Iptables Bloquer IP locale d'un autre serveur. [Résolu/Fermé]

Signaler
-
 Iceskunk -
Bonjour,

J'aimerais savoir si c'est possible de bloquer certaine adresse locale d'un ip distant ?
Exemple : Mon serveur web doit être accessible que part certaine personne d'un serveur d'une autre compagnie.

Je veux pas que les adresse ip de 192.168.1.1 à 192.168.1.255 du serveur 204.111.222.33 aient
accès au site internet.

$IPT -A INPUT -d 192.168.1.0/24 -s 204.111.222.33 -j ACCEPT

Ma ligne ne fonctionne pas...

Et je n'ai pas envie de compliqué la chose avec un VPN, puisque je veux
que le site reste facile d'accès pour tout le reste de la compagnie.

Est-ce possible ?

Serveur Debian 8
Apache2
PHP5
MYSQL

1 réponse

Messages postés
29267
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
30 juillet 2020
6 899
Oui c'est possible mais il faut que tu écrives la commande iptables qui rejète les paquets dont l'ip source est dans le préfixe du réseau local.

Mais généralement la philosophie c'est plutôt dire ce qu'on autorise, puis rejeter tout le reste. C'est l'approche adoptée ici :
https://doc.ubuntu-fr.org/iptables#configuration_du_pare-feu

En fait supposons que ce soit disons un serveur web, il serait plus logique d'autoriser le trafic venant de l'autre compagnie sur ce port, (ainsi que les autres trafics entrants autorisés) puis de jeter tout le reste.

Bonne chance
Messages postés
542
Date d'inscription
mercredi 9 mars 2016
Statut
Membre
Dernière intervention
8 mars 2018
85
Mais l'hôte distant (192.168.1.1 à 192 .168.1.254) communique avec l'exterieur via son routeur (204.111.222.33) qui fait du NAT, donc l'adresse en 192.x.x.x ne traverse pas ce routeur. À moins que j'ai loupé un truc, il n'est pas possible de bloquer une adresse privée située sous un autre réseau à l'aide d'iptables
>
Messages postés
542
Date d'inscription
mercredi 9 mars 2016
Statut
Membre
Dernière intervention
8 mars 2018

C'est ce que je pensais aussi, alors il n'y a rien a faire ? La seule solution que je peux faire est de mettre un htaccess sur la partie du site réservé à la compagnie #2 pour qu'il ne soit pas accessible à n'importe qui...
Messages postés
542
Date d'inscription
mercredi 9 mars 2016
Statut
Membre
Dernière intervention
8 mars 2018
85
Oui, il faut un système d'authentification
Ou alors configurer le pare-feu de l'autre côté pour ne pas laisser sortir certaines les connexions venant de la plage d'adresses concernée
C'est vrai !! Je vais demander à l'administrateur réseau de la 2e compagnie de bloquer une plage d'ip locale de son réseau pour l'ip de mon serveur ! Je n'y avait pas pensé !!

Merci