Re: règle de routage avec iptables sous deb sarge

To: debian-user-french@lists.debian.org
Subject: Re: règle de routage avec iptables sous deb sarge
From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
Date: Mon, 09 Oct 2006 00:09:40 +0200
Message-id: <[🔎] 45297724.5000104@plouf.fr.eu.org>
In-reply-to: <[🔎] 20061008210649.GA1434@localhost>
References: <[🔎] 20061008210649.GA1434@localhost>

Salut,

gronux a écrit :

Mon reseau est le suivant:
internet--(eth2"web.web.web.web.")routeur(eth1"192.168.0.aaa")--switch--poste
192.168.0.loc                      |
                                   |
                        (eth0"192.168.2.bbb")--switch--serveur192.168.2.ccc

J'ai installé sur le serveur ssh sur le port 12312 et je souhaîte savoir
 si les règles suivantes mise sur le routeur sont correct


Correctes pour quoi faire ?

iptables -t nat -A PREROUTING -i eth2 -s 0.0.0.0/0 \
    -d web.web.web.web \
    -p tcp --dport 12312 -m state \
    --state NEW,ESTABLISHED,RELATED \
            -j DNAT --to-destination 192.168.2.ccc:12312

Tu peux supprimer le --state qui ne sert à rien : les paquetsESTABLISHED, RELATED et INVALID ne traversent jamais les chaînes de latable nat. Seul le premier paquet NEW d'une connexion passe par ces chaînes.

   iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth2 -d 0.0.0.0/0 \
   -p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT
   iptables -A FORWARD -i eth2 -s 0.0.0.0/0 -o eth0 -d 192.168.2.ccc \
    -p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT

Un peu compliqué, mais ça devrait marcher pour permettre l'accès auserveur SSH depuis l'extérieur.

Je souhaîterais aussi rediriger le flux d'un poste local sur
l'interface eth2 pour pouvoir réaliser des tests sur le serveur ssh
comme si le signal venait du net. J'ai tenter quelque règle sans grand
succès.

D'un poste local sur eth2 ? Impossible : le poste local est sur eth1. Tune confondrais pas l'interface et l'adresse ?

Je précise que la règle suivante marche bien mais elle n'utilise que les
interfaces locales.

iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth1 -d 192.168.0.loc \
-p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -s 192.168.0.loc -o eth0 -d 192.168.2.ccc \
       -p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT

Bien, que veux-tu faire de plus ? Si tu veux y accéder par l'adresseweb.web.web.web, reprends la même règle DNAT qu'au début mais avec eth1.

Une dernière pour la route!! Si je change le port 12312 pour le port 80
mes postes 192.169.0.loc pourront surfer sans problème????

Ils pourront surfer sur le site web du serveur 192.168.2.ccc. Est-cebien à cela que tu penses ?

Reply to:

Follow-Ups:
- Re: règle de routage avec iptables sous deb sarge
  - From: gronux <graunux@lapauste.net>

References:
- règle de routage avec iptables sous deb sarge
  - From: gronux <graunux@lapauste.net>

Prev by Date: Re: Firefox, selection X11 et clavier
Next by Date: RE : Re: Installation de eterm
Previous by thread: règle de routage avec iptables sous deb sarge
Next by thread: Re: règle de routage avec iptables sous deb sarge
Index(es):
- Date
- Thread