Conversation
precedente ou
suivante
IPtables et forwarding ?!?!?
Envoyé par:
magicbret
Bonsoir ou plutôt bonjour,
Je me décide à poster ayant passer de nombreuses heures à chercher, en vain.
Mon problème est le suivant :
J'ai une livebox, configurée en routeur NAT sans DHCP. Derrière, j'ai Linux et des règles de filtrage iptables. Et encore derrière j'ai mon lAN. Le forwarding marche bien pour internet, mais en revanche, je n'arrive pas à configurer iptables pour laisser passer VNC et ainsi contrôler les machines du LAN. Le port est ouvert dans la box mais je sèche pour la règle iptables. Est-ce que le fait de traverser 2 NAT rend la chose impossible ?
Merci de votre aide !
Je me décide à poster ayant passer de nombreuses heures à chercher, en vain.
Mon problème est le suivant :
J'ai une livebox, configurée en routeur NAT sans DHCP. Derrière, j'ai Linux et des règles de filtrage iptables. Et encore derrière j'ai mon lAN. Le forwarding marche bien pour internet, mais en revanche, je n'arrive pas à configurer iptables pour laisser passer VNC et ainsi contrôler les machines du LAN. Le port est ouvert dans la box mais je sèche pour la règle iptables. Est-ce que le fait de traverser 2 NAT rend la chose impossible ?
Merci de votre aide !
Poste le Sunday 3 February 2008 04:44:47
Re: IPtables et forwarding ?!?!?
Envoyé par:
magicbret
Ca y est j'ai trouvé.
En fait j'avais rajouter une politique sur la table mangle, ce qui devait bloquer autre chose mais je ne sais quoi. J'ai donc réussi à router le et les ports que je voulais.
Pour info et à ceux qui galèrent comme moi, voici ma règle pour router le port 3389 vers un PC de mon LAN
#Forward du port 7800 & 3389 Remote Desktop
iptables -t nat -A PREROUTING -d a.a.a.a -p tcp --dport 5900 -j DNAT --to-dest b.b.b.b:5900
iptables -t nat -A PREROUTING -d a.a.a.a -p tcp --dport 3389 -j DNAT --to-dest b.b.b.b:3389
iptables -t nat -A POSTROUTING -d b.b.b.b -p tcp --dport 7800 -j SNAT --to a.a.a.a
iptables -t nat -A POSTROUTING -d b.b.b.b -p tcp --dport 3389 -j SNAT --to a.a.a.a
S'il y a des erreurs ou s'il y a moyen d'être envore plus restrictif, pouvez-vous me le dire.
Mes policy sont les suivantes :
INPUT DROP / OUTPUT ACCEPT / FORWARD ACCEPT
Table NAT :
PREROUTING ACCCEPT / POSTROUTING ACCEPT / OUTPUT ACCEPT
En fait j'avais rajouter une politique sur la table mangle, ce qui devait bloquer autre chose mais je ne sais quoi. J'ai donc réussi à router le et les ports que je voulais.
Pour info et à ceux qui galèrent comme moi, voici ma règle pour router le port 3389 vers un PC de mon LAN
#Forward du port 7800 & 3389 Remote Desktop
iptables -t nat -A PREROUTING -d a.a.a.a -p tcp --dport 5900 -j DNAT --to-dest b.b.b.b:5900
iptables -t nat -A PREROUTING -d a.a.a.a -p tcp --dport 3389 -j DNAT --to-dest b.b.b.b:3389
iptables -t nat -A POSTROUTING -d b.b.b.b -p tcp --dport 7800 -j SNAT --to a.a.a.a
iptables -t nat -A POSTROUTING -d b.b.b.b -p tcp --dport 3389 -j SNAT --to a.a.a.a
S'il y a des erreurs ou s'il y a moyen d'être envore plus restrictif, pouvez-vous me le dire.
Mes policy sont les suivantes :
INPUT DROP / OUTPUT ACCEPT / FORWARD ACCEPT
Table NAT :
PREROUTING ACCCEPT / POSTROUTING ACCEPT / OUTPUT ACCEPT
Poste le Sunday 3 February 2008 11:00:09
Ce forum !
IPtables et forwarding ?!?!?
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons