Re: iptables forward et qemu

To: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
Cc: debian-user-french@lists.debian.org
Subject: Re: iptables forward et qemu
From: david hannequin <da.hannequin@laposte.net>
Date: Tue, 09 May 2006 16:15:34 +0200
Message-id: <[🔎] 4460A406.9010908@laposte.net>
In-reply-to: <[🔎] 445FC488.1000005@plouf.fr.eu.org>
References: <[🔎] 445FB327.8060203@laposte.net> <[🔎] 445FC488.1000005@plouf.fr.eu.org>

Salut,

J'apporte quelques précisions à mon probléme. J'ai une machine relier àinternet sur la carte eth0. Sur cette machine je fais fonctionner unmachine virtuelle qemu avec le service apache2.

Pour que cela fonctionne correctement j'ai créer les régles :

iptables -A INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -s 172.20.0.0/24 -i tun0 -o eth0 -p tcp -j ACCEPT

tun0 est l'interface réseau de la machine virtuelle
172.20.0.0/24 est le réseau de la machine virtuelle
l'adresse de la machine virtuelle est 172.20.0.2

Ces régles sont permisives mais permettent de à la machine virtuelled'accéder à internet et de communiquer avec la machine hote.

Maintenant, je souhaite pouvoir accéder au serveur apache depuisinternet avec l'adresse ip publique de la machine hote.

Pour cela j'ai ajouté à mon script :
modprobe iptable_nat
modprobe iptable_filter
echo 1 > /proc/sys/net/ipv4/ip_forward  # pour autoriser le forwarding

# les 3 lignes pour accepter la tranlation
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

# les 6 lignes pour la machine virtuelle, j'affinerais les régles pourles rendre moin permissives une fois que ca marchera comme je veux

;-)
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -s 172.20.0.0/24 -i tun0 -o eth0 -p tcp -j ACCEPT

# tun0 est l'interface réseau de la machine virtuelle
# 172.20.0.0/24 est le réseau de la machine virtuelle
# l'adresse de la machine virtuelle est 172.20.0.2

# Web vers tun0 pour le serveur web

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination172.20.0.2:80# 172.20.0.2 est l'adresse d l'interface réseau de la machine virtuelleoù fonctione apache

# je compte remplacer les régles tro pemissives par celle ci mais pourl'instant ca marche po :-(iptables -A FORWARD -i eth0 -o tun0 -p tcp --destination-port 80 -mstate --state NEW,ESTABLISHED -j ACCEPTiptables -A FORWARD -o eth0 -i tun0 -p tcp --source-port 80 -m state--state ESTABLISHED -j ACCEPT


# régles pour le masquerading pour le serveur web

iptables -t nat -A POSTROUTING -s 172.20.0.0/24 -j MASQUERADEj'ai cherché et testé plusieurs solution sans que ca marche et je voispas mon erreur.

merci d'avance
David Hannequin

Reply to:

Follow-Ups:
- Re: iptables forward et qemu
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

References:
- iptables forward et qemu
  - From: david hannequin <da.hannequin@laposte.net>
- Re: iptables forward et qemu
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

Prev by Date: sonde snmp et trafic réseau
Next by Date: Re: fricord
Previous by thread: Re: iptables forward et qemu
Next by thread: Re: iptables forward et qemu
Index(es):
- Date
- Thread