1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.FRENCH

  • Exemple d'utilisation d'une IPSet de type hash:net,iface dans iptables

    From Olivier@21:1/5 to All on Mon Nov 27 16:20:01 2023
    Hello,

    Comment utiliser (sur Bullseye) une IPSet de type hash:net,iface dans
    une règle iptables ?
    Avez-vous un exemple ?

    ipset create Foo hash:net,iface
    ipset add Foo 192.168.1.0/24,eth1.101
    ....
    iptables -A FORWARD -m set match-set Foo src,XXX ....

    Par quoi remplacer XXX si on veut que la règle s'applique si le paquet provient du réseau 192.168.1.0/24 ET/OU de l'interface eth1.101 ?

    La doc mentionne la possibilité d'avoir jusqu'à 6 flags de type src,
    dst mais je n'ai pas vu d'exemple de flag correspondant au nom de
    l'interface d'entrée.

    Slts

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Olivier@21:1/5 to All on Mon Nov 27 19:00:02 2023
    idem avec une une IPSet de type hash:ip,port

    Le lun. 27 nov. 2023 à 16:19, Olivier <oza.4h07@gmail.com> a écrit :

    Hello,

    Comment utiliser (sur Bullseye) une IPSet de type hash:net,iface dans
    une règle iptables ?
    Avez-vous un exemple ?

    ipset create Foo hash:net,iface
    ipset add Foo 192.168.1.0/24,eth1.101
    ....
    iptables -A FORWARD -m set match-set Foo src,XXX ....

    Par quoi remplacer XXX si on veut que la règle s'applique si le paquet provient du réseau 192.168.1.0/24 ET/OU de l'interface eth1.101 ?

    La doc mentionne la possibilité d'avoir jusqu'à 6 flags de type src,
    dst mais je n'ai pas vu d'exemple de flag correspondant au nom de
    l'interface d'entrée.

    Slts

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Jean-Michel OLTRA@21:1/5 to All on Tue Nov 28 01:20:01 2023
    Bonjour,


    Le lundi 27 novembre 2023, Olivier a écrit...


    ipset create Foo hash:net,iface
    ipset add Foo 192.168.1.0/24,eth1.101
    ....
    iptables -A FORWARD -m set match-set Foo src,XXX ....

    Par quoi remplacer XXX si on veut que la règle s'applique si le paquet provient du réseau 192.168.1.0/24 ET/OU de l'interface eth1.101 ?

    As tu essayé src,src ? J'avais des sets bitmap:ip,mac qui fonctionnaient
    comme ça. Mais dans ce cas je crois bien que c'est un ET et pas OU.

    --
    jm

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Olivier@21:1/5 to All on Tue Nov 28 12:20:01 2023
    En effet:

    si on a une IPSet de type hash:ip,port, il faut utiliser dans la règle iptables, deux flags comme src,dst qui s'interprètent comme suit:
    src,dst signifie qu'il faut prendre le premier paramètre (ici une
    adresse IP) en utilisant la Source et le deuxième paramètre (ici un
    numéro de port) en utilisant la Destination.

    il s'agit bien d'un ET entre les deux conditions.

    Je n'ai pas essayé avec une liste de type hash:net,iface car après réflexion, je préfère n'utiliser que des adresses IP, dans mes règles IPTables mais j'imagine qu'une séquence src,src devrait faire
    l'affaire (si l'IPSet est construite en cohérence).

    Merci beaucoup, Jean-Michel, pour ton aide.

    Le mar. 28 nov. 2023 à 02:31, Jean-Michel OLTRA
    <jeanmichel@shoponyou.com> a écrit :


    Bonjour,


    Le lundi 27 novembre 2023, Olivier a écrit...


    ipset create Foo hash:net,iface
    ipset add Foo 192.168.1.0/24,eth1.101
    ....
    iptables -A FORWARD -m set match-set Foo src,XXX ....

    Par quoi remplacer XXX si on veut que la règle s'applique si le paquet provient du réseau 192.168.1.0/24 ET/OU de l'interface eth1.101 ?

    As tu essayé src,src ? J'avais des sets bitmap:ip,mac qui fonctionnaient comme ça. Mais dans ce cas je crois bien que c'est un ET et pas OU.

    --
    jm


    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)