passerelle et forward : une petite dernière info - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 03-10-2003 à 21:31:57
si tu veut tout forwarder sur la 192.168.0.1 c'est du nat 1:1, qui se fait de cette facon:
iptables -A PREROUTING -i interface_publique -d ip_publique -j DNAT 192.168.0.1
Marsh Posté le 03-10-2003 à 21:43:58
g essayé avec ca, et ca marche ... ms ca marche un peu trop bien en fait, du coup le partage se chie dessus (les pakets qui sont censés revenir à mon 2ème client (192.168.0.2) repatent aussi vers 192.168.0.1 ...
g essayer de filtrer avec des ports aussi
(-p tcp --dport 1024:65535) ... ya des trucs ki passent, ms il en manke on dirait ...
pour le TCP, c ok, ca forwarde ... ms g fait la même chose pour l'udp et ca passe pas
dans mon reve, je voulais forwarder le FTP & P2P sur 192.168.0.1, puis netmeeting sur 192.168.0.2 ... est-ce ke c technikement réalisable juste avec les iptables ???
en tout cas, merci pour ta réponse!
Marsh Posté le 03-10-2003 à 21:50:55
Nash a écrit : g essayé avec ca, et ca marche ... ms ca marche un peu trop bien en fait, du coup le partage se chie dessus (les pakets qui sont censés revenir à mon 2ème client (192.168.0.2) repatent aussi vers 192.168.0.1 ... |
oui bien sur que c'est faisable
tu forward ce que tu veut ou tu veut
le truc c'est deja de bien identifier quels ports et protocoles doivent aller sur quel ip, apres les regles iptables sont facile a mettre
il se trouve que ds le traffic que tu souhaite redirige, tu as pas choisi les proto les plus simple
sachant que le FTP t as une connection commande(21) et data(20)
le netmeeting est une belle merde a configurer (proto H323), il doit falloir loader un module iptables specifique pour assurer le suivi de connection
et le p2p je sais pas vraiment ca depend du type d'outils que tu utilise
Marsh Posté le 03-10-2003 à 22:50:56
le prob, c ke je suis pas kore sur de mes bases ...
pour le moment g ke 2 règles MASQUERADE pour le partage sur mes 2 machines clientes
pour forwarder des ports, je crée des chaines PREROUTING ...
ms est-ce ke je doit faire des chaines FORWARD et POSTROUTING ? (pour le sens client->internet) ou est-ce ke le MASQUERADE s'en charge ?
voilà une idée de script ke g fait en parcourant le net, si tu pouvais me dire ce ke t'en pensais, merci! :
/usr/share/speedtouch/speedtouch.sh start
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -F POSTROUTING
#partage
iptables -t nat -A POSTROUTING -s 192.168.0.1 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.2 -o ppp0 -j MASQUERADE
#DC++
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 987 -j DNAT --to 192.168.0.1:987
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 987 -j DNAT --to 192.168.0.1:987
#FTP
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 20 -j DNAT --to-destination 192.168.0.1:20
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 21 -j DNAT --to-destination 192.168.0.1:21
Marsh Posté le 03-10-2003 à 22:58:09
je suis en policy:ACCEPT
Marsh Posté le 03-10-2003 à 23:10:38
si tu est en policy ACCEPT partout ca doit marcher
le prerouting du port 20 est inutile, car ds le cas d une connection ftp active, c'est ton serveur ftp qui va initier la connection data source port 20 a destination du client
Marsh Posté le 04-10-2003 à 00:21:39
c muet de chez muet ... j'ai l'impression ki route plus rien du tout là!
à un moment dans mes tests, j'avais réussi à faire réagir le FTP -> il captait une connexion en 0.0.0.0 puis ca coupait tout de suite
pareil pour DC++, j'avais réussi à avoir qqes résultats en mode actif.
j'avais fait mumuse avec des FORWARD je crois ...
Marsh Posté le 04-10-2003 à 11:53:22
# Generated by iptables-save v1.2.6a on Sat Oct 4 11:41:41 2003
*filter
:INPUT ACCEPT [1304:82560]
:FORWARD ACCEPT [87616:64084923]
UTPUT ACCEPT [1147:98544]
COMMIT
# Completed on Sat Oct 4 11:41:41 2003
# Generated by iptables-save v1.2.6a on Sat Oct 4 11:41:41 2003
*nat
REROUTING ACCEPT [995:60740]
OSTROUTING ACCEPT [2524:311015]
UTPUT ACCEPT [643:61354]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 987 -j DNAT --to-destination 192.168.0.1:987
-A PREROUTING -i ppp0 -p udp -m udp --dport 987 -j DNAT --to-destination 192.168.0.1:987
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.1:21
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 1024:2048 -j DNAT --to-destination 192.168.0.1
-A POSTROUTING -s 192.168.0.1 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.2 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.2 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.1 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.2 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sat Oct 4 11:41:41 2003
voilà voilà ^_^
le port 987, c pour DC++, et en mettant l'IP externe dans la config de DC++, ca marche!
reste le FTP ...
Marsh Posté le 04-10-2003 à 11:53:37
marrant les smileys ...
Marsh Posté le 04-10-2003 à 11:55:37
g bo forwarder le port 21, y tombe kan même sur le FTP de la passerelle ...
Marsh Posté le 04-10-2003 à 19:37:56
Nash a écrit : g bo forwarder le port 21, y tombe kan même sur le FTP de la passerelle ... |
ben la je vois pas...
les rules sont bonnes a part les doublons pour le masquerade, mais ca doit pas jouer sur ton redirect du 21
Marsh Posté le 03-10-2003 à 16:17:55
j'ai réussi à mettre en place ma passerelle sous MDK 9.0, ms y me reste à forwarder des ports vers ma machine du rézo ki héberge des serveurs.
g fait des recherches ms on va facilement vers des choses pas très claires pour peu k'on veuille chiader la config (j'y connais pas grand chose en iptables, et g pas vraiment le temps de m'y mettre sérieusement ... dommage )
donc, je voudrai tout simplement forwarder TOUT ce qui passe sur ma passerelle Linux vers ma bécane ki héberge des serveurs (IP : 192.168.0.1) ... enfin, tout sauf ce qui est à destination de l'autre machine en 192.168.0.2
je voudrai ke ma bécane ki héberge des serveurs (192.168.0.1) réagisse exactement comme si c'était elle ki était direct sur le net (si on entre l'IP de la passerelle sur le net, on tombe sur 192.168.0.1 ... cette machine avait en fait la connec ADSL avant)
je c ke certains me diront ke c bete (et je le sait), ms là je doi faire fissa ...
je pense vraiment ke ca doit tenir en 2 lignes ...
merci d'avance de votre aide !!!
PS : j'avais déjà un post sur le sujet, et je voulais écrire à la suite mais ... pouf, disparu le post ...
---------------
"Testing can reveal the presence of errors, not their absence." E.W Disjkstra