Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 23/04/2006, à 13:31

fabdunet13

ouvrir un port (iptables) sur une hautre PC

[img]<img src="http://fabio25.free.fr/a.jpg" />[/img]
a.jpg

Voici mon architecture réseaux : fabio25.free.fr/a.jpg


je poscède un serveur linux (IPCOP) . ce serveur linux me sert de proxy ( filtrage web etc..)

je détien aussi un serveur exchange qui me permet de visualiser mes mail à l'extèrieur de chez moi sous interface web .

mon problème actuelement c'est que j'arrive pas à configurer mon serveur linux pour luis dire que quand je tape http://ip/exchange/ je vais sur mon serveur exchange .

En fin de compte je voudrais ouvrir les port 80 et 443 pour le pc 192.168.1.3 et non pour le serveur linux !! 

voici mon script IPTABLES : # Nous vidons les chaînes :
iptables -F
# Nous supprimons d'éventuelles chaînes personnelles :
iptables -X

# Nous les faisons pointer par défaut sur DROP

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Nous faisons de même avec toutes les autres tables,
# à savoir "nat" et "mangle", mais en les faisant pointer
# par défaut sur ACCEPT. Ca ne pose pas de problèmes
# puisque tout est bloqué au niveau "filter"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT

# Nous considérons que la machine elle même est sûre
# et que les processus locaux peuvent communiquer entre eux
# via l'interface locale :

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Nous considérons que notre réseau local est
# également sûr (ce qui n'est pas forcément vrai, d'ailleurs).

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT

# Translation d'adresses pour tout ce qui traverse la passerelle
# en sortant par eth1
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j MASQUERADE
# Toutes les connexions qui sortent du LAN vers le Net
# sont acceptées
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Nous aurions aussi bien pu écrire :
# iptables -A FORWARD -i eth0 -o eth1 -m state --state ! INVALID -j ACCEPT
# Seules les connexions déjà établies ou en relation avec
# des connexions établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to 192.168.1.3:80
iptables -A FORWARD -i eth1 -o eth0 -p tcp -m tcp -d 192.168.1.3 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p udp -m udp --dport 80 -j DNAT --to 192.168.1.3:80
iptables -A FORWARD -i eth1 -o eth0 -p udp -m udp -d 192.168.1.3 --dport 80 -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 443 -j DNAT --to 192.168.1.3:443
iptables -A FORWARD -i eth1 -o eth0 -p tcp -m tcp -d 192.168.1.3 --dport 443 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p udp -m udp --dport 443 -j DNAT --to 192.168.1.3:443
iptables -A FORWARD -i eth1 -o eth0 -p udp -m udp -d 192.168.1.3 --dport 443 -j ACCEPT


voilla mon script mais j'arrive pas a ouvrir mes port 80 et 443 sur 192.168.1.3 , j'ais besoins d'aide

Hors ligne

#2 Le 23/04/2006, à 13:50

CeReAl KiLLeR Du 77

Re : ouvrir un port (iptables) sur une hautre PC

Bonjour

Le serveur exchange doit être disponible sur internet d'accord.
Sur le serveur linux (la passerelle), tu as bien configurer ipcop pour autoriser les port 80, 443 et fait la translation sur l'ip 192.168.1.3?

Tu n'as pas besoin de créer un script iptables sous ton ipcop, tout ce gère sur une interface web. L'interface d'origine sans d'addons est complète pour faire ce que tu cherche à faire.

SuperBox = Serveur (FreeBSD 7.2) (DEAD) | H²O = Serveur (FreeBSD 8.1) | Nephrotique = Desktop (Ubuntu Lucid Lynx 64 bits) | Skizophrene = Laptop (DesktopBSD 1.7/WinXP SP3) | Epileptik = Desktop (Diskless) | WRT54GL 1.1 (Openwrt Backfire 10.3 noyau 2.4) | WRT54GL 1.1 (DDWRT V24 SP1)

Hors ligne

#3 Le 23/04/2006, à 14:07

fabdunet13

Re : ouvrir un port (iptables) sur une hautre PC

suis entièrement daccors avec toi mais sa ne fonctionne pas car si tu tape https://fabdunet13.no-ip.com/exchange/ sa ne fonctionne pas .

j'ais un routeur 9 telecom et j'ais fait un DMZ sur 192.168.1.254 .

pence tu que cella pourais venir de mon routeur 9 telecom ???
esse que je doit ouvrir aussi les port 80 et 443 sur mon routeur 9 telecom ??? 


