Tian Envoyé le : 17/05/2004 à 10:17

Bonjour,

nico a dit :

--> Existe t-il des lignes une option a ajouter aux règles pour que cette dernière ne soit valide qu ependant une période de temps définie.

Il n'existe rien pour faire cela directement par iptables.

Par contre, il y a d'autres moyens pour le faire.

Le principe serait d'appliquer la regle souhaitee pour de programmer une tache qui s'executerait au bout d'un certain temps et annulerait la regle precedente.

Cela peut se faire avec tout simplement quelque chose du genre :sleep 3600; iptables .... Mais si c'est lance depuis un script PHP, le probleme est que celui-ci attend la fin de l'execution de la commande. On peut contourner cela en encapsulant dans un script qui lui fait l'appel en tache de fond de la commande.

Le script pourrait etre par exemple :#!/bin/bash

(sleep $1; iptables -D OUTPUT -s $2 -j DROP Cela suppose que la creation de la regle de filtrage est de la forme:iptables -A OUTPUT -s adresse_de_reseau -j DROP Le 1er parametre serait alors le temps d'attente ($1) et le second, l'adresse du reseau ($2)

On aurait donc quelque chose de cette forme dans le fichier php (en supposant que le script precedent s'appelle mon_script et que $delai et $reseau contienne les valeurs souhaitees pour le temps d'attente et l'adresse du reseau) :exec("iptables -A OUTPUT -s $reseau -j DROP");
exec("mon_script $delai $reseau); En esperant que cela vous convienne (je dois avouer ne pas avoir teste tout cela, donc il peut y avoir quelques erreurs.