Supprimer une règle de filtrage iptables

Administration : trouver et supprimer une règle dans iptables

, par clem

Scénario type :

Vous avez fait plein d’essais de connexion sur un de vos serveur sécurisé avec fail2ban et vous vous retrouvez blacklisté ? Les commandes pour supprimer la règle qui vous exclu.
Bien évidemment on suppose ici que vous avez accès en SSH à la machine : par exemple depuis un autre serveur ou via un VPN... bref depuis une IP qui elle n’est pas exclue !

1. Lister les règles par type et connaître leur numéro

iptables -L --line-numbers

Cela va vous donner la liste des règles en cours dans iptables, classées par types de chaînes, par exemple ici on pourrait avoir :

num  target     prot opt source               destination
1    f2b-recidive  tcp  --  anywhere             anywhere
2    f2b-postfix  tcp  --  anywhere             anywhere             multiport dports smtp,submission
3    f2b-suhosin  tcp  --  anywhere             anywhere             multiport dports http,https
4    f2b-php-url-fopen  tcp  --  anywhere             anywhere             multiport dports http,https
5    f2b-apache-shellshock  tcp  --  anywhere             anywhere             multiport dports http,https
...
Chain f2b-apache-auth (2 references)
num  target     prot opt source               destination
1    REJECT     all  --  AMarseille-111-2-333-444.w123-456.abo.wanadoo.fr  anywhere             reject-with icmp-port-unreachable
2    RETURN     all  --  anywhere             anywhere
...

on constate dans cet exemple que l’adresse AMarseille-111-2-333-444.w123-456.abo.wanadoo.fr est bloquée par la règle f2b-apache-auth (typiquement après trop de tentatives de login avec un mot de passe incorrect)

2. Supprimer la règle intempestive :

Méthode 1 : "débannir" l’IP
Dans ce cas la règle à supprimer est celle de la ligne n°1 de la chaine f2b-apache-auth :

iptables -D f2b-apache-auth 1

Avec :

  • -D : pour supprimer la règle
  • f2b-apache-auth 1 : référence de la ligne n°1 de la chaine f2b-apache-auth

Méthode 2 : autoriser l’IP inconditionnellement
Ici il s’agit d’ajouter une règle qui accepte votre IP :
Si on suppose que votre IP externe est 111-2-333-444, cela donne :

iptables -I INPUT -s  111-2-333-444 -j ACCEPT