[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: règle de routage avec iptables sous deb sarge

On Mon, Oct 09, 2006 at 12:09:40AM +0200, Pascal Hambourg wrote :
> Salut,
> 
> gronux a écrit :
> >Mon reseau est le suivant:
> >internet--(eth2"web.web.web.web.")routeur(eth1"192.168.0.aaa")--switch--poste
> >192.168.0.loc                      |
> >                                   |
> >                        (eth0"192.168.2.bbb")--switch--serveur192.168.2.ccc
> >
> >J'ai installé sur le serveur ssh sur le port 12312 et je souhaîte savoir
> > si les règles suivantes mise sur le routeur sont correct
> 
> Correctes pour quoi faire ?

Administration de mes futurs serveurs

> 
> >iptables -t nat -A PREROUTING -i eth2 -s 0.0.0.0/0 \
> >    -d web.web.web.web \
> >    -p tcp --dport 12312 -m state \
> >    --state NEW,ESTABLISHED,RELATED \
> >            -j DNAT --to-destination 192.168.2.ccc:12312
> 
> Tu peux supprimer le --state qui ne sert à rien : les paquets 
> ESTABLISHED, RELATED et INVALID ne traversent jamais les chaînes de la 
> table nat. Seul le premier paquet NEW d'une connexion passe par ces chaînes.

 Merci pour l'info 

> >   iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth2 -d 0.0.0.0/0 \
> >   -p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT
> >   iptables -A FORWARD -i eth2 -s 0.0.0.0/0 -o eth0 -d 192.168.2.ccc \
> >    -p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
> 
> Un peu compliqué, mais ça devrait marcher pour permettre l'accès au 
> serveur SSH depuis l'extérieur.
 
> >Je souhaîterais aussi rediriger le flux d'un poste local sur
> >l'interface eth2 pour pouvoir réaliser des tests sur le serveur ssh
> >comme si le signal venait du net. J'ai tenter quelque règle sans grand
> >succès.
> 
> D'un poste local sur eth2 ? Impossible : le poste local est sur eth1. Tu 
> ne confondrais pas l'interface et l'adresse ?
> 
> >Je précise que la règle suivante marche bien mais elle n'utilise que les
> >interfaces locales.
> >
> >iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth1 -d 192.168.0.loc \
> >-p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT
> >iptables -A FORWARD -i eth1 -s 192.168.0.loc -o eth0 -d 192.168.2.ccc \
> >       -p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
> 
> Bien, que veux-tu faire de plus ? Si tu veux y accéder par l'adresse 
> web.web.web.web, reprends la même règle DNAT qu'au début mais avec eth1.

 Exact mais ce n'est pas ce que je veux faire. Je veux tester la règle
de DNAT de chez moi car je n'ai pas d'acces internet au boulot à cause
d'un proxy nouvellement installé qui me casse les c....... 

> >Une dernière pour la route!! Si je change le port 12312 pour le port 80
> >mes postes 192.169.0.loc pourront surfer sans problème????
> 
> Ils pourront surfer sur le site web du serveur 192.168.2.ccc. Est-ce 
> bien à cela que tu penses ?
Non, j'aimerais rediriger les connexions entrantes depuis le net sur le
serveur ssh et pouvoir surfer tranquiles sur les autres postes. J'ai
peur que la règle de PREROUTING balance tout le flux sur le serveur. 
En fait c'est pour pouvoir passer le proxy du taf sur le port 80 ou 443
sans passer par httptunel. 
> 
> 
> -- 
> Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.net/?DebianFrench   
> Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
> "Reply-To:"
> 
> To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact 
> listmaster@lists.debian.org
> 

-- 
La connerie c'est la décontraction de l'intelligence.
Reply to: