Re: iptables
Il faut également autoriser les state NEW....sinon aucune initiation de
connexion TCP ne peut passer...
Le lundi 03 janvier 2005 à 14:10 +0100, arno a écrit :
> j'ai lancé cela :
> iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
> 192.168.1.201:80
> iptables -t nat -A POSTROUTING -p tcp --sport 80 -j SNAT --to-source
> 192.168.1.201
> iptables -A FORWARD -p tcp -m state --state ESTABLISHED -j ACCEPT
> iptables -A FORWARD -p tcp -d 192.168.1.201 --syn --dport 80 -m
> state --state NEW -j ACCEPT
> iptables -P FORWARD DROP
>
> (d'ailleurs quand je fais un iptables -L -t filter, dans la table foward, je
> ne vois qu'une regle, celle-ci :
> ACCEPT tcp -- anywhere anywhere tcp
> c'est normal ?????)
>
>
> et le module ip_conntrack est bien chargé.
> voici la reponse:
> ip_conntrack 12684 2 (autoclean) [ipt_state iptable_nat]*
>
> et toujours rien ...............
>
>
>
> "Xavier" <ctrl-alt-del@astola.org> a écrit dans le message de news:
> 41d938b2$0$31556$626a14ce@news.free.fr...
> > Xavier a écrit :
> > > arno a écrit :
> > >
> > >> bonjour,
> > >>
> > >> je souhaiterais faire une redirection du port 80 (depuis
> > >> 192.168.1.249) vers
> > >> une autre machine (192.168.1.201)
> > >>
> > >> voici ma commande :
> > >> iptables -t nat -A PREROUTING -p tcp --dport 80 -j
> DNAT --to-destination
> > >> 192.168.1.201:80
> > >>
> > >> mais ce ne marche, j'ai fait de multiples tests, avec les options, etc
> > >> ...
> > >> mais rien !!!
> > >>
> > >> pouvez vous m'eclairer
> > >> merci
> > >>
> > >> arno
> > >>
> > >> debian 3.0 noyau 2.4
> > >>
> > >>
> > > Assure toi que le module ip_conntrack est chargé, sinon netfilter ne
> > > drée pas les règles implicites inverse. Si tu ne veux pas le charger, il
> > > faut ajouter:
> > > iptables -t nat -A POSTROUTING -p tcp --sport 80 -j SNAT --to-source
> > > 192.168.1.201
> > >
> > > @+ et bonne année
> > > Xavier
> > en ajoutant bien sûr la règle d'autorisation comme indiqué dans l'autre
> fil:
> >
> > # Fonctionnement statefull général (commun à toutes les règles)
> > iptables -A FORWARD -p tcp -m state --state ESTABLISHED -j ACCEPT
> >
> > # Règle spécifique au serveur web
> > iptables -A FORWARD -p tcp -d 192.168.1.201 --syn --dport 80 -m state
> > --state NEW -j ACCEPT
> >
> > # Politique par défaut
> > iptables -P FORWARD DROP
>
>
> "pingouin osmolateur" <pingouin_osmolateur@yahoo.fr> a écrit dans le message
> de news: 3izOT-6Al-1@gated-at.bofh.it...
> > --- arno <arnomajmail-1@yahoo.fr> a écrit :
> > > bonjour,
> > >
> > > je souhaiterais faire une redirection du port 80
> > > (depuis 192.168.1.249) vers
> > > une autre machine (192.168.1.201)
> > >
> > > voici ma commande :
> > > iptables -t nat -A PREROUTING -p tcp --dport 80 -j
> > > DNAT --to-destination
> > > 192.168.1.201:80
> > >
> >
> > Bonjour,
> > Tout d'abord je ne suis pas un pro de Iptables mais
> > j'utilise 2*2 lignes de commande iptables pour faire
> > traverser les flux SSH et HTTPS de mon ipcop.
> > Je ne les ai pas sous la main mais la 2 eme regle
> > après celle de nat c'est la regle FORWARD qui permet
> > de transferer les paquets à travers le firewall.
> > Je n'ai pas la synthaxe.
> > Sinon tu dois avoir des logs ou en rajouter pour
> > savoir ce qui se passe exactement.
> > En espérant t'avoir aider
> > AC
> >
> >
> >
> >
> >
> >
> > Découvrez le nouveau Yahoo! Mail : 250 Mo d'espace de stockage pour vos
> mails !
> > Créez votre Yahoo! Mail sur http://fr.mail.yahoo.com/
> >
> >
> > --
> > Pensez à lire la FAQ de la liste avant de poser une question :
> > http://wiki.debian.net/?DebianFrench
> >
> > Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
> >
> > To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>
>
Reply to:
- References:
- iptables
- From: "arno" <arnomajmail-1@yahoo.fr>
- Re: iptables
- From: pingouin osmolateur <pingouin_osmolateur@yahoo.fr>
- Re: iptables
- From: "arno" <arnomajmail-1@yahoo.fr>