile Send private message
guitou
Guru
Guru


Joined: 02 Oct 2003
Posts: 395
Location: France

PostPosted: Mon Nov 28, 2016 4:56 pm    Post subject: Reply with quote

Hello

Avec une recherche rapide sur le net, j'ai l'impression que tu n'as que les netmasks pour definir des IP ranges (voir ici).
Donc a priori pour resoudre ton probleme, il faut a mon avis faire 3 regles
une avec 172.17.17.1//28
et deux clones avec les IP 172.17.17.17 et 172.17.17.18

Sinon, ca vaut peut-etre le coup de tester si les shell expansions fonctionnent: une regle avec 172.17.17.{1..18}

++
Gi)
Back to top
View user's profile Send private message
hackensolo
n00b
n00b


Joined: 23 Oct 2016
Posts: 22
Location: Bruxelles

PostPosted: Tue Nov 29, 2016 6:18 am    Post subject: Reply with quote

Merci pour l'aide.
Je crois que j'ai trouvé l'erreur immonde que je faisais.
j'ai mi une règle allow avant une deny et ça laissais passé évidemment.

Je poste les règles :
En plus du firewall, j'ai Squid sur le serveur donc :

Code:
ufw allow 8000
ufw insert 1 deny from 172.17.17.0/24


ça laisse passer tous les utilisateurs du réseau sauf ceux dont le réseau est indiqué.

Réglé.
Back to top
View user's profile Send private message
El_Goretto
Moderator
Moderator


Joined: 29 May 2004
Posts: 3088
Location: Paris

PostPosted: Tue Nov 29, 2016 12:39 pm    Post subject: Reply with quote

Ce qui n'est absolument pas ce que tu disais vouloir faire dans le premier post... Mais bon, "c'est vous qui voyez" :)
_________________
-Gentoo hardened [EoL]: µ-serv Gen8 G1610T, 8Go ECC ; NF9D-2700, 4Go
-FreeBSD 11/Vimage/Jails: DS61, i3 2100T, 16Go ; FreeNAS: µ-serv N40L, 8Go ECC
-Réseau: ERL-3 + ESL-24 + GS108Tv2
-NAS: RN312
Back to top
View user's profile Send private message
hackensolo
n00b
n00b


Joined: 23 Oct 2016
Posts: 22
Location: Bruxelles

PostPosted: Tue Nov 29, 2016 2:19 pm    Post subject: Reply with quote

El_Goretto wrote:
Ce qui n'est absolument pas ce que tu disais vouloir faire dans le premier post... Mais bon, "c'est vous qui voyez" :)

Exact ! mais en faisant des tests je me suis rendu compte que la demande formulée dans le premier post était trop permissive et la configuration du second post me convient mieux.
Le premier post n'était pas vraiment ce que je souhaitais faire, mais les quelques réponses que j'ai eue, m'on aidé à y réfléchir et au final trouver une solution plus adaptée.
Encore merci !
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum