Re: HS: iptables et redirection vers lo
Le Sat, 08 Jan 2011 17:02:05 +0100,
Daniel Huhardeaux <no-spam@tootai.net> a écrit :
> Bonjour,
>
> voici le setup:
>
> . un serveur avec des machines virtuelles kvm, reseau 10.0.70.1 pour
> le serveur, 10.0.70.[11|12|...|] pour les VM.
> . deux réseaux OpenVPN 10.99.3.1 (serveur VPN) et 10.99.3.18 (client
> VPN)
>
> J'ai paramétré libvirtd+tls de manière à ce qu'il n'écoute que sur
> l'adresse 10.0.70.1 Le problème est que libvirt ne démarre pas si
> cette adresse n'existe pas et comme c'est lui qui la créée en créant
> le network des VM, c'est pas cool ;-)
>
> Ce que je voudrai: libvirtd+tls démarre en écoutant 127.0.0.1 le port
> étant 16514 et iptables redirige les requêtes du port 16540 IP
> 10.0.70.1 vers 127.0.0.1 J'ai donc créé les règles suivantes, sachant
> que je me connecte en VPN sur le réseau serveur, forcément ;-), et
> que celui ci est parfaitement fonctionnel. Voici donc ces règles:
>
> iptables -t nat -A PREROUTING -p tcp -d 10.0.70.1 --dport 16514 -j
> DNAT --to 127.0.0.1
> iptables -A INPUT -p tcp --dport 16514 -j ACCEPT
>
> Sachant que mon iptables autorise lo:
>
> iptables -A INPUT -p all -i lo -j ACCEPT
> iptables -A FORWARD -p all -i lo -j ACCEPT
> iptables -A OUTPUT -p all -o lo -j ACCEPT
>
> les VPN
>
> iptables -A INPUT -p all -i tun+ -j ACCEPT
> iptables -A FORWARD -p all -i tun+ -j ACCEPT
> iptables -A OUTPUT -p all -o tun+ -j ACCEPT
>
> les VM
>
> iptables -A INPUT -p all -i virbr+ -j ACCEPT
> iptables -A FORWARD -p all -i virbr+ -j ACCEPT
> iptables -A OUTPUT -p all -o virbr+ -j ACCEPT
>
> Je vois bien que des packets passent par ma règle de PREROUTING mais
> je ne reçois aucune réponse, rien dans la règle INPUT.
>
> Une idée de ce qui me manque? Merci pour toute idée
>
bonjour,
serait il possible d'employer privoxy ?
objectif : tout placer sur localhost:8118
doc ubuntuforum :
# Allow privoxy to connect to DansGuardian
iptables -t nat -A OUTPUT -p tcp --dport $HTTPPORT -m owner --uid-owner
$PRIVOXYUSER -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport 8181 -m
owner --uid-owner $PRIVOXYUSER -j ACCEPT
# Redirect users who access $HTTPPORT to $PRIVOXYPORT
iptables -t nat -A OUTPUT -p tcp --dport $HTTPPORT -j REDIRECT
--to-ports $PRIVOXYPORT
# Keep users from connecting to Squid and bypassing Dansguardian
iptables -t nat -A OUTPUT -p tcp --dport 3128 -j REDIRECT --to-ports
$PRIVOXYPORT
slt
bernard
Reply to: