Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[IