Iptable : redirection du port 80

Iptable : redirection du port 80 - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 30-03-2004 à 16:57:54    

Salut
 
Donc voila mon pb : sur ma gate, j'ai redirigé les paquets arrivant sur le port 80 vers une de mes machines locales.
Seulement apparement il redirige tous les paquets arrivant sur le port 80 vers cette machine, donc mes autres machines ne peuvent plus naviguer par exemple.
 
Mon reseau :


eth0 (10.0.0.138) -------- (10.0.0.1) GATE (192.168.0.11)--------- lan                                                                  |____ (192.168.0.12) Serveur Web


Si qqn avait une idee d'ou cela pourrait venir j'avoue que j'ai fait le tour de mes regles iptables sans reussir a trouver d'ou cela pouvait venir :/
Peut etre en precisant de forwarder que les regles entrantes et pas sortantes mais comment faire ?
 
Merci a tous pour votre aide :)
 
je vous met egalement mes regles iptables :
 

Code :
  1. #!/bin/sh
  2. # /etc/network/if-pre-up.d/iptables-start.sh
  3. # http://www.via.ecp.fr/~alexis/formation-linux/
  4. # REMISE à ZERO des règles de filtrage
  5. iptables -F
  6. iptables -t nat -F
  7. # DEBUT des "politiques par défaut"
  8. # Je veux que les connexions entrantes soient bloquées par défaut
  9. iptables -P INPUT DROP
  10. # Je veux que les connexions sortantes soient acceptées par défaut
  11. iptables -P OUTPUT ACCEPT
  12. # Je veux que les connexions destinées à être forwardées
  13. # soient acceptées par défaut
  14. iptables -P FORWARD ACCEPT
  15. # FIN des "politiques par défaut"
  16. # DEBUT des règles de filtrage
  17. # Pas de filtrage sur l'interface de "loopback"
  18. iptables -A INPUT -i lo -j ACCEPT
  19. # J'accepte le protocole ICMP (i.e. le "ping" )
  20. iptables -A INPUT -p icmp -j ACCEPT
  21. # J'accepte le protocole IGMP (pour le multicast)
  22. iptables -A INPUT -p igmp -j ACCEPT
  23. # J'accepte les packets entrants relatifs à des connexions déjà établies
  24. iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  25. # Décommentez les deux lignes suivantes pour que le serveur de DNS éventuel
  26. # soit joignable de l'extérieur
  27. iptables -A INPUT -p tcp --dport 53 -j ACCEPT
  28. iptables -A INPUT -p udp --dport 53 -j ACCEPT
  29. # Décommentez la ligne suivante pour que le serveur Web éventuel
  30. # soit joignable de l'extérieur
  31. #iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  32. # La règle par défaut pour la chaine INPUT devient "REJECT"
  33. # (il n'est pas possible de mettre REJECT comme politique par défaut)
  34. iptables -A INPUT -j REJECT
  35. # FIN des règles de filtrage
  36. # DEBUT des règles pour le partage de connexion (i.e. le NAT)
  37. # Décommentez la ligne suivante pour que le système fasse office de
  38. # "serveur NAT" et remplaçez "eth0" par le nom de l'interface connectée
  39. # à Internet
  40. iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  41. iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0 --clamp-mss-to-pmtu
  42. # FIN des règles pour le partage de connexion (i.e. le NAT)
  43. # DEBUT des règles de "port forwarding"
  44. # Décommentez la ligne suivante pour que les requêtes TCP reçues sur le
  45. # port 80 soient forwardées à la machine dont l'IP est 192.168.0.3 sur
  46. # son port 80 (la réponse à la requête sera forwardée au client)
  47. iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.12:80


Message édité par xc0r le 30-03-2004 à 17:29:58
Reply

Marsh Posté le 30-03-2004 à 16:57:54   

Reply

Marsh Posté le 30-03-2004 à 18:23:58    

pas le temps de tout lire mais a mon avis tu redirige tous les paquets venant sur le port 80 de ta gate, meme ceux venant de ton LAN..

Reply

Marsh Posté le 30-03-2004 à 18:42:00    

oui je pense aussi mais je n'ai pas trouve comment :(

Reply

Marsh Posté le 30-03-2004 à 18:55:25    

iptables -t nat -A PREROUTING -d  -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.12:80 peu etre ??

Reply

Marsh Posté le 30-03-2004 à 18:57:54    

essie de remplacer la derniere ligne par :
 
iptables -t nat -A PREROUTING -p tcp --dport 80 -d 10.0.0.1 -j DNAT --to-destination 192.168.0.12:80

Reply

Marsh Posté le 30-03-2004 à 18:59:10    

imalip a écrit :

essie de remplacer la derniere ligne par :
 
iptables -t nat -A PREROUTING -p tcp --dport 80 -d 10.0.0.1 -j DNAT --to-destination 192.168.0.12:80
 


 
yep en précisant quel machine est visé :jap:

Reply

Marsh Posté le 30-03-2004 à 19:01:08    

Klaimant a écrit :


 
yep en précisant quel machine est visé :jap:


 
En fait ta proposition est pour les paquets arivant de l'exterieur, la mienne pour ceux du reseau local. En combinant les 2 ca doit pouvoir le faire. :)

Reply

Marsh Posté le 30-03-2004 à 19:06:30    

imalip a écrit :


 
En fait ta proposition est pour les paquets arivant de l'exterieur, la mienne pour ceux du reseau local. En combinant les 2 ca doit pouvoir le faire. :)


 
Ouais, c'est à tester et à pofiner tout ca [:romf]

Reply

Marsh Posté le 30-03-2004 à 20:09:10    

:sarcastic:
tout simplement .... :(

Reply

Marsh Posté le 30-03-2004 à 20:51:49    

Xc0r a écrit :

:sarcastic:
tout simplement .... :(


 
 
ca marche ??

Reply

Marsh Posté le 30-03-2004 à 20:51:49   

Reply

Marsh Posté le 30-03-2004 à 20:54:44    

Yes au poil :p (avec le -d 10.0.0.1, j'ai pas essaye le -i eth0)

Reply

Marsh Posté le 30-03-2004 à 20:55:27    

Xc0r a écrit :

Yes au poil :p (avec le -d 10.0.0.1, j'ai pas essaye le -i eth0)


 
ok, moi j'ai pensé à limiter pour le flux externe, mais l'idée de l'ip était au poil aussi :hello:

Reply

Marsh Posté le 09-02-2009 à 16:13:37    

Bonjour, voila je dispose de 2 réseaux différents :
Réseau 1 : 192.168.147.0
Réseau 2 : 192.168.0.0
Serveur debian : 4 interfaces
eth0 : 192.168.0.254
eth3 : 192.168.147.254
 
J'aimerais permettre la connexion web entre le serveur local du réseau 1 et le poste Xp du réseau 2 par l'intérmediaire du serveur debian et avec les régles de filtrage de la table filter ( redirection d'adresse/port ) !
 
Je veut juste configurer le serveur pour faire une redirection de port ou juste permettre la connection d'une machine local sur un serveur web local ( utilisant wamp )
 
Les régles :
 
#Vide toutes les régles :
 
iptables -t filter -F
iptables -t filter -X
 
#Reinitialise les 3 chaines
 
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
 
#Autorise le ping local
iptables -t filter -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
iptables -t filter -A INPUT  -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
 
#Autorise le ping entrant/sortant du réseau  
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -t filter -A INPUT  -i eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
 
#Autorise le ping entrant/sortant du réseau  
iptables -t filter -A OUTPUT -o eth3 -s 192.168.147.0/24 -d 192.168.147.0/24 -j ACCEPT
iptables -t filter -A INPUT  -i eth3 -s 192.168.147.0/24 -d 192.168.147.0/24 -j ACCEPT
 
Celle ci m'interesse d'avantage car certaines sont pas bonnes voir peut etre toute  :sweat:  
 
iptables -t filter -A INPUT -i eth0 -p tcp --dport 80 --to-destination 192.168.0.10
iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 80 -d 192.168.147.10
 
iptables -t filter -A INPUT -i eth0 -d 192.168.0.10 -p tcp --sport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.10 -p tcp --dport 80 -j ACCEPT
 
 :??:  
 
Merci de votre aide car je bloque sur le problème depuis quelques heures maintenant


Message édité par shurik84 le 09-02-2009 à 16:15:27
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed