Re: HS: iptables et redirection vers lo

To: debian-user-french@lists.debian.org
Subject: Re: HS: iptables et redirection vers lo
From: Bernard Schoenacker <bernard.schoenacker@free.fr>
Date: Sat, 8 Jan 2011 17:28:04 +0100
Message-id: <[🔎] 20110108172804.064d8d23@hamtaro>
In-reply-to: <[🔎] 4D288A7D.2020706@tootai.net>
References: <[🔎] 4D288A7D.2020706@tootai.net>

Le Sat, 08 Jan 2011 17:02:05 +0100,
Daniel Huhardeaux <no-spam@tootai.net> a écrit :

> Bonjour,
> 
> voici le setup:
> 
> . un serveur avec des machines virtuelles kvm, reseau 10.0.70.1 pour
> le serveur, 10.0.70.[11|12|...|] pour les VM.
> . deux réseaux OpenVPN 10.99.3.1 (serveur VPN) et 10.99.3.18 (client
> VPN)
> 
> J'ai paramétré libvirtd+tls de manière à ce qu'il n'écoute que sur 
> l'adresse 10.0.70.1 Le problème est que libvirt ne démarre pas si
> cette adresse n'existe pas et comme c'est lui qui la créée en créant
> le network des VM, c'est pas cool ;-)
> 
> Ce que je voudrai: libvirtd+tls démarre en écoutant 127.0.0.1 le port 
> étant 16514 et iptables redirige les requêtes du port 16540 IP
> 10.0.70.1 vers 127.0.0.1 J'ai donc créé les règles suivantes, sachant
> que je me connecte en VPN sur le réseau serveur, forcément ;-), et
> que celui ci est parfaitement fonctionnel. Voici donc ces règles:
> 
> iptables -t nat -A PREROUTING -p tcp -d 10.0.70.1 --dport 16514 -j
> DNAT --to 127.0.0.1
> iptables -A INPUT -p tcp --dport 16514 -j ACCEPT
> 
> Sachant que mon iptables autorise lo:
> 
> iptables -A INPUT -p all -i lo -j ACCEPT
> iptables -A FORWARD -p all -i lo -j ACCEPT
> iptables -A OUTPUT -p all -o lo -j ACCEPT
> 
> les VPN
> 
> iptables -A INPUT -p all -i tun+ -j ACCEPT
> iptables -A FORWARD -p all -i tun+ -j ACCEPT
> iptables -A OUTPUT -p all -o tun+ -j ACCEPT
> 
> les VM
> 
> iptables -A INPUT -p all -i virbr+ -j ACCEPT
> iptables -A FORWARD -p all -i virbr+ -j ACCEPT
> iptables -A OUTPUT -p all -o virbr+ -j ACCEPT
> 
> Je vois bien que des packets passent par ma règle de PREROUTING mais
> je ne reçois aucune réponse, rien dans la règle INPUT.
> 
> Une idée de ce qui me manque? Merci pour toute idée
> 
bonjour,

serait il possible d'employer privoxy ?

objectif : tout placer sur localhost:8118 

doc ubuntuforum :

# Allow privoxy to connect to DansGuardian
iptables -t nat -A OUTPUT -p tcp --dport $HTTPPORT -m owner --uid-owner
$PRIVOXYUSER -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport 8181 -m
owner --uid-owner $PRIVOXYUSER -j ACCEPT

# Redirect users who access $HTTPPORT to $PRIVOXYPORT
iptables -t nat -A OUTPUT -p tcp --dport $HTTPPORT -j REDIRECT
--to-ports $PRIVOXYPORT

# Keep users from connecting to Squid and bypassing Dansguardian
iptables -t nat -A OUTPUT -p tcp --dport 3128 -j REDIRECT --to-ports
$PRIVOXYPORT

slt
bernard

Reply to:

References:
- HS: iptables et redirection vers lo
  - From: Daniel Huhardeaux <no-spam@tootai.net>

Prev by Date: Re: HS: iptables et redirection vers lo
Next by Date: [Un peu HS] Récupération de données accidentellement supprimées
Previous by thread: Re: HS: iptables et redirection vers lo
Next by thread: Re: HS: iptables et redirection vers lo
Index(es):
- Date
- Thread