# (Résolu)[UFW Firewall] Bloquage de plage d'ip dans lan

## hackensolo

Bonjour,

j'utilise ma Gentoo comme serveur firewall et je souhaiterais bloquer une plage d'ip sur le port 8000

Je ne suis pas un spécialiste réseau et je ne suis pas spécialiste tout court.

Si quelqu'un à de solide base réseau pour me dépanner je suis à l'écoute.

On m'a soumis un problème mais je suis certain que parmi vous ça ne devrait pas être un problème.

Le voici :

je dois bloquer la plage d'adresse IP de 172.17.17.1 à 17.17.17.18 sur le port 8000 avec ufw mais laisser passer tous les autres 172.17.17.25...172.17.17.26....etc voici ma règle qui ne marche pas:

```
ufw deny from 172.17.17.1/24-172.17.17.18/24 to any port 8000/tcp
```

Si quelqu'un a la solution...Last edited by hackensolo on Tue Nov 29, 2016 6:19 am; edited 3 times in total

----------

## El_Goretto

Je ne connais pas le détail de la syntaxe UFW, mais j'ai peut être une piste  :Smile: 

"172.17.17.1/24-172.17.17.18/24" n'est sûrement pas valide, car 172.17.17.1/24 correspond à tout le sous-réseau 172.17.17.0/24, tout comme 172.17.17.18/24 en fait. 

Si UFW accepte des "ranges" d'@IP, il faut probablement faire sauter la taille du masque de sous-réseau et faire quelque chose du genre 172.17.17.1-172.17.17.18.

A toi de jouer  :Wink: 

----------

## guitou

Hello

Avec une recherche rapide sur le net, j'ai l'impression que tu n'as que les netmasks pour definir des IP ranges (voir ici).

Donc a priori pour resoudre ton probleme, il faut a mon avis faire 3 regles

une avec 172.17.17.1//28

et deux clones avec les IP 172.17.17.17 et 172.17.17.18

Sinon, ca vaut peut-etre le coup de tester si les shell expansions fonctionnent: une regle avec 172.17.17.{1..18}

++

Gi)

----------

## hackensolo

Merci pour l'aide.

Je crois que j'ai trouvé l'erreur immonde que je faisais.

j'ai mi une règle allow avant une deny et ça laissais passé évidemment.

Je poste les règles :

En plus du firewall, j'ai Squid sur le serveur donc :

```
ufw allow 8000

ufw insert 1 deny from 172.17.17.0/24
```

ça laisse passer tous les utilisateurs du réseau sauf ceux dont le réseau est indiqué.

Réglé.

----------

## El_Goretto

Ce qui  n'est absolument pas ce que tu disais vouloir faire dans le premier post... Mais bon, "c'est vous qui voyez"  :Smile: 

----------

## hackensolo

 *El_Goretto wrote:*   

> Ce qui  n'est absolument pas ce que tu disais vouloir faire dans le premier post... Mais bon, "c'est vous qui voyez" 

 

Exact ! mais en faisant des tests je me suis rendu compte que la demande formulée dans le premier post était trop permissive et la configuration du second post me convient mieux.

Le premier post n'était pas vraiment ce que je souhaitais faire, mais les quelques réponses que j'ai eue, m'on aidé à y réfléchir et au final trouver une solution plus adaptée.

Encore merci !

----------

