Re: syntaxe iptables

2013-06-30 Par sujet Pascal Hambourg 
Salut,

Clement Delort a écrit :
> 
> Wikipédia:
> 
> "Quand la redirection de ports est activée, le système d'exploitation agira
> comme un routeur. Dans FreeBSD, NetBSD, OpenBSD, DragonFly BSD, et Darwin/Mac

Je ne sais pas comment ça se passer dans *BSD, mais dans Linux la
redirection de port est indépendante du fonctionnement en routeur (et
vice versa).

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/51d00641.5010...@plouf.fr.eu.org

Re: syntaxe iptables

2013-06-23 Par sujet Christophe 

prego jérémy a écrit :


donc dans ce cas,  la règle iptables :

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5557 -j DNAT --to-
destination 192.168.1.3:5557

devrai fonctionner directement

jerem


Sauf si il y a un iptables -t filter -P FORWARD DROP (parce qu'il me 
semble que le NAT/PAT et le filtrage sont bien deux choses 
indépendantes), ou toute autre règle similaire interdisant le traffic 
entre deux interfaces d'une même babasse.


Et dans ce cas, les deux règles :

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5557 -j DNAT 
--to-destination 192.168.1.3:5557


et

iptables -A FORWARD -p tcp -i eth0 --dport 5557 -j ACCEPT

sont nécessaires, bien que je considère la deuxième un poil trop 
laxiste. (mais peut être a t'elle été élargie pour diagnostiquer plus en 
détail le problème) .

Quoi qu'il en soit, ca devrait fonctionner comme ca.

Le coup du forward (via sysctl ou la méthode 
/proc/sys/net/ipv4/ip_forward) est également un erreur courante . Mais 
j'ai l'impression que de ce que je lis du premier post de zulian (alias 
Frédéric), que le problème n'est pas la.


Du coup, Frédéric , plusieurs questions :


Est-ce que l'adresse IPv4 publique arrive directement sur la machine qui 
fait office de firewall ?


As tu , dans tes règles IPTables en toute fin de chaine FORWARD un ligne 
du style :


iptables -t filter -A FORWARD -j LOG --log-prefix "IPTables Packet 
Dropped: " --log-level 7


? (au quel cas , tu peux voir dans le syslog si il y a des paquets 
rejetés).


y'a t'il au tout début de ta règle forward, un truc du genre :

iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
(à compléter avec des -i et -o le cas échéant)

ou au contraire, une autre regle qui interdirait tout traffic en 
provenance de l'extérieur vers l'intérieur, avant de demander à accepter 
le traffic.


Que l'on me corrige si je me trompe, mais sous netfilter/iptables , 
c'est la première règle qui l'emporte , contrairement à d'autres (pf 
pour exemple, hormis l'utilisation du mot clé "quick"), ou c'est la 
dernière qui l'emporte.


Et dernière question, depuis quelle machine testes tu la connexion à 
l'adresse IP publique ? (une machine à l'extérieur, ou une machine de 
ton réseau local ? ) ... Si c'est depuis le réseau local, il y a de 
fortes chances que cela ne fonctionne pas (a part quelques bidouilles), 
puisque c'est la machine qui détient l'adresse IP publique qui va tenter 
de répondre avec ses ports ouverts , plutôt que la machine destinataire 
de la règle NAT. Et ce n'est donc pas un test fiable.



@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/51c72e59.9090...@stuxnet.org

Re: syntaxe iptables

2013-06-22 Par sujet prego jérémy 



Le 22/06/2013 17:54, Bzzz a écrit :

On Sat, 22 Jun 2013 17:44:21 +0200
prego jérémy  wrote:

   

qu'entends tu par "mode  transparEnt"?  ta box est bien en dmz vers
192.168.1.2 ? si ce n'est pas le cas as tu ouvert le port 5557  vers
le pc 192.168.1.2 (la passerelle) ?
 

