Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 30/01/2014, à 11:40

barbsbou

[RESOLU] IPTABLES: port forwarding.

Bonjour;

Voilà j'ai un petit soucis avec mes tables iptables...J'explique d'abord la topologie du réseaux, j'ai un serveur ssh dont l'IP est 192.168.0.2 en DMZ derrière une autre machine qui fait routeur. Elles écoutent toutes les deux pour ssh sur le port 2222.
Internet --> Routeur --> SSHd

Donc je commence par faire

iptables -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to-destination 192.168.0.2:2222

Là tout fonctionne car par défaut la chaîne FORWARD est a ACCEPT (pour faire mes tests), donc évidemment ce n'est pas acceptable donc je fais

iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --dport 2222 -d 192.168.0.2 -j ACCEPT

Mais là c'est le drame : ça marche plus...Donc j'essaie d'alléger ma règle de FORWARD pour voir ce qui bloque...et je vois que

iptables -A FORWARD -p tcp -j ACCEPT

filtrage que par le protocole ça marche bien mais que (protocole + port) ou (protocole + IP) ça ne marche plus. Je le fais avec les règles suivantes

iptables -A FORWARD -p tcp --dport 2222 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.0.2 -j ACCEPT

J'en déduis que le DNAT marche car quand FORWARD était à ACCEPT ça passé, j'en déduis que mes deux règles précédentes (protocole + port) ou (protocole + IP) ne chope pas le paquet dnaté...mais je ne vois pas pourquoi?

Idée???

Merci par avance

Dernière modification par barbsbou (Le 30/01/2014, à 14:39)

Hors ligne

#2 Le 30/01/2014, à 14:39

barbsbou

Re : [RESOLU] IPTABLES: port forwarding.

En réfléchissant un peu plus je me suis dit que ma conclusion sur le faite qu'iptables ne chope pas mes règles est fausse et peut-être qu'iptables bloquait le paquet de retour... C'était bien ça... et donc il fallait en plus rajouter une règle pour faire passer les réponses du serveur!!! Si ça intéresse qq1 j'ai fait rajouter:

iptables -A FORWARD -p tcp --sport 2222 -s 192.168.0.2 -j ACCEPT

Et c'est bon!!!

Hors ligne

#3 Le 30/01/2014, à 22:28

tiramiseb

Re : [RESOLU] IPTABLES: port forwarding.

Salut,

Tu n'as pas autorisé les règles "established,related" ?

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Hors ligne

#4 Le 03/02/2014, à 10:33

barbsbou

Re : [RESOLU] IPTABLES: port forwarding.

Je les ai mises mais qu'après...
J'été tellement focalisé sur le schéma d'iptables que j'en ai oublié le reste :/

Hors ligne

Pages : 1