[iptables] comment faire du filtrage sur igmp
Fermé
nacer56
Messages postés
6
Date d'inscription
mardi 25 avril 2006
Statut
Membre
Dernière intervention
18 mai 2006
-
2 mai 2006 à 14:33
nacer56 - 3 mai 2006 à 14:00
nacer56 - 3 mai 2006 à 14:00
4 réponses
lami20j
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 569
2 mai 2006 à 21:05
2 mai 2006 à 21:05
Salut,
je crois que tu parles de icmp (Internet Control Message Protocol)
je crois que tu parles de icmp (Internet Control Message Protocol)
iptables -A INPUT -s 192.168.16.1 -p icmp -j DROPlami20j
kilian
Messages postés
8731
Date d'inscription
vendredi 19 septembre 2003
Statut
Modérateur
Dernière intervention
20 août 2016
1 527
2 mai 2006 à 21:15
2 mai 2006 à 21:15
Non, je crois bien qu'il parle de igmp (protocole lié au multicast par exemple).
Mais je ne sais pas pourquoi ça ne filtre pas l'igmp.
Au pire tu peux filtrer éventuellement les paquets en provenance ou a destination d'ip situées entre 224.0.0.0 et 239.255.255.255 (ip de multicast). Mais là ce n'est pas seulement l'igmp que tu va filtrer mais aussi tous les paquets de multicast...
Je suis sûr qu'il y a de la doc pour iptables et l'igmp quelque part...
Mais je ne sais pas pourquoi ça ne filtre pas l'igmp.
Au pire tu peux filtrer éventuellement les paquets en provenance ou a destination d'ip situées entre 224.0.0.0 et 239.255.255.255 (ip de multicast). Mais là ce n'est pas seulement l'igmp que tu va filtrer mais aussi tous les paquets de multicast...
Je suis sûr qu'il y a de la doc pour iptables et l'igmp quelque part...
lami20j
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 569
2 mai 2006 à 21:22
2 mai 2006 à 21:22
Salut,
je n'ai rien dit.
lami20j
je n'ai rien dit.
lami20j
kilian
Messages postés
8731
Date d'inscription
vendredi 19 septembre 2003
Statut
Modérateur
Dernière intervention
20 août 2016
1 527
2 mai 2006 à 21:30
2 mai 2006 à 21:30
je n'ai rien dit.
Ben attend, c'est peut être moi qui me suis trompé :-)
Sinon, pour l'igmp:
On trouve pourtant bien des scripts iptables qui font référence au protocole igmp:
http://lug.ncsu.edu/lectures/firewall/iptables.sh.txt
Par exemple, dans ce fichier:
2 remplace igmp, car on peut utiliser, à la place du nom du protocole, le numero correspondant à ce protocole dans /etc/protocols.
Mais à priori, igmp ou 2, ça revient au même.
Essaie plutôt de logger tout paquet igmp sans spécifier de source pour voir ce que ça donne dans /var/log/syslog:
Ben attend, c'est peut être moi qui me suis trompé :-)
Sinon, pour l'igmp:
On trouve pourtant bien des scripts iptables qui font référence au protocole igmp:
http://lug.ncsu.edu/lectures/firewall/iptables.sh.txt
Par exemple, dans ce fichier:
iptables -A INPUT -i eth0 -p 2 -j DROP
2 remplace igmp, car on peut utiliser, à la place du nom du protocole, le numero correspondant à ce protocole dans /etc/protocols.
Mais à priori, igmp ou 2, ça revient au même.
Essaie plutôt de logger tout paquet igmp sans spécifier de source pour voir ce que ça donne dans /var/log/syslog:
iptables -A INPUT -p igmp -j LOG --log-level info --log-prefix "IGMP: "
salut,
merci beaucoup pour vos réponses,
en faites j'ai essayé tous ces filtres et mon pimd (comme je l'ai dis le demon de routage multicast) recevait toujours les messages igmp et il les traitait,
le problème c'est qu'on ne sait pas exactement à quel niveau agit le pimd, et apparemment, d'aprés les tests que j'ai fait, c'était avant l'application des filtres d'iptables,
Du coup, il faillait agir juste à la réception du message,
j'ai essayé ça :
# iptables –t mangle –A PREROUTING –p ping –j DROP
et ça a marché,
voilà, merci à tous
merci beaucoup pour vos réponses,
en faites j'ai essayé tous ces filtres et mon pimd (comme je l'ai dis le demon de routage multicast) recevait toujours les messages igmp et il les traitait,
le problème c'est qu'on ne sait pas exactement à quel niveau agit le pimd, et apparemment, d'aprés les tests que j'ai fait, c'était avant l'application des filtres d'iptables,
Du coup, il faillait agir juste à la réception du message,
j'ai essayé ça :
# iptables –t mangle –A PREROUTING –p ping –j DROP
et ça a marché,
voilà, merci à tous