Non, ce qu'il veut dire, c'est que sa box est paramétrée en MODEM
complètement transparent; donc, son FW est en prise directe avec
l'Internet.

donc dans ce cas,  la règle iptables :

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5557 -j DNAT --to-
destination 192.168.1.3:5557

devrai fonctionner directement

jerem

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/51c5c9aa.6050...@prego-network.net

Re: syntaxe iptables

2013-06-22 Par sujet Bzzz 
On Sat, 22 Jun 2013 17:44:21 +0200
prego jérémy  wrote:

> qu'entends tu par "mode  transparEnt"?  ta box est bien en dmz vers 
> 192.168.1.2 ? si ce n'est pas le cas as tu ouvert le port 5557  vers
> le pc 192.168.1.2 (la passerelle) ?

Non, ce qu'il veut dire, c'est que sa box est paramétrée en MODEM
complètement transparent; donc, son FW est en prise directe avec
l'Internet.

-- 
Zic : comment je fais pour regarder le JT où je suis passée hier sur Internet?
Dèm : attends je te cherche le lien
Dèm : voilà : x. Faut regarder entre 15'30 et 16'40
Zic : ah mais je ne serai pas disponible à cette heure-là, je travaille
Dèm : maman

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130622175406.237c76df@anubis.defcon1

Re: syntaxe iptables

2013-06-22 Par sujet prego jérémy 



Le 22/06/2013 17:01, fred a écrit :


Internet -->  Box (mode transparent) -->  192.168.1.2 passerelle/routeur
necessité forward et ouverture du port 5557 pour 192.168.1.3


   

salut,

qu'entends tu par "mode  transparant"?  ta box est bien en dmz vers 
192.168.1.2 ? si ce n'est pas le cas as tu ouvert le port 5557  vers le 
pc 192.168.1.2 (la passerelle) ?


jeremy

--


Frédéric F1sxo
   
 
   


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/51c5c655.1000...@prego-network.net

Re: syntaxe iptables

2013-06-22 Par sujet fred 
Le Sat, Jun 22, 2013 at 12:24:19AM +0200, Jean-Michel OLTRA écrivait :
> 
> Bonjour,
> 
> 
> Le samedi 22 juin 2013, zulian a écrit...
> 
> 
> > Évidemment en local je n'ai pas de difficulté.
> 
> > Fragment de règle sur le PC passerelle
> 
> > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5557 -j DNAT --to-
> > destination 192.168.1.3:5557 
> > iptables -A FORWARD -p tcp -i eth0 --dport 5557 -j ACCEPT 
> 
> > Une idée ?
> 
> Voir si le forwarding est activé :
> cat /proc/sys/net/ipv4/ip_forward
> 
> Si non, l'activer dans /etc/sysctl.conf (man sysctl.conf)
> 


Je me suis mal exprimé, je détaille : 

- Box configurée (transparent) --> PC en 192.168.1.2
  passerelle/iptables/routeur/serveurs :  apache/ssh/postfix

- 192.168.1.2 est la passerelle entre internet et le réseau interne.

- Réseau interne : une dizaine de PC en 192.168.1.x

Tout fonctionne et les ports sont ouverts pour apache/ssh/postfix sur la
passerelle/routeur/serveurs


Le problème :

J'ai un deuxième  PC --> 192.168.1.3 qui fait serveur jeux en ligne en java 
port 5557.
Je cherche une régle iptables qui permette un accés direct via la
passerelle/routeur 192.168.1.2 depuis
l'extérieur.


Internet --> Box (mode transparent) --> 192.168.1.2 passerelle/routeur
necessité forward et ouverture du port 5557 pour 192.168.1.3 


--


Frédéric F1sxo
> 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130622150150.ga4...@zulian.fr

Re: syntaxe iptables

2013-06-22 Par sujet Clement Delort 
Salut,

Jean-Michel OLTRA  writes:
> > Voir si le forwarding est activé :
> > cat /proc/sys/net/ipv4/ip_forward
> >
> > Si non, l'activer dans /etc/sysctl.conf (man sysctl.conf)
>

+1

pour le sysctl.conf : cat /etc/sysctl.conf | grep ipv4.ip_forward
(pour plus d'info sur les commandes ... man "lacommandequejeconnaitpas" et
pour la  pipe (/paɪp/) ou tube wikipédia te donnera un 1er aperçu)

Wikipédia:

"Quand la redirection de ports est activée, le système d'exploitation agira
comme un routeur. Dans FreeBSD, NetBSD, OpenBSD, DragonFly BSD, et Darwin/Mac
OS X, le paramètrenet.inet.ip.forwarding peut être défini à 1 pour activer
ce comportement. Dans l'émulation de sysctl de Linux, ce paramètre est
appelé net.ipv4.ip_forward."

sinon si tu veux "trouver" (j'entend par là comprendre les arguments et
paramètres) il est bien évident que Jean-Michel a raison (lis les manuels)
d’ailleurs si ne lis pas le "man sysctl.conf" mon indication ne te servira
a rien (ouais je suis sadique) de plus je te conseille ce
site,
qui t'explication assez bien je trouve le fonctionnement d'un service et
des commandes a utiliser

Cordialement
Clément

Re: syntaxe iptables

2013-06-22 Par sujet Belaïd MOUNSI 
Bonjour,
Si tu es connecté à l'extérieur à travers une box, il faut que tu acctive
la redirection de port sur celle-ci pour que les requetes puissent atteidre
ton serveur de jeux.
Le 22 juin 2013 00:16, "zulian"  a écrit :

> **
>
> Bonjour,
>
>
>
>
>
> J'ai un PC (192.168.1.2) qui fait passerelle/firewall + serveur
> http/ssh/mails.
>
>
>
> Sur un deuxième PC (192.168.1.3) j'ai un serveur de jeux en java utilisant
>
> le port 5557.
>
>
>
> Je voudrai que les joueurs puissent accéder au jeu sur 192.168.1.3:5557depuis 
> l'extérieur.
>
>
>
> Je me mélange les pinceaux dans la syntaxe d'iptables pour avoir une
>
> redirection et une ouverture de ce port.
>
>
>
> Évidemment en local je n'ai pas de difficulté.
>
>
>
> Fragment de règle sur le PC passerelle
>
>
>
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5557 -j DNAT --to-
>
> destination 192.168.1.3:5557
>
> iptables -A FORWARD -p tcp -i eth0 --dport 5557 -j ACCEPT
>
>
>
>
>
> Une idée ?
>
>
>
> --
>
> Frédéric f1sxo
>

Re: syntaxe iptables

2013-06-21 Par sujet Raphaël POITEVIN 
Jean-Michel OLTRA  writes:
> Voir si le forwarding est activé :
> cat /proc/sys/net/ipv4/ip_forward
>
> Si non, l'activer dans /etc/sysctl.conf (man sysctl.conf)

Il faut surtout qu'il soit activé dans le modem routeur. Quelle est ta
config d'accès à Internet ?
-- 
Raphaël
« Tout chercheur plongé dans la science subit une poussée de bas en haut 
susceptible de lui remonter le moral. »
Monsieur Cyclopède

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/87r4fvj69j.fsf@mozart.musiciens

syntaxe iptables

2013-06-21 Par sujet zulian 
Bonjour,


J'ai un  PC  (192.168.1.2) qui fait passerelle/firewall + serveur 
http/ssh/mails.

Sur un deuxième PC  (192.168.1.3) j'ai un serveur de jeux en java utilisant 
le port 5557.

Je voudrai que les joueurs puissent accéder au jeu sur   192.168.1.3:5557  
depuis l'extérieur.

Je me mélange les pinceaux dans la syntaxe d'iptables pour avoir une 
redirection  et une ouverture de ce port.

Évidemment en local je n'ai pas de difficulté.

Fragment de règle sur le PC passerelle

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5557 -j DNAT --to-
destination 192.168.1.3:5557 
iptables -A FORWARD -p tcp -i eth0 --dport 5557 -j ACCEPT 


Une idée ?

-- 
Frédéric  f1sxo

Re: syntaxe iptables

2013-06-21 Par sujet Jean-Michel OLTRA 

Bonjour,


Le samedi 22 juin 2013, zulian a écrit...


> Évidemment en local je n'ai pas de difficulté.

> Fragment de règle sur le PC passerelle

> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5557 -j DNAT --to-
> destination 192.168.1.3:5557 
> iptables -A FORWARD -p tcp -i eth0 --dport 5557 -j ACCEPT 

> Une idée ?

Voir si le forwarding est activé :
cat /proc/sys/net/ipv4/ip_forward

Si non, l'activer dans /etc/sysctl.conf (man sysctl.conf)

-- 
jm

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130621222419.GN3115@espinasse