Re: regles forward iptable
[EMAIL PROTECTED] ([EMAIL PROTECTED]) wrote: Selon Alexandre DECORNY [EMAIL PROTECTED]: Bonjour à tous, Je vous expose la situation : J'ai un serveur qui fait passerelle web. Derriere cette passerelle ce trouve une machine avec un serveur web sur un certain port. Ce que j'aimerai c'est forwarder les requetes du port en question vers cette machine. Mais rien a faire aucunes commandes iptable ne passe :( J'en viens a me demander si il n'y a pas un module a activer... Je precise que le serveur web est accessible en local (appel avec son ip locale). Voici les regles que j'ai mis en place. Pour moi tout est correct... :( iptables -A FORWARD -p tcp --dport 23000 iptables -A FORWARD -p tcp --sport 23000 -j ACCEPT Hum Ok ton port http est le 23000, iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4700 -j DNAT --to 192.168.0.4:23000 La si tu veux faire du NAT en transfert de port en entrée. Pas de problème seulement, accept dans ton FORWARD le port 4700... ;) Essais ca par exemple : iptables -A FORWARD -p tcp --dport 4700 -j ACCEPT iptables -A FORWARD -p tcp --sport 4700 -j ACCEPT Oui peux etre que de Nater tes paquets d'un port à l'autre (meme si c'est en prés routing ) necessite d'accepter de FORWARD. Dernière chose mais c'est certain que tu l'as fait : echo 1 /proc/sys/net/ipv4/ip_forward Tu peux essayer un truc du genre : iptables -t filter -A FORWARD -i ppp0 -o eth0 -s 0.0.0.0/0 -d $target -p tcp --dport $target_port -m state --state ! INVALID -j LOG_ACCEPT iptables -t filter -A FORWARD -i eth0 -o ppp0 -s $target/$target_network -d 0.0.0.0/0 -p tcp --sport $target_port -m state --state RELATED,ESTABLISHED -j LOG_ACCEPT iptables -t nat -A PREROUTING -i ppp0 -s 0.0.0.0/0 -d $ip_ppp -p tcp --dport $target_port -m state --state ! INVALID -j DNAT --to-destination $target:$target_port iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -d $target -p tcp --dport $target_port -m state --state ! INVALID -j SNAT --to-source 192.168.0.18 Où: target=ip ton serveur HTTP target_port=80 target_network=normalement 24, chez moi différent, mais on s'en fiche. ip_ppp=l'adresse ip du lien ppp A toi de faire les modifications qui conviennent. Chez moi cela marche très bien. Bon samedi à tous. -- Christophe
regles forward iptable
Bonjour à tous, Je vous expose la situation : J'ai un serveur qui fait passerelle web. Derriere cette passerelle ce trouve une machine avec un serveur web sur un certain port. Ce que j'aimerai c'est forwarder les requetes du port en question vers cette machine. Mais rien a faire aucunes commandes iptable ne passe :( J'en viens a me demander si il n'y a pas un module a activer... Je precise que le serveur web est accessible en local (appel avec son ip locale). Voici les regles que j'ai mis en place. Pour moi tout est correct... :( iptables -A FORWARD -p tcp --dport 23000 -j ACCEPT iptables -A FORWARD -p tcp --sport 23000 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4700 -j DNAT --to 192.168.0.4:23000 D'avance merci pour aide. Alex. ___ Ce message a été vérifié par l'antivirus de MDaemon. Par précaution, n'ouvrez pas de pièces jointes de correspondant inconnus. ___
Re: regles forward iptable
Alexandre DECORNY a écrit : Bonjour à tous, Je vous expose la situation : J'ai un serveur qui fait passerelle web. Derriere cette passerelle ce trouve une machine avec un serveur web sur un certain port. Ce que j'aimerai c'est forwarder les requetes du port en question vers cette machine. Mais rien a faire aucunes commandes iptable ne passe :( J'en viens a me demander si il n'y a pas un module a activer... Je precise que le serveur web est accessible en local (appel avec son ip locale). Voici les regles que j'ai mis en place. Pour moi tout est correct... :( iptables -A FORWARD -p tcp --dport 23000 -j ACCEPT iptables -A FORWARD -p tcp --sport 23000 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4700 -j DNAT --to 192.168.0.4:23000 D'avance merci pour aide. Alex. ___ Ce message a été vérifié par l'antivirus de MDaemon. Par précaution, n'ouvrez pas de pièces jointes de correspondant inconnus. ___ Bonjour, Une première vérification à faire : le noyau doit être configuré pour transférer ('forwarder') le trafic réseau d'un interface à une autre (ppp0 vers eth0 par exemple). Il faut : 1) que l'option ip_forward soit activée dans le noyau (c'est le cas par défaut sur un noyau Debian) 2) prévenir le noyau que l'on veut activer cette caractérisitque c'est une option à modifier dans le fichier /etc/network/options ip_forward=yes
RE: regles forward iptable
