[résoluJe suis très "FORWARDER" !

lenautile16 · Le 18/07/2007, à 22:26

Bonjour,

En fait, j'ai un souci avec iptables et no-ip. J'ai parcouru le forum de long en large pour trouver une solution qui me convienne mais bon, j'avoue n'être pas très doué.

Les données du problèmes :

J'ai un routeur linksys (linux) en vlan0, j'ai 192.168.15.1, en vlan1, j'ai une sortie en dhcp avec un routeur NETGEAR

J'ai installé un portail captif (wifidog pour ne pas le nommer) en 192.168.15.50, qui est donc connecté sur le routeur.

Le serveur APACHE écoute sur le port 8080 (j'ai essayé aussi le port 80)

J'ai installé NO-IP (vu sur forum) sur le serveur (portail captif), mais bon quand je mets mon adresse http://xxxx.no.ip.org, j'arrive sur la page d'accueil de mon routeur, or je voudrais arriver sur mon portail captif.

Bon d'accord, c'est du charabia, donc voici mes iptables :

sur le routeur :

iptables -L -n -v
Chain INPUT (policy DROP 39 packets, 7000 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 8439  617K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    6   408 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0           MAC 00:1A:70:47:87:CE 
    0     0 ACCEPT     tcp  --  vlan1  *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
   94  5640 ACCEPT     tcp  --  vlan1  *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    0     0 ACCEPT     udp  --  vlan1  *       0.0.0.0/0            0.0.0.0/0           udp dpt:80 
  202 12927 ACCEPT     all  --  vlan0  *       0.0.0.0/0            0.0.0.0/0           
    0     0            tcp  --  vlan1  *       0.0.0.0/0            0.0.0.0/0           tcp dpt:8080 
    0     0            udp  --  vlan1  *       0.0.0.0/0            0.0.0.0/0           udp dpt:8080 

Chain FORWARD (policy DROP 133 packets, 7980 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  vlan0  *       192.168.15.1         192.168.15.50       tcp dpt:8080 
 3301  267K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0           MAC 00:1A:70:47:87:CE 
  395 21072 ACCEPT     all  --  vlan0  *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  vlan1  vlan0   0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 

Chain OUTPUT (policy ACCEPT 6277 packets, 685K bytes)
 pkts bytes target     prot opt in     out     source               destination

sur mon serveur (sortie réseau en eth0) en 192.168.15.50:

iptables -L -n -v
Chain INPUT (policy ACCEPT 10172 packets, 2739K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:8080 
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:8080 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 

Chain OUTPUT (policy ACCEPT 23018 packets, 6046K bytes)
 pkts bytes target     prot opt in     out     source               destination

ma question : comment rediriger sur le portail de manière quand je ferais un http://xxxx.no-ip.org, j'arrive sur la page d'accueil de mon portail ? UN GRAND MERCI !

Dernière modification par lenautile16 (Le 22/07/2007, à 18:07)

lenautile16 · Le 21/07/2007, à 21:03

bon, je vais me répondre à moi-même. J'ai résolu le problème en changeant de distrib. Mieux vaut prendre une pure DEBIAN ou FEDORA. Trop de bug sur la version FEISTY-SERVER, notamment dans la config du serveur APACHE2....problème de reboot aussi !

Mais il ne faut pas cracher dans la soupe quand même, UBUNTU reste ma distrib préférée pour la qualité de son forum et de sa documentation. On ne peut pas être bon partout !

mika23 · Le 21/07/2007, à 22:19

ubuntu est très bonne, meme en serveur, encore faut-il savoir configurer les services...

lenautile16 · Le 22/07/2007, à 10:49

oui, c'est vrai, je ne nie pas la qualité, et en disant qu'il faut savoir configurer les services, c'est vrai aussi ! un exemple concret : le httpd.conf est totalement vide dans Ubuntu-server ??? mais rassures-toi, je vais insister car j'apprécie beaucoup cette distrib. C'est grâce à Ubuntu que j'ai découvert le monde linux, un monde fabuleux.

Par contre, la seule réponse obtenue à mon post fut une appréciation ! pas une aide ? au moins tu aurais pu conclure en me disant où chercher, ça aurait été plus sympa et dans l'esprit du LIBRE.

mika23 · Le 22/07/2007, à 14:59

Je n'utilises pas d'ubuntu server mais une version desktop sur laquelle le paquet apache semble correctement configuré, hormis les modifs que j'ai faite pour les vhost, à mon avis pour te simplifier tu devrais deja changer le port d'admin de ton routeur qui semble etre sur le 80 d'ou un conflit avec apache

lenautile16 · Le 22/07/2007, à 17:46

ok merci mika, j'y suis finalement arrivé. L'avantage, justement de Ubuntu-server, c'est de n'avoir pas la partie graphique qui te permet de faire de l'économie sur ton disque dur, entre autres. Et quitte à apprendre , autant se jeter à l'eau.

ma config était :

INTERNET via un NETGEAR en dhcp sur le vlan1 du routeur et sur le vlan0 du même routeur un serveur captif afin que des personnes viennent se connecter en wifi.

