configuration iptables/nat plusieurs sous-réseaux

Marsh Posté le 05-01-2014 à 01:44:58

Bonjour à tous,

Je viens vers vous car je n'arrive pas à m'en sortir avec la configuration d'IPtables sur un poste debian dans un environnement réseau pas franchement conventionnel.

Actuellement ce poste sert de modem pour une connexion Internet. La connexion est redirigée de l'interface eth0, disposant d'une IP publique (appelons-la IP_pub), vers l'interface eth1, ouverte sur le LAN.

Le pb est que j'aurais besoin d'accéder depuis l'extérieur à un serveur FTP qui est sur le VLAN 200, sur une autre interface physique : eth2.

Mon premier problème, déjà, est de réussir à transférer le port 21 (et uniquement celui-ci) de l'IP publique sur l'interface eth0 vers l'IP locale du serveur 10.200.5.92 sur le vlan 200, soit eth2.200.

J'ai essayé l'ajout de la règle suivante dans la table nat :

Code :

-A PREROUTING -p tcp -i eth0 -d [IP_pub] --dport 21 -j DNAT --to-destination 10.200.5.92

Eh ben ça marche pas. Le test que j'utilise : tenter de me connecter en SSH via le port redirigé, en ayant bien évidemment changé la config du serveur SSH de la machine pour qu'il écoute sur le port redirigé.

Ci-dessous l'ensemble de la config qui est chargée au démarrage :

Code :

*filter
#
# Interfaces de confiance
#
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth2.200 -j ACCEPT
-A INPUT -p tcp --dport 21 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i eth2.200 -j ACCEPT
#
# ACCEPT en connexion directe
#
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
#
# NAT
#
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:00]
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#
# NAT
#
-A PREROUTING -p tcp -i eth0 -d [IP_pub] --dport 21 -j DNAT --to-destination 10.200.5.92
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

Quelqu'un a-t-il une idée de ce qui bloque ?

En vous remerciant,
minuscheri

Reply

Marsh Posté le 05-01-2014 à 01:44:58

Reply

Marsh Posté le 05-01-2014 à 11:28:02

te manque une règle forward pour autoriser la nouvelle connexion sur le port 21

Reply

Marsh Posté le 05-01-2014 à 12:25:18

Bonjour,

Merci pour la réponse. J'ai ajouté la règle suivante :

Code :

FORWARD -i eth0 -p tcp --dport 21 -j ACCEPT

Mais cela ne fonctionne toujours pas ... Le paquet semble être droppé.

minuscheri

Reply

Marsh Posté le 05-01-2014 à 20:49:21

Peux tu fournir :
iptables -L -v -n
iptables -t nat -L -v -n

lsmod |grep ftp

Message édité par o'gure le 05-01-2014 à 20:49:43

---------------
Relax. Take a deep breath !

Reply

Marsh Posté le 06-01-2014 à 00:05:14

Re-,

Voici les résultats :

iptables -L -v -n :

Code :

Chain INPUT (policy ACCEPT 5497 packets, 279K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0
232 56260 ACCEPT all -- eth2.200 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
359 24336 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
1673 185K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp state RELATED,ESTABLISHED
8561 893K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp state RELATED,ESTABLISHED
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
491K 39M ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- eth2.200 * 0.0.0.0/0 0.0.0.0/0
3 152 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
441K 87M ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
Chain OUTPUT (policy ACCEPT 16172 packets, 2156K bytes)
pkts bytes target prot opt in out source destination

iptables -t nat -L -v -n :

Code :

Chain PREROUTING (policy ACCEPT 415K packets, 28M bytes)
pkts bytes target prot opt in out source destination
1 52 DNAT tcp -- eth0 * 0.0.0.0/0 [IP_pub] tcp dpt:21 to:10.200.5.92
Chain POSTROUTING (policy ACCEPT 1 packets, 52 bytes)
pkts bytes target prot opt in out source destination
412K 28M MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 1673 packets, 119K bytes)
pkts bytes target prot opt in out source destination

lsmod | grep ftp :

Code :

nf_nat_ftp 2047 0
nf_nat 13404 3 ipt_MASQUERADE,iptable_nat,nf_nat_ftp
nf_conntrack_ftp 5553 1 nf_nat_ftp
nf_conntrack 46583 7 ipt_MASQUERADE,iptable_nat,xt_state,nf_nat_ftp,nf_nat,nf_conntrack_ipv4,nf_conntrack_ftp

Merci encore pour le coup de main !

minuscheri

Reply

Marsh Posté le 06-01-2014 à 00:15:05

comment tu fais tes tests ?

Reply

Marsh Posté le 06-01-2014 à 19:24:12

Bonsoir,

Je fais mes tests en tentant de me connecter en SSH (le serveur étant configuré pour écouter sur le port concerné). J'ai aussi essayé avec d'autres ports, rien n'y fait ... J'arrive toujours au timeout.

minuscheri

Reply

Marsh Posté le 06-01-2014 à 22:53:24

non mais tu essaies de te connecter depuis où ?

Reply

Marsh Posté le 08-01-2014 à 09:21:59

Ah depuis l'extérieur.

Reply

Marsh Posté le 10-01-2014 à 09:06:49

Bonjour,

Quelqu'un a-t-il une idée de ce qui pourrait clocher ?

minuscheri

Reply

configuration iptables/nat plusieurs sous-réseaux

Sujets relatifs:

Leave a Replay