Bonjour à tous, Je vous expose la situation : J'ai un serveur qui fait passerelle web. Derriere cette passerelle ce trouve une machine avec un serveur web sur un certain port. Ce que j'aimerai c'est forwarder les requetes du port en question vers cette machine. Mais rien a faire aucunes commandes iptable ne passe :( J'en viens a me demander si il n'y a pas un module a activer... Je precise que le serveur web est accessible en local (appel avec son ip locale). Voici les regles que j'ai mis en place. Pour moi tout est correct... :( iptables -A FORWARD -p tcp --dport 23000 -j ACCEPT iptables -A FORWARD -p tcp --sport 23000 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4700 -j DNAT --to 192.168.0.4:23000 D'avance merci pour aide. Alex. Une petite erreur s'est glissé dans la redaction de l'email... il fallait lire : iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 23000 -j DNAT --to 192.168.0.4:23000 a la place de : iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4700 -j DNAT --to 192.168.0.4:23000 ___ Ce message a été vérifié par l'antivirus de MDaemon. Par précaution, n'ouvrez pas de pièces jointes de correspondant inconnus. ___
Re: regles forward iptable
Selon Alexandre DECORNY [EMAIL PROTECTED]: Bonjour à tous, Je vous expose la situation : J'ai un serveur qui fait passerelle web. Derriere cette passerelle ce trouve une machine avec un serveur web sur un certain port. Ce que j'aimerai c'est forwarder les requetes du port en question vers cette machine. Mais rien a faire aucunes commandes iptable ne passe :( J'en viens a me demander si il n'y a pas un module a activer... Je precise que le serveur web est accessible en local (appel avec son ip locale). Voici les regles que j'ai mis en place. Pour moi tout est correct... :( iptables -A FORWARD -p tcp --dport 23000 iptables -A FORWARD -p tcp --sport 23000 -j ACCEPT Hum Ok ton port http est le 23000, iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4700 -j DNAT --to 192.168.0.4:23000 La si tu veux faire du NAT en transfert de port en entrée. Pas de problème seulement, accept dans ton FORWARD le port 4700... ;) Essais ca par exemple : iptables -A FORWARD -p tcp --dport 4700 -j ACCEPT iptables -A FORWARD -p tcp --sport 4700 -j ACCEPT Oui peux etre que de Nater tes paquets d'un port à l'autre (meme si c'est en prés routing ) necessite d'accepter de FORWARD. Dernière chose mais c'est certain que tu l'as fait : echo 1 /proc/sys/net/ipv4/ip_forward D'avance merci pour aide. Alex. ___ Ce message a été vérifié par l'antivirus de MDaemon. Par précaution, n'ouvrez pas de pièces jointes de correspondant inconnus. ___ -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] This message was sent using IMP, the Internet Messaging Program.
RE: regles forward iptable
Bonjour à tous, Je vous expose la situation : J'ai un serveur qui fait passerelle web. Derriere cette passerelle ce trouve une machine avec un serveur web sur un certain port. Ce que j'aimerai c'est forwarder les requetes du port en question vers cette machine. Mais rien a faire aucunes commandes iptable ne passe :( J'en viens a me demander si il n'y a pas un module a activer... Je precise que le serveur web est accessible en local (appel avec son ip locale). Voici les regles que j'ai mis en place. Pour moi tout est correct... :( iptables -A FORWARD -p tcp --dport 23000 -j ACCEPT iptables -A FORWARD -p tcp --sport 23000 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4700 -j DNAT --to 192.168.0.4:23000 D'avance merci pour aide. Alex. Bonjour, Une première vérification à faire : le noyau doit être configuré pour transférer ('forwarder') le trafic réseau d'un interface à une autre (ppp0 vers eth0 par exemple). Il faut : 1) que l'option ip_forward soit activée dans le noyau (c'est le cas par défaut sur un noyau Debian) 2) prévenir le noyau que l'on veut activer cette caractérisitque c'est une option à modifier dans le fichier /etc/network/options ip_forward=yes Cette option est activé dans mon script de FW avec : echo 1 | /proc/sys/net/ipv4/ip_forward Je precise par la meme occasion que j'ai d'autre regles forward qui fonctionne tel que : #Ouverture pour download signature ETrust innoculated iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1113 -j DNAT --to 192.168.0.1:1113 iptables -A FORWARD -i ppp0 -o eth1 -p tcp -d 192.168.0.1 --dport 1113 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1117 -j DNAT --to 192.168.0.1:1117 iptables -A FORWARD -i ppp0 -o eth1 -p tcp -d 192.168.0.1 --dport 1117 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1119 -j DNAT --to 192.168.0.1:1119 iptables -A FORWARD -i ppp0 -o eth1 -p tcp -d 192.168.0.1 --dport 1119 -j ACCEPT @+ Alex. ___ Ce message a été vérifié par l'antivirus de MDaemon. Par précaution, n'ouvrez pas de pièces jointes de correspondant inconnus. ___