CeReAl KiLLeR Du 77 a écrit :

Bonjour

Le serveur exchange doit être disponible sur internet d'accord.
Sur le serveur linux (la passerelle), tu as bien configurer ipcop pour autoriser les port 80, 443 et fait la translation sur l'ip 192.168.1.3?

Tu n'as pas besoin de créer un script iptables sous ton ipcop, tout ce gère sur une interface web. L'interface d'origine sans d'addons est complète pour faire ce que tu cherche à faire.

Hors ligne

#4 Le 23/04/2006, à 14:34

CeReAl KiLLeR Du 77

Re : ouvrir un port (iptables) sur une hautre PC

Oui tu dois ouvrir les ports 80 et 443 de ton routeur 9telecom, et si tu as bien configurer ton ipcop, celo devra fonctionner.

SuperBox = Serveur (FreeBSD 7.2) (DEAD) | H²O = Serveur (FreeBSD 8.1) | Nephrotique = Desktop (Ubuntu Lucid Lynx 64 bits) | Skizophrene = Laptop (DesktopBSD 1.7/WinXP SP3) | Epileptik = Desktop (Diskless) | WRT54GL 1.1 (Openwrt Backfire 10.3 noyau 2.4) | WRT54GL 1.1 (DDWRT V24 SP1)

Hors ligne

#5 Le 23/04/2006, à 14:34

fabdunet13

Re : ouvrir un port (iptables) sur une hautre PC

sa y est sa marche , merci !! en te posent  tout plain de question  j'ais répondu a ma question , et en fait je me suis tromper en fesant mon DMZ ; je texplique j'ais fait mon DMZ sur la carte réseaux GREEN !! donc ct pas bon . je vien de refaire mon DMZ sur la certe red et sa fonctionne nikel .

j'aimerais changer mon serveur ipcop pour passer sur débian pour faire uniquement un firewall et aussi un server web ( sous debian on me la déconseiller car c'est pas fait pour et suis entièrement daccors avec la perssonne ) .


donc comment je fait pour ouvrir le port 80 et 443 de windows !!

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to 192.168.1.3:80
iptables -A FORWARD -i eth1 -o eth0 -p tcp -m tcp -d 192.168.1.254 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p udp -m udp --dport 80 -j DNAT --to 192.168.1.3:80
iptables -A FORWARD -i eth1 -o eth0 -p udp -m udp -d 192.168.1.3 --dport 80 -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 443 -j DNAT --to 192.168.1.3:443
iptables -A FORWARD -i eth1 -o eth0 -p tcp -m tcp -d 192.168.1.3 --dport 443 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p udp -m udp --dport 443 -j DNAT --to 192.168.1.3:443
iptables -A FORWARD -i eth1 -o eth0 -p udp -m udp -d 192.168.1.3 --dport 443 -j ACCEPT

malereusement j'ais tapper tout ca et cella ne fonctionne pas !!! mon DMZ pointe sur 192.168.1.120 (eth 1 ) sur l'interface réseaux ou est blancher le routeur 9 telecom . sachant que mon serveur debian distribu le web à tout le monde !!
j'ais pris la mème config de ipcop ( @ip eth... ) !!! voir schémat !!

Hors ligne

#6 Le 23/04/2006, à 14:52

CeReAl KiLLeR Du 77

Re : ouvrir un port (iptables) sur une hautre PC

Moi dans le temps j'avais passer ma passerelle qui tournais sous Debian sur ipcop. Le problème que j'avais, le red en ppp0, donc internet, le green sur eth0, internet fonctonne, et sur l'orange (dmz) eth1, internet ne passait pas, car ipcop ne prennais pas en compte mon eth1 :-(

Donc je suis revenu à Debian, je me suis créer un beau script iptables, collé snort dessus, lancé nessus pour voir si tout étais fiable, et c'est comme sa depuis quelques années, et pas de problème.

Mon script iptables justement ici http://www.chezdudu77.org/firewall.sh

SuperBox = Serveur (FreeBSD 7.2) (DEAD) | H²O = Serveur (FreeBSD 8.1) | Nephrotique = Desktop (Ubuntu Lucid Lynx 64 bits) | Skizophrene = Laptop (DesktopBSD 1.7/WinXP SP3) | Epileptik = Desktop (Diskless) | WRT54GL 1.1 (Openwrt Backfire 10.3 noyau 2.4) | WRT54GL 1.1 (DDWRT V24 SP1)

Hors ligne

#7 Le 23/04/2006, à 15:16

fabdunet13

Re : ouvrir un port (iptables) sur une hautre PC

Merci pour ton script mais :-) trop compliquer pour moi !! mais je l'ais garder pour l'étudier

je vais texpliquer ce que je veux faire , et tu va me conseiller sur ce que doit faire !!!

bon je débute sous linux depuis peux de temps ( 5 mois ) mon but c de suprimer tout mes serveur windows et passer entièrement sous linux ( gratuit ) . Je suis technicien réseaux depuis 1 mois mais mes formation on etait que sur du microsoft .


je voudrais faire un serveur firewall pour filtrer mon réseaux ( je bosse dans une école )

autorise uniquement sur le réseaux quelques @mac , et certaine @mac a ce connecter sur le net .

ouvrir quelques port sur le serveur firewall pour avoir accée a quelques service en dehot de mon reseaux local .

mon but c'est de pas mètre de clée WEP ou WPA car les élèves de l'internat est rien a faire , juste contacter l'administrateur réseaux a fin que nous on l'otirise en fonction de don @mac sur le réseaux

pk suprimer la clée WEP , car avec un petit logiciel je le trouve en 2/2 et sa marche nikel

tout ca je sais le faire avec ISA server mais voilla pour un client sa reste trés cher !!
donc voila ma motivation de migrer sous linux !!

CeReAl KiLLeR Du 77 a écrit :

Moi dans le temps j'avais passer ma passerelle qui tournais sous Debian sur ipcop. Le problème que j'avais, le red en ppp0, donc internet, le green sur eth0, internet fonctonne, et sur l'orange (dmz) eth1, internet ne passait pas, car ipcop ne prennais pas en compte mon eth1 :-(

Donc je suis revenu à Debian, je me suis créer un beau script iptables, collé snort dessus, lancé nessus pour voir si tout étais fiable, et c'est comme sa depuis quelques années, et pas de problème.

Mon script iptables justement ici http://www.chezdudu77.org/firewall.sh

Hors ligne

#8 Le 23/04/2006, à 15:22

CeReAl KiLLeR Du 77

Re : ouvrir un port (iptables) sur une hautre PC

C'est à bon choix de choisir linux wink

D'accord je vois ce que tu cherche à faire. Déjà, il serais souhaitable que tu lise la doc iptables, je sais il y'a de la lecture, mais c'est déjà un bon début.

SuperBox = Serveur (FreeBSD 7.2) (DEAD) | H²O = Serveur (FreeBSD 8.1) | Nephrotique = Desktop (Ubuntu Lucid Lynx 64 bits) | Skizophrene = Laptop (DesktopBSD 1.7/WinXP SP3) | Epileptik = Desktop (Diskless) | WRT54GL 1.1 (Openwrt Backfire 10.3 noyau 2.4) | WRT54GL 1.1 (DDWRT V24 SP1)

Hors ligne

#9 Le 23/04/2006, à 23:53

fabdunet13

Re : ouvrir un port (iptables) sur une hautre PC

wi je sais tu as raison et je l'ais déja lu mais ya la moitier des chauses que j'ais pas compri malereusement , c'est pour cella que je te demande de l'aide .

Pourrais tu me dire comment fait t'on , ( la commande iptables a tapper ) pour ouvrir le port 80 sur 192.168.1.3 et TCP et UDP ???

moi j'ais tapper tout ça !! et ca ne fonctionne pas !!


iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to 192.168.1.3:80
iptables -A FORWARD -i eth1 -o eth0 -p tcp -m tcp -d 192.168.1.3 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p udp -m udp --dport 80 -j DNAT --to 192.168.1.3:80
iptables -A FORWARD -i eth1 -o eth0 -p udp -m udp -d 192.168.1.3 --dport 80 -j ACCEPT

Hors ligne

#10 Le 25/04/2006, à 10:43

CeReAl KiLLeR Du 77

Re : ouvrir un port (iptables) sur une hautre PC

Tes lignes tu les tapes sur ton ipcop?

SuperBox = Serveur (FreeBSD 7.2) (DEAD) | H²O = Serveur (FreeBSD 8.1) | Nephrotique = Desktop (Ubuntu Lucid Lynx 64 bits) | Skizophrene = Laptop (DesktopBSD 1.7/WinXP SP3) | Epileptik = Desktop (Diskless) | WRT54GL 1.1 (Openwrt Backfire 10.3 noyau 2.4) | WRT54GL 1.1 (DDWRT V24 SP1)

Hors ligne

Pages : 1