Pages : 1
#1 Le 30/01/2014, à 10:40
- barbsbou
[RESOLU] IPTABLES: port forwarding.
Bonjour;
Voilà j'ai un petit soucis avec mes tables iptables...J'explique d'abord la topologie du réseaux, j'ai un serveur ssh dont l'IP est 192.168.0.2 en DMZ derrière une autre machine qui fait routeur. Elles écoutent toutes les deux pour ssh sur le port 2222.
Internet --> Routeur --> SSHd
Donc je commence par faire
iptables -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to-destination 192.168.0.2:2222
Là tout fonctionne car par défaut la chaîne FORWARD est a ACCEPT (pour faire mes tests), donc évidemment ce n'est pas acceptable donc je fais
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --dport 2222 -d 192.168.0.2 -j ACCEPT
Mais là c'est le drame : ça marche plus...Donc j'essaie d'alléger ma règle de FORWARD pour voir ce qui bloque...et je vois que
iptables -A FORWARD -p tcp -j ACCEPT
filtrage que par le protocole ça marche bien mais que (protocole + port) ou (protocole + IP) ça ne marche plus. Je le fais avec les règles suivantes
iptables -A FORWARD -p tcp --dport 2222 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.0.2 -j ACCEPT
J'en déduis que le DNAT marche car quand FORWARD était à ACCEPT ça passé, j'en déduis que mes deux règles précédentes (protocole + port) ou (protocole + IP) ne chope pas le paquet dnaté...mais je ne vois pas pourquoi?
Idée???
Merci par avance
Dernière modification par barbsbou (Le 30/01/2014, à 13:39)
Hors ligne
#2 Le 30/01/2014, à 13:39
- barbsbou
Re : [RESOLU] IPTABLES: port forwarding.
En réfléchissant un peu plus je me suis dit que ma conclusion sur le faite qu'iptables ne chope pas mes règles est fausse et peut-être qu'iptables bloquait le paquet de retour... C'était bien ça... et donc il fallait en plus rajouter une règle pour faire passer les réponses du serveur!!! Si ça intéresse qq1 j'ai fait rajouter:
iptables -A FORWARD -p tcp --sport 2222 -s 192.168.0.2 -j ACCEPT
Et c'est bon!!!
Hors ligne
#3 Le 30/01/2014, à 21:28
- tiramiseb
Re : [RESOLU] IPTABLES: port forwarding.
Salut,
Tu n'as pas autorisé les règles "established,related" ?
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#4 Le 03/02/2014, à 09:33
- barbsbou
Re : [RESOLU] IPTABLES: port forwarding.
Je les ai mises mais qu'après...
J'été tellement focalisé sur le schéma d'iptables que j'en ai oublié le reste :/
Hors ligne
Pages : 1