Re: HS: iptables et redirection vers lo
Salut,
Daniel Huhardeaux a écrit :
>
> . un serveur avec des machines virtuelles kvm, reseau 10.0.70.1 pour le
> serveur, 10.0.70.[11|12|...|] pour les VM.
> . deux réseaux OpenVPN 10.99.3.1 (serveur VPN) et 10.99.3.18 (client VPN)
>
> J'ai paramétré libvirtd+tls de manière à ce qu'il n'écoute que sur
> l'adresse 10.0.70.1 Le problème est que libvirt ne démarre pas si cette
> adresse n'existe pas et comme c'est lui qui la créée en créant le
> network des VM, c'est pas cool ;-)
Tu peux attribuer l'adresse 10.0.70.1/32 à une autre interface qui
existe déjà, par exemple l'interface de loopback lo. Il n'est pas
interdit d'attribuer la même adresse à plusieurs interfaces et plusieurs
adresses à la même interface.
> Ce que je voudrai: libvirtd+tls démarre en écoutant 127.0.0.1 le port
> étant 16514 et iptables redirige les requêtes du port 16540 IP 10.0.70.1
> vers 127.0.0.1 J'ai donc créé les règles suivantes, sachant que je me
> connecte en VPN sur le réseau serveur, forcément ;-), et que celui ci
> est parfaitement fonctionnel. Voici donc ces règles:
>
> iptables -t nat -A PREROUTING -p tcp -d 10.0.70.1 --dport 16514 -j DNAT
> --to 127.0.0.1
> iptables -A INPUT -p tcp --dport 16514 -j ACCEPT
Si tu comptes y accéder depuis ailleurs que la machine, ça ne marchera
pas : le noyau écarte les paquets ayant une adresse source ou
destination dans 127.0.0.0/8 reçus depuis ou émis vers l'extérieur
(comprendre par une interface non loopback). La subtilité est que cette
vérification en entrée a lieu lors de la décision de routage, après les
chaînes PREROUTING, donc quand l'adresse de destination a été changée en
127.0.0.1.
Une alternative consiste à utiliser un relais de port TCP (rinetd,
socat, redir, 6tunnel, stone, simpleproxy...).
Reply to: