Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[Shorewall] redirection de port (explication DNAT) [Résolu]
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
Aachen_france
Tux's lil' helper
Tux's lil' helper


Joined: 07 Jul 2006
Posts: 92

PostPosted: Fri Jul 07, 2006 8:01 am    Post subject: [Shorewall] redirection de port (explication DNAT) [Résolu] Reply with quote

Bonjour a tous,

Je me presente en premier, je suis Aachen, je me trouve en france dans le nord est...
J'ai une connection chez wanadoo, avec une serveur sous Gentoo.
Dans ce serveur il y a deux carte reseau, une brancher sur le moden LAN, et l'autres sur un reseau domestique....
DOnc mon serveur me sert de DHCP, de serveur de stockage et de partage de conextion internet...
Je precise aussi que je m'y connais tres peut un Linux, le configuration du serveur a ete faites pas un colegue...

Voila je voudrais faire 2 chose:
1) ouvrir le ssh au net (accesibilite du ssh a l'exterieur)
2) redirection du port 10001 de l'exterieur vers un machine du reseau qui a l'ip 192.168.0.251

Pour ceci, j'ai mis comme config du shorewall comme ca
Code:

DNAT net loc:192.168.0.1 tcp ssh
DNAT net fw:192.168.0.1 tcp ssh
DNAT  net loc:192.168.0.251 tcp 10001
REJECT net fw all


alors le probleme, c'est que rien ne marche de l'exterieur...
J'ai demande a un camarade de faire un ping de ma machine de l'extereur, il n'a pas eu de reponse.
En interne le ssh fonctionne tres bien...

Vous pourrez m'aider peut etre?

Merci d'avance pour toutes vos reponses...

a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh


Last edited by Aachen_france on Tue Jul 11, 2006 11:20 am; edited 1 time in total
Back to top
View user's profile Send private message
Il turisto
l33t
l33t


Joined: 12 May 2004
Posts: 968
Location: Battincourt - Belgique

PostPosted: Fri Jul 07, 2006 8:18 am    Post subject: Reply with quote

pour le ping c'est simplement parce que ton firewall dtoi dropper les paquets par soucis de sécurité.

Cela est donc très bien.

Si il n'a pas de putty demande lui de faire un telnet:

Code:

telnet tonip 22


Afin de voir si ton firewall est bien config ou pas.

Sinon tu peux toujours regarder dans les logs (/var/log/)
Back to top
View user's profile Send private message
Aachen_france
Tux's lil' helper
Tux's lil' helper


Joined: 07 Jul 2006
Posts: 92

PostPosted: Fri Jul 07, 2006 8:37 am    Post subject: Reply with quote

Merci de ta reponce,

En effet j'ai putty... et qd je le fait en local sur le reseau, je n'ai pas de probleme...

Cepandant qd je le fait d'un autre poste externe au reseau (c'est a dire de mon boulot par exemple vers ma maison, donc par internet) il ne fonctionne pas...

Mon Firewall est sans aucun doute mal configurer... mais ou?

c'est pourkoi j'ai mon l'extrai de mon rules

a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh
Back to top
View user's profile Send private message
razer
l33t
l33t


Joined: 08 Oct 2004
Posts: 893
Location: Paris - France

PostPosted: Fri Jul 07, 2006 9:06 am    Post subject: Re: [Shorewall] redirection de port (explication DNAT) Reply with quote

Aachen_france wrote:

Pour ceci, j'ai mis comme config du shorewall comme ca
Code:

DNAT net loc:192.168.0.1 tcp ssh
DNAT net fw:192.168.0.1 tcp ssh
DNAT  net loc:192.168.0.251 tcp 10001
REJECT net fw all



Essaye :
Code:

ACCEPT net fw tcp ssh -
DNAT net loc:192.168.0.1:ssh tcp ssh
DNAT  net loc:192.168.0.251:10001 tcp 10001
REJECT net fw all
Back to top
View user's profile Send private message
Il turisto
l33t
l33t


Joined: 12 May 2004
Posts: 968
Location: Battincourt - Belgique

PostPosted: Fri Jul 07, 2006 9:07 am    Post subject: Reply with quote

Je ne me souviens plus de shorewall mais je pense que ca :

Code:

DNAT net loc:192.168.0.1 tcp ssh
DNAT net fw:192.168.0.1 tcp ssh
DNAT  net loc:192.168.0.251 tcp 10001
REJECT net fw all


bloque tout du net vers ton fw.
a mon avis ta règle reject devrait être au dessus des autres mais je n'en suis pas sur.