Donc, on a :

Internet==>(vlan1en dhcp)routeur(vlan0)en 192.168.15.1==>192.168.15.50serveur (via ubuntu server)

opération sur le routeur, mettre les règles de redirection :

iptables -A FORWARD -i vlan1 -o vlan0 -p tcp -n tcp -d 192.168.15.50 --dport 80 -j ACCEPT

puis

iptables -t nat -A PREROUTING -i vlan1 -p tcp -m tcp --dport 80 -j DNAT --to 192.168.15.50:80

Maintenant est-ce que mon serveur est prêt à recevoir cette "Déviation" ?

comment s'en assurer :

netstat -taupen | grep 80

bien qu'un :

netstat -a

aurait suffit

Pourquoi le port 80 ? parce que le portail captif fonctionne sur ce port, bien entendu, il est possible de faire une modif....mais bon, quand de temps en temps, on peut éviter du script, ça fait du bien.

merci encore et bravo pour ce forum, on ne le dira jamais assez !

moralité : essayer une autre distrib, ne veut pas dire l'abandonner pour autant, mais dans mon cas, tenter de comprendre ce qui peut se passer, et chacune à son point fort ou son point faible. C'est beau d'avoir l'embarras du choix, seul le Libre permet ça !

Dernière modification par lenautile16 (Le 22/07/2007, à 18:01)

lenautile16 · Le 22/07/2007, à 18:05

mika23 a écrit :

Je n'utilises pas d'ubuntu server mais une version desktop sur laquelle le paquet apache semble correctement configuré, hormis les modifs que j'ai faite pour les vhost, à mon avis pour te simplifier tu devrais deja changer le port d'admin de ton routeur qui semble etre sur le 80 d'ou un conflit avec apache

je l'ai mis en ssh, donc sur le port 22, avec une règle iptables.

mika23 · Le 22/07/2007, à 23:03

le port 80 est bien redirigé vers la machine ou tourne apache ?
Ton fichier de conf du vhost dans /etc/apache2/site-available/ est correct ? tu as bien fait un a2ensite ton_fichier.conf ensuite ?

ça marche depuis ton lan ?

Dernière modification par mika23 (Le 22/07/2007, à 23:03)

lenautile16 · Le 22/07/2007, à 23:37

mika23 a écrit :

le port 80 est bien redirigé vers la machine ou tourne apache ?
Ton fichier de conf du vhost dans /etc/apache2/site-available/ est correct ? tu as bien fait un a2ensite ton_fichier.conf ensuite ?
ça marche depuis ton lan ?

oui le port 80 est redirigé vers la machine où tourne APACHE2. J'ai dû modifié le root de démarrage. Mais tout fonctionne nickel maintenant. Sur le routeur qui est un WRT54GL LINKSYS, il fonctionne sous du linux embarqué avec la distrib openwrt.

J'ai complété mon script firewall en y ajoutant des DROP, notamment sur la tables FILTER + des règles sur les liens style ESTABLISHED, RELATED......

D'ailleurs ces règles ne sont pas facile à digérer en lignes de commandes.

mika23 · Le 23/07/2007, à 07:10

tu as testé la connexion apache depuis ton lan ?

lenautile16 · Le 23/07/2007, à 19:20

Je peux "pinguer" depuis le serveur ou depuis le routeur. En fait, le portail captif WIFIDOG gère lui même iptables. Ma prochaine expérience devrait consister à ajouter au réseau un proxy-cache. J'hésite à mettre squid ou carrément ipcop (en y ajoutant squid). Là où j'ai une crainte, c'est avec squidguard, car les mises à jours semblent assez galériques à faire d'après certains forum que j'ai lus.

Mais c'est une autre question.....je ne voudrais pas "polluer" le forum. Je clos donc le sujet en te remerciant pour tes réponses.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 18/07/2007, à 22:26

[résoluJe suis très "FORWARDER" !

#2 Le 21/07/2007, à 21:03

Re : [résoluJe suis très "FORWARDER" !

#3 Le 21/07/2007, à 22:19

Re : [résoluJe suis très "FORWARDER" !

#4 Le 22/07/2007, à 10:49

Re : [résoluJe suis très "FORWARDER" !

#5 Le 22/07/2007, à 14:59

Re : [résoluJe suis très "FORWARDER" !

#6 Le 22/07/2007, à 17:46

Re : [résoluJe suis très "FORWARDER" !

#7 Le 22/07/2007, à 18:05

Re : [résoluJe suis très "FORWARDER" !

#8 Le 22/07/2007, à 23:03

Re : [résoluJe suis très "FORWARDER" !

#9 Le 22/07/2007, à 23:37

Re : [résoluJe suis très "FORWARDER" !

#10 Le 23/07/2007, à 07:10

Re : [résoluJe suis très "FORWARDER" !

#11 Le 23/07/2007, à 19:20

Re : [résoluJe suis très "FORWARDER" !

Pied de page des forums