https://tech.gamuza.fr/ fr SPIP - www.spip.net https://tech.gamuza.fr/Supprimer-une-regle-de-filtrage-iptables.html https://tech.gamuza.fr/Supprimer-une-regle-de-filtrage-iptables.html 2018-08-21T10:37:40Z text/html fr clem commande sh iptables <p><strong>Administration</strong> : trouver et supprimer une règle dans <strong>iptables</strong></p> - <a href="https://tech.gamuza.fr/-configuration-d-un-serveur-debian-.html" rel="directory">Debian</a> / <a href="https://tech.gamuza.fr/+-commande-sh-+.html" rel="tag">commande sh</a>, <a href="https://tech.gamuza.fr/+-iptables-+.html" rel="tag">iptables</a> <div class='rss_texte'><h2 class="spip">Scénario type :</h2> <p>Vous avez fait plein d'essais de connexion sur un de vos serveur sécurisé avec <strong>fail2ban</strong> et vous vous retrouvez blacklisté ? Les commandes pour supprimer la règle qui vous exclu.<br class='manualbr' /><small>Bien évidemment on suppose ici que vous avez accès en SSH à la machine : par exemple depuis un autre serveur ou via un VPN... bref depuis une IP qui elle n'est pas exclue !</small></p> <h2 class="spip">1. Lister les règles par type et connaître leur numéro</h2><div class="precode"><pre class='spip_code spip_code_block' dir='ltr' style='text-align:left;'><code>iptables -L --line-numbers</code></pre></div> <p>Cela va vous donner la liste des règles en cours dans iptables, classées par types de chaînes, par exemple ici on pourrait avoir :</p> <div class="precode"><pre class='spip_code spip_code_block' dir='ltr' style='text-align:left;'><code>num target prot opt source destination 1 f2b-recidive tcp -- anywhere anywhere 2 f2b-postfix tcp -- anywhere anywhere multiport dports smtp,submission 3 f2b-suhosin tcp -- anywhere anywhere multiport dports http,https 4 f2b-php-url-fopen tcp -- anywhere anywhere multiport dports http,https 5 f2b-apache-shellshock tcp -- anywhere anywhere multiport dports http,https ... Chain f2b-apache-auth (2 references) num target prot opt source destination 1 REJECT all -- AMarseille-111-2-333-444.w123-456.abo.wanadoo.fr anywhere reject-with icmp-port-unreachable 2 RETURN all -- anywhere anywhere ...</code></pre></div> <p>on constate dans cet exemple que l'adresse <strong>AMarseille-111-2-333-444.w123-456.abo.wanadoo.fr</strong> est bloquée par la règle <strong>f2b-apache-auth</strong> (typiquement après trop de tentatives de login avec un mot de passe incorrect)</p> <h2 class="spip">2. Supprimer la règle intempestive :</h2> <p><strong>Méthode 1 : "débannir" l'IP</strong><br class='autobr' /> Dans ce cas la règle à supprimer est celle de la ligne n°1 de la chaine <strong>f2b-apache-auth</strong> :</p> <div class="precode"><pre class='spip_code spip_code_block' dir='ltr' style='text-align:left;'><code>iptables -D f2b-apache-auth 1</code></pre></div> <p>Avec :</p> <ul class="spip" role="list"><li> <strong>-D</strong> : pour supprimer la règle</li><li> <strong>f2b-apache-auth 1</strong> : référence de la ligne n°1 de la chaine f2b-apache-auth</li></ul> <p><strong>Méthode 2 : autoriser l'IP inconditionnellement</strong><br class='autobr' /> Ici il s'agit d'ajouter une règle qui accepte votre IP : <br class='autobr' /> Si on suppose que votre IP externe est <strong>111-2-333-444</strong>, cela donne :</p> <div class="precode"><pre class='spip_code spip_code_block' dir='ltr' style='text-align:left;'><code>iptables -I INPUT -s 111-2-333-444 -j ACCEPT</code></pre></div></div>