Re: regles forward iptable
[EMAIL PROTECTED] ([EMAIL PROTECTED]) wrote: Selon Alexandre DECORNY [EMAIL PROTECTED]: Bonjour à tous, Je vous expose la situation : J'ai un serveur qui fait passerelle web. Derriere cette passerelle ce trouve une machine avec un serveur web sur un certain port. Ce que j'aimerai c'est forwarder les requetes du port en question vers cette machine. Mais rien a faire aucunes commandes iptable ne passe :( J'en viens a me demander si il n'y a pas un module a activer... Je precise que le serveur web est accessible en local (appel avec son ip locale). Voici les regles que j'ai mis en place. Pour moi tout est correct... :( iptables -A FORWARD -p tcp --dport 23000 iptables -A FORWARD -p tcp --sport 23000 -j ACCEPT Hum Ok ton port http est le 23000, iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4700 -j DNAT --to 192.168.0.4:23000 La si tu veux faire du NAT en transfert de port en entrée. Pas de problème seulement, accept dans ton FORWARD le port 4700... ;) Essais ca par exemple : iptables -A FORWARD -p tcp --dport 4700 -j ACCEPT iptables -A FORWARD -p tcp --sport 4700 -j ACCEPT Oui peux etre que de Nater tes paquets d'un port à l'autre (meme si c'est en prés routing ) necessite d'accepter de FORWARD. Dernière chose mais c'est certain que tu l'as fait : echo 1 /proc/sys/net/ipv4/ip_forward Tu peux essayer un truc du genre : iptables -t filter -A FORWARD -i ppp0 -o eth0 -s 0.0.0.0/0 -d $target -p tcp --dport $target_port -m state --state ! INVALID -j LOG_ACCEPT iptables -t filter -A FORWARD -i eth0 -o ppp0 -s $target/$target_network -d 0.0.0.0/0 -p tcp --sport $target_port -m state --state RELATED,ESTABLISHED -j LOG_ACCEPT iptables -t nat -A PREROUTING -i ppp0 -s 0.0.0.0/0 -d $ip_ppp -p tcp --dport $target_port -m state --state ! INVALID -j DNAT --to-destination $target:$target_port iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -d $target -p tcp --dport $target_port -m state --state ! INVALID -j SNAT --to-source 192.168.0.18 Où: target=ip ton serveur HTTP target_port=80 target_network=normalement 24, chez moi différent, mais on s'en fiche. ip_ppp=l'adresse ip du lien ppp A toi de faire les modifications qui conviennent. Chez moi cela marche très bien. Bon samedi à tous. -- Christophe
regles forward iptable
Bonjour à tous, Je vous expose la situation : J'ai un serveur qui fait passerelle web. Derriere cette passerelle ce trouve une machine avec un serveur web sur un certain port. Ce que j'aimerai c'est forwarder les requetes du port en question vers cette machine. Mais rien a faire aucunes commandes iptable ne passe :( J'en viens a me demander si il n'y a pas un module a activer... Je precise que le serveur web est accessible en local (appel avec son ip locale). Voici les regles que j'ai mis en place. Pour moi tout est correct... :( iptables -A FORWARD -p tcp --dport 23000 -j ACCEPT iptables -A FORWARD -p tcp --sport 23000 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4700 -j DNAT --to 192.168.0.4:23000 D'avance merci pour aide. Alex. ___ Ce message a été vérifié par l'antivirus de MDaemon. Par précaution, n'ouvrez pas de pièces jointes de correspondant inconnus. ___
Re: regles forward iptable
Alexandre DECORNY a écrit :
Bonjour à tous,
Je vous expose la situation :
J'ai un serveur qui fait passerelle web. Derriere cette passerelle ce trouve
une machine avec un serveur web sur un certain port. Ce que j'aimerai c'est
forwarder les requetes du port en question vers cette machine. Mais rien a
faire aucunes commandes iptable ne passe :( J'en viens a me demander si il
n'y a pas un module a activer...
Je precise que le serveur web est accessible en local (appel avec son ip
locale).
Voici les regles que j'ai mis en place. Pour moi tout est correct... :(
iptables -A FORWARD -p tcp --dport 23000 -j ACCEPT
iptables -A FORWARD -p tcp --sport 23000 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4700 -j DNAT --to
192.168.0.4:23000
D'avance merci pour aide.
Alex.
___
Ce message a été vérifié par l'antivirus de MDaemon.
Par précaution, n'ouvrez pas de pièces jointes de correspondant inconnus.
___
Bonjour,
Une première vérification à faire : le noyau doit être configuré
pour transférer ('forwarder') le trafic réseau d'un interface à
une autre (ppp0 vers eth0 par exemple).
Il faut :
1) que l'option ip_forward soit activée dans le noyau (c'est le cas par
défaut sur un noyau Debian)
2) prévenir le noyau que l'on veut activer cette caractérisitque
c'est une option à modifier dans le fichier /etc/network/options
ip_forward=yes
RE: regles forward iptable
Bonjour à tous, Je vous expose la situation : J'ai un serveur qui fait passerelle web. Derriere cette passerelle ce trouve une machine avec un serveur web sur un certain port. Ce que j'aimerai c'est forwarder les requetes du port en question vers cette machine. Mais rien a faire aucunes commandes iptable ne passe :( J'en viens a me demander si il n'y a pas un module a activer... Je precise que le serveur web est accessible en local (appel avec son ip locale). Voici les regles que j'ai mis en place. Pour moi tout est correct... :( iptables -A FORWARD -p tcp --dport 23000 -j ACCEPT iptables -A FORWARD -p tcp --sport 23000 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4700 -j DNAT --to 192.168.0.4:23000 D'avance merci pour aide. Alex. Une petite erreur s'est glissé dans la redaction de l'email... il fallait lire : iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 23000 -j DNAT --to 192.168.0.4:23000 a la place de : iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4700 -j DNAT --to 192.168.0.4:23000 ___ Ce message a été vérifié par l'antivirus de MDaemon. Par précaution, n'ouvrez pas de pièces jointes de correspondant inconnus. ___
Re: regles forward iptable
Selon Alexandre DECORNY [EMAIL PROTECTED]: Bonjour à tous, Je vous expose la situation : J'ai un serveur qui fait passerelle web. Derriere cette passerelle ce trouve une machine avec un serveur web sur un certain port. Ce que j'aimerai c'est forwarder les requetes du port en question vers cette machine. Mais rien a faire aucunes commandes iptable ne passe :( J'en viens a me demander si il n'y a pas un module a activer... Je precise que le serveur web est accessible en local (appel avec son ip locale). Voici les regles que j'ai mis en place. Pour moi tout est correct... :( iptables -A FORWARD -p tcp --dport 23000 iptables -A FORWARD -p tcp --sport 23000 -j ACCEPT Hum Ok ton port http est le 23000, iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4700 -j DNAT --to 192.168.0.4:23000 La si tu veux faire du NAT en transfert de port en entrée. Pas de problème seulement, accept dans ton FORWARD le port 4700... ;) Essais ca par exemple : iptables -A FORWARD -p tcp --dport 4700 -j ACCEPT iptables -A FORWARD -p tcp --sport 4700 -j ACCEPT Oui peux etre que de Nater tes paquets d'un port à l'autre (meme si c'est en prés routing ) necessite d'accepter de FORWARD. Dernière chose mais c'est certain que tu l'as fait : echo 1 /proc/sys/net/ipv4/ip_forward D'avance merci pour aide. Alex. ___ Ce message a été vérifié par l'antivirus de MDaemon. Par précaution, n'ouvrez pas de pièces jointes de correspondant inconnus. ___ -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] This message was sent using IMP, the Internet Messaging Program.
RE: regles forward iptable
Bonjour à tous,
Je vous expose la situation :
J'ai un serveur qui fait passerelle web. Derriere cette
passerelle ce trouve
une machine avec un serveur web sur un certain port. Ce que
j'aimerai c'est
forwarder les requetes du port en question vers cette machine.
Mais rien a
faire aucunes commandes iptable ne passe :( J'en viens a me
demander si il
n'y a pas un module a activer...
Je precise que le serveur web est accessible en local (appel avec son ip
locale).
Voici les regles que j'ai mis en place. Pour moi tout est correct... :(
iptables -A FORWARD -p tcp --dport 23000 -j ACCEPT
iptables -A FORWARD -p tcp --sport 23000 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4700 -j DNAT --to
192.168.0.4:23000
D'avance merci pour aide.
Alex.
Bonjour,
Une première vérification à faire : le noyau doit être configuré
pour transférer ('forwarder') le trafic réseau d'un interface à
une autre (ppp0 vers eth0 par exemple).
Il faut :
1) que l'option ip_forward soit activée dans le noyau (c'est le cas par
défaut sur un noyau Debian)
2) prévenir le noyau que l'on veut activer cette caractérisitque
c'est une option à modifier dans le fichier /etc/network/options
ip_forward=yes
Cette option est activé dans mon script de FW avec :
echo 1 | /proc/sys/net/ipv4/ip_forward
Je precise par la meme occasion que j'ai d'autre regles forward qui
fonctionne tel que :
#Ouverture pour download signature ETrust innoculated
iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1113 -j
DNAT --to 192.168.0.1:1113
iptables -A FORWARD -i ppp0 -o eth1 -p tcp -d 192.168.0.1 --dport 1113 -j
ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1117 -j
DNAT --to 192.168.0.1:1117
iptables -A FORWARD -i ppp0 -o eth1 -p tcp -d 192.168.0.1 --dport 1117 -j
ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1119 -j
DNAT --to 192.168.0.1:1119
iptables -A FORWARD -i ppp0 -o eth1 -p tcp -d 192.168.0.1 --dport 1119 -j
ACCEPT
@+
Alex.
___
Ce message a été vérifié par l'antivirus de MDaemon.
Par précaution, n'ouvrez pas de pièces jointes de correspondant inconnus.
___
