Bonjour à tous !
 
          Je cherche à bloquer les adresses du type https://myip:3000/ et https://myip:3001/ "entrant" sur l'interface eth2, donc j'ai mis au point ces règles:
 

 
Mais ça ne fonctionne pas et je ne vois pas pourquoi ! ou est le problème ?
 
Merci d'avance !
RedVivi

 
Sérieux, tu ne vois pas où est le problème ?

Tu prends le problème à l'envers. Le plus simple et le plus sur quand tu configures un firewall, c'est de tout bloquer par défaut et de n'ouvrir que ce qui est pertinent (donc le strict minimum).

Ton firewall sert pas à grand chose avec les règles aux lignes 5 à 7, telles qu'elles sont écrites là  
 
Tu lui dis en gros "Laisses passer tout"  

A priori, c'est qu'il voulait faire, il s'est juste trompé sur les lignes 5 à 7. Faut qu'il mette DROP au lieu de ACCEPT et ça ira mieux  

Elles viennent d'où ces règles ?  faites à la main ou générées par un qconque outil/script ?

 
ou qu'il insère ses règles de DROP et non pas qu'il utilise -A...

J'ai mis accept pour des raisons de tests,  les règles sont écrites à la main.
 
En fait je veux juste bloquer 2 ports sur l'interface eth2 sur laquelle tout est ouvert.

 
oui enfin la vraie facon de concevoir un pare feux, c'est de tout bloquer sauf ce qu'on veut laisser passer. Après, pour ton test, il faut que tu mettes des -I au lieu des -A sur tes règles qui DROP les ports visés...

Tu risques pas de tester grand chose avec ces lignes là :

 
Elles matchent tous les paquets qui rentrent ou sortent de eth2 avant toutes les autres ...  Tu tenais vraiment à ce qu'ils passent tes paquets, parce qu'entre ça et la Policy par défaut à ACCEPT  

Ok merci ! Je suis d'accord avec toi pour la conception des pare-feu...mais c'est ce que j'ai fait pour l"interface eth1 (qui normalement se prends les policy DROP mais qui la sont sur ACCEPT), je considère en effet que eth0 (réseau de backup, eth2 (réseau local) sont sur, je n'ai fait que du filtrage sur eth1

 
 
OOps! Ok merci !

 
je vais peut etre etre insistant, mais avec un -I sur ces lignes, ca suffirait pour tester non ? meme si ca permet pas d'arriver à un "vrai" pare feux...

éventuellement, il faut mettre ça à la fin et en tout cas après tes 2 DROP.
iptables fait une lecture des regles de "haut en bas", s'il trouve un règle qui accept tout avant tes drop
ben c'est fini, il passe et ne matche rien

Honnêtement, tu ferais mieux de repartir de zéro pour faire un truc clean, mais en ayant surtout décidé et écrit sur une feuille de papier ce que tu dois faire (les ports/proto à filtrer/accepter, ceux à forwarder, etc ...)  
 
Parce que là, ça fait un peu peur ton truc ...

Ici, il a même pas besoin de les mettre en fait, parce que si aucune règle matche, sa Policy est  ACCEPT    c'est plus radical encore

 
C'est mieux comme ça ?

Remarque non vu que ça ne fonctionne pas...j'ai du louper quelquechose..

genre c'est un peu en forward qu'il faut travailler.

en forward ? non c'est un serveur qui tourne sur le port 3000 et 3001 du serveur donc je pense que ce serait sur INPUT non?

bah on sait pas, on y comprends rien à ton serveur routeur et tes règles sans queue ni tête.

Bon....je recommence tout...j'ai 2 processes tournants sur le sereur local sur le port 3000 et 3001, eth2 représente la connexion vers le réseau local, je veux juste ne pas pouvoir accéder aux ports de ses processes depuis le réseau local, autremet dit bloquer les ports 3000 et 3001 "sur" l'interface eth2 en traffic entrant, eth1 represente la connexion vers internet et eth0 un réseau privé (sans importance). Voici la config que j'ai actuellement:
 

bah tu reconfigures tes softs pour n'écouter que sur la bonne adresse ...

Malheureusement je ne peux pas choisir sur quelle interface écouter (programme ntop).

Là par contre j'ai trouvé quelquechose de curieux, j'ai remplacé (dans mon dernier copier coller de mon script)

 
par  
 

 
j'ai enlevé

 
et j'arrive à me connecter sur les ports 3000 et 3001 !

oh que si. RTFM.

Voici tout ce que j'au trouvé dans man ntop:
 

 
Il n'y a rien d'autres visiblement sur l"interface d'écoute du serveur http.

Je veux bien mais avec ntop ce n'est point possible...On trouve juste l'interface de monitoring (capture réseau) mais pas l'interface d'écoute du serveur http

Problème résolu, j'ai mis toutes les policies sur DROP et , j'ai mis le INPUT OUTPUT sur eth2 en ACCEPT et j'ai bloqué les ports à l'aide de:
 

man si, seulement faudrait avoir la force de RTFM