Qu'as tu dans tes logs?
Back to top
View user's profile Send private message
Aachen_france
Tux's lil' helper
Tux's lil' helper


Joined: 07 Jul 2006
Posts: 92

PostPosted: Fri Jul 07, 2006 11:16 am    Post subject: Reply with quote

Je vous remercie beaucoup de toutes vos reponces, je vais ess et je vous tiendrais au courrant

merci
a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh
Back to top
View user's profile Send private message
man in the hill
Veteran
Veteran


Joined: 15 Dec 2005
Posts: 1552
Location: Madinina

PostPosted: Fri Jul 07, 2006 11:49 am    Post subject: Reply with quote

Salut,

Si ton ssh fonctionne en local, tu n'as pas besoin de forwarder le ssh vers les autres machines, il suffit de mettre une régle pour arriver sur ton serveur.

Mes 2 cent...


@+
_________________
Get Up and Go !
Back to top
View user's profile Send private message
Aachen_france
Tux's lil' helper
Tux's lil' helper


Joined: 07 Jul 2006
Posts: 92

PostPosted: Sat Jul 08, 2006 8:34 am    Post subject: Reply with quote

bon bien ca marche pas...

une idee? j'ai meme remplacer le therme ssh par le 22 pour le port

a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh
Back to top
View user's profile Send private message
razer
l33t
l33t


Joined: 08 Oct 2004
Posts: 893
Location: Paris - France

PostPosted: Sat Jul 08, 2006 1:07 pm    Post subject: Reply with quote

Bon donne déjà la sortie de :
iptables -L |grep policy

Si elle te donne "DROP" vire ta ligne "REJECT", elle ne sert à rien et risque de mettre le brin

Ensuite,
iptables -t nat -L |grep policy
Cette fois ci tu avoir "ACCEPT", le cas inverse vérifie ton shorewall.conf
Back to top
View user's profile Send private message
loopx
Advocate
Advocate


Joined: 01 Apr 2005
Posts: 2787
Location: Belgium / Liège

PostPosted: Sat Jul 08, 2006 3:10 pm    Post subject: Reply with quote

Salut, j'ai plus ou moins la meme config que toi pour mon serveur @home (stockage, partage du net, service en tout genre pour le local ou l'extérieur).

Déjà, tu as un MODEM LAN ? Donc, un routeur, qui se connecte sur ta carte reso. De ce fait, pour rediriger un port (ex: port 1234 de l'extérieur = port 22 en local sur ton serveur), tu dois configurer ton routeur de manière à ce qu'une connection en TCP sur 1234 de l'extérieur soit redirigé sur ton serveur au port 22.

Si tu veux rediriger un port sur une autre machine que ton serveur, tu dois configurer ton routeur pour renvoyer au serveur (comme indiqué ci dessus) + config iptables sur ton serveur pour qu'il renvoye une connexion en provenance du port X sur l'interface X sur une autre ip à un certain port. Ex: connex(port 1234) => routeur => serveur(port 1234) => ton_ip_de_ton_pc(mon_port_de_destination)
Heu, c'est pas très claire...

Une fois ton routeur configuré et ton firewall sur ton serveur configuré + iptables configurer pour renvoyer vers un autre pc en local (si tu le souhaites ....) et ben ca doit fonctionner.

EDIT: tu aura surement besoin de ddclient (pour utiliser dyndns, pour que tu avoir un nom de domaine qui pointe ton routeur).
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org
Back to top
View user's profile Send private message
Aachen_france
Tux's lil' helper
Tux's lil' helper


Joined: 07 Jul 2006
Posts: 92

PostPosted: Sat Jul 08, 2006 9:15 pm    Post subject: Reply with quote

loopx: Je n'ai pas de routeur... J'ai un modem Ethernet si tu prefaire.. c'est pas une routeur, il a besions d'un PC lui donnant les praramettres de connection (username, pass.....FAI)

raser: j'ai fait tous se que tu as dit, j'ai bien DROP au premier test, avec ou sans REJECT, et j'ai bien ACCEPT au deuxieme test...
Ca ne viens pas de mon dyndns, mais du shorewall je pense...
mais qd je coupe le shorewall, je ne peux meme plus surfer de mes postes de travail...

Voila j'ai un probleme
qq1 a une idee?

a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh
Back to top
View user's profile Send private message
loopx
Advocate
Advocate


Joined: 01 Apr 2005
Posts: 2787
Location: Belgium / Liège

PostPosted: Sun Jul 09, 2006 1:19 am    Post subject: Reply with quote

Aachen_france wrote:
loopx: Je n'ai pas de routeur... J'ai un modem Ethernet si tu prefaire.. c'est pas une routeur, il a besions d'un PC lui donnant les praramettres de connection (username, pass.....FAI)


Heu, je vois pas trop non. Tu veux dire que la première fois, tu dois brancher ton modem sur ton pc (via un cable réseau) pour le configurer (avec un programme se trouvant sur un cd) ?

Si tu t'y connecte via l'ethernet, surement que tu devrais avoir une ip sur ton "modem" pour pouvoir envoyer les packets vers internet (ip de la passerelle). Donc, si oui, faut bien configurer le "modem" pour rediriger le traffic externe vers le réseau interne.

Maintenant, peut etre qu'il y a un truc que j'ai jamais pigé ... Explique moi parce que j'ai encore jamais vu un "appareil" qui se branche via un cable réseau et qui ne possède pas d'ip (donc, qui ne peux etre configuré pour faire du DNAT). Ceci rendrait donc impossible l'accès à un pc en local de l'extérieur...
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org
Back to top
View user's profile Send private message
CryoGen
Veteran
Veteran


Joined: 11 Feb 2004
Posts: 1426
Location: Bamako - Mali - Afrique

PostPosted: Sun Jul 09, 2006 2:42 am    Post subject: Reply with quote

Connexion PPPoE non ?
_________________
- CryoGen` on #gentoofr@irc.freenode.net
- ~amd64 / KDE4
- I'm the bone of my sword...
Back to top
View user's profile Send private message
Aachen_france
Tux's lil' helper
Tux's lil' helper


Joined: 07 Jul 2006
Posts: 92

PostPosted: Sun Jul 09, 2006 6:33 am    Post subject: Reply with quote

Bonjour,

Mon modem c'est une speedtouch en ethernet. il fonctionne comme un modem en usb.
http://www.priceminister.com/offer/buy/5177490/Modem-Thomson-Speed-Touch-510-Ethernet-Accessoire.html

ou pppeo ca me dit qqch je crois que c'est ca...

Sur mon modem je n'ai pas la possibilite de faire firewall... il fait juste le connection au net...

a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh
Back to top
View user's profile Send private message
Aachen_france
Tux's lil' helper
Tux's lil' helper


Joined: 07 Jul 2006
Posts: 92

PostPosted: Sun Jul 09, 2006 1:32 pm    Post subject: Reply with quote

Code:
Action         Source       Destination                  Protocole       Source ports     Destination ports
ACCEPT         Zone ipv4   Firewall                       TCP               Tous                  ssh     
DNAT          Zone ipv4   Machine(s):
                                   192.168.0.1:22
                                   de la zone ipv4            TCP               Tous                  22       
DNAT          Zone ipv4   Machine(s):
                                   192.168.0.251:10001
                                   de la zone ipv4            TCP               Tous                  10001



Ceci est se que j'ai comme regle sur shorewall... d'apres le webmin....

si ca peut vous aider?
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh
Back to top
View user's profile Send private message
Aachen_france
Tux's lil' helper
Tux's lil' helper


Joined: 07 Jul 2006
Posts: 92

PostPosted: Mon Jul 10, 2006 8:44 am    Post subject: Reply with quote

Bonjour,

Je remonte un peu le sujet car je n'ai toujours pas de solution...

Peut etre ce concentrer dans une premier tps d'ouvir le ssh au net...

merci

a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh
Back to top
View user's profile Send private message
Aachen_france
Tux's lil' helper
Tux's lil' helper


Joined: 07 Jul 2006
Posts: 92

PostPosted: Mon Jul 10, 2006 12:34 pm    Post subject: Reply with quote

Je parle tout seul maintenant... que ce passe t'il?

a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh
Back to top
View user's profile Send private message
Il turisto
l33t
l33t


Joined: 12 May 2004
Posts: 968
Location: Battincourt - Belgique

PostPosted: Mon Jul 10, 2006 12:49 pm    Post subject: Reply with quote

Désolé mais je n'ai pas de solutions à te fournir.
Back to top
View user's profile Send private message
man in the hill
Veteran
Veteran


Joined: 15 Dec 2005
Posts: 1552
Location: Madinina

PostPosted: Mon Jul 10, 2006 1:57 pm    Post subject: Reply with quote

Salut,

Un lien:
http://www.shorewall.net/FAQ_fr.html#faq1a

Il me semble que tes règles sont bonnes...et que l'aide de Razer et Il_Turisto sont ds le bon sens...
Je sais qu'il y a firestarter qui est aussi une interface graphique d'iptables (que je n'ai pas utilisé). Si tu as le temps écris toi ton parfeu, un ex du mien qui est assez simple mais très efficace :
http://www.guidelinux.org/phpBB/viewtopic.php?t=256&start=30
Regarde les lien qui y sont , pour plus d'info et il y a aussi une adresse pour tester tes ports...
Je n'ai pas de DNAT ds mon script mais tu peux le rajouter facilement en t'inspirant des liens cités.
Si tu veux faire plus complexe :
http://pasdou.info/index.php?option=com_content&task=view&id=26&Itemid=35


@+
_________________
Get Up and Go !
Back to top
View user's profile Send private message
Il turisto
l33t
l33t


Joined: 12 May 2004
Posts: 968
Location: Battincourt - Belgique

PostPosted: Mon Jul 10, 2006 2:12 pm    Post subject: Reply with quote

Ici tu utilises shorewall et c'est ton droit mais il est vrai que si tu ne maîtrises pas bien tout cela une interface graphique telle que fwbuilder (gui over iptables) serait peut être utile.


ps : @man in the hill : Il turisto et non Il_Turisto ;-)
Back to top
View user's profile Send private message
Aachen_france
Tux's lil' helper
Tux's lil' helper


Joined: 07 Jul 2006
Posts: 92

PostPosted: Tue Jul 11, 2006 7:14 am    Post subject: Reply with quote

Bonjour,

CA MARCHE une peu!!!


Je vous remercie pour tous les conseils que vous m'avait donne...

J'ai mis des ligne hier sur mon shorewall, ca a l'air de marcher comme je veux...

Code:

DNS/ACCEPT loc $FW
DNS/ACCEPT $FW net
SSH/ACCEPT loc $FW
SSH/ACCEPT $FW net
DNAT net loc:192.168.0.251 tcp 10001
#REJECT net fw all


Il me reste un petit soucis, je crois que mon DynDNS ne ce m'ai pas a jour automatiquement....

Wanadoo, force le changement d'IP une fois par jour, mais le DynDNS ne suis pas... je suis obliger de la faire manuellement par le site...

Une idee de ce cote?

merci
a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh


Last edited by Aachen_france on Tue Jul 11, 2006 11:19 am; edited 1 time in total
Back to top
View user's profile Send private message
Il turisto
l33t
l33t


Joined: 12 May 2004
Posts: 968
Location: Battincourt - Belgique

PostPosted: Tue Jul 11, 2006 7:37 am    Post subject: Reply with quote

ton routeur peut peut-être le mettre à jour sinon sur leur site il doit exister des programmes.

Perso je suis chez dynu (dynu.com) et ils fournissent des scripts linux.
Back to top
View user's profile Send private message
Aachen_france
Tux's lil' helper
Tux's lil' helper


Joined: 07 Jul 2006
Posts: 92

PostPosted: Tue Jul 11, 2006 10:18 am    Post subject: Reply with quote

Salut,

merci pour votre soutien, et vos reponces

oui il y a bien ca sur leur site... https://www.dyndns.com/support/clients/unix.html
mais c'est lequel le script qui fait le maj????? c'est la la question....

Comme wanadoo coupe le connection au moins 1 fois par jour, on a mis un script qui verifier la connection au net toutes les minutes, et la retablie en cas de perte... c'est peut etre la ou il faut regarder, ou dans le adsl-start peut etre!

Bon je vrai creuse le probleme...

a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh
Back to top
View user's profile Send private message
Aachen_france
Tux's lil' helper
Tux's lil' helper


Joined: 07 Jul 2006
Posts: 92

PostPosted: Tue Jul 11, 2006 11:14 am    Post subject: Reply with quote

Bonjour,


Ne cherche plus je crois avoir trouver le probleme...
Comme je ne connais plus le mots de pas etc... je l'avais redemander, mais il en redonner un autre, qu'il fallait mettre a jour... hors je n'avais plus le bon... donc j'ai changer...

Je pense que ca va marcher maintenant


En tous cas merci a vous tous, et continuer ainsi, c'est super pour de nul comme moi...


a+ aachen

PS: en fait je me suis monter un PC avec VDR (Live bien sur) et une carte sat dedans... ca marche vraiment du tonner pour un mediacenter complet... je recommende
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum