Re: syntaxe iptables

To: debian-user-french@lists.debian.org
Subject: Re: syntaxe iptables
From: Christophe <tech@stuxnet.org>
Date: Sun, 23 Jun 2013 19:20:25 +0200
Message-id: <[🔎] 51C72E59.9090503@stuxnet.org>
In-reply-to: <[🔎] 51C5C9AA.6050402@prego-network.net>
References: <[🔎] 201306220016.08344.zulian@free.fr> <[🔎] 20130621222419.GN3115@espinasse> <[🔎] 20130622150150.GA4940@zulian.fr> <[🔎] 51C5C655.1000304@prego-network.net> <[🔎] 20130622175406.237c76df@anubis.defcon1> <[🔎] 51C5C9AA.6050402@prego-network.net>

prego jérémy a écrit :

donc dans ce cas,  la règle iptables :

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5557 -j DNAT --to-
destination 192.168.1.3:5557

devrai fonctionner directement

jerem

Sauf si il y a un iptables -t filter -P FORWARD DROP (parce qu'il mesemble que le NAT/PAT et le filtrage sont bien deux chosesindépendantes), ou toute autre règle similaire interdisant le trafficentre deux interfaces d'une même babasse.


Et dans ce cas, les deux règles :

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5557 -j DNAT--to-destination 192.168.1.3:5557


et

iptables -A FORWARD -p tcp -i eth0 --dport 5557 -j ACCEPT

sont nécessaires, bien que je considère la deuxième un poil troplaxiste. (mais peut être a t'elle été élargie pour diagnostiquer plus endétail le problème) .

Quoi qu'il en soit, ca devrait fonctionner comme ca.

Le coup du forward (via sysctl ou la méthode/proc/sys/net/ipv4/ip_forward) est également un erreur courante . Maisj'ai l'impression que de ce que je lis du premier post de zulian (aliasFrédéric), que le problème n'est pas la.


Du coup, Frédéric , plusieurs questions :

Est-ce que l'adresse IPv4 publique arrive directement sur la machine quifait office de firewall ?

As tu , dans tes règles IPTables en toute fin de chaine FORWARD un lignedu style :

iptables -t filter -A FORWARD -j LOG --log-prefix "IPTables PacketDropped: " --log-level 7

? (au quel cas , tu peux voir dans le syslog si il y a des paquetsrejetés).


y'a t'il au tout début de ta règle forward, un truc du genre :

iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
(à compléter avec des -i et -o le cas échéant)

ou au contraire, une autre regle qui interdirait tout traffic enprovenance de l'extérieur vers l'intérieur, avant de demander à accepterle traffic.

Que l'on me corrige si je me trompe, mais sous netfilter/iptables ,c'est la première règle qui l'emporte , contrairement à d'autres (pfpour exemple, hormis l'utilisation du mot clé "quick"), ou c'est ladernière qui l'emporte.

Et dernière question, depuis quelle machine testes tu la connexion àl'adresse IP publique ? (une machine à l'extérieur, ou une machine deton réseau local ? ) ... Si c'est depuis le réseau local, il y a defortes chances que cela ne fonctionne pas (a part quelques bidouilles),puisque c'est la machine qui détient l'adresse IP publique qui va tenterde répondre avec ses ports ouverts , plutôt que la machine destinatairede la règle NAT. Et ce n'est donc pas un test fiable.



@+
Christophe.

Reply to:

References:
- syntaxe iptables
  - From: zulian <zulian@free.fr>
- Re: syntaxe iptables
  - From: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>
- Re: syntaxe iptables
  - From: fred <zulian@free.fr>
- Re: syntaxe iptables
  - From: prego jérémy <jeremy@prego-network.net>
- Re: syntaxe iptables
  - From: Bzzz <lazyvirus@gmx.com>
- Re: syntaxe iptables
  - From: prego jérémy <jeremy@prego-network.net>

Next by Date: Re: stable testing unstable ou backports ?
Previous by thread: Re: syntaxe iptables
Next by thread: Re: syntaxe iptables
Index(es):
- Date
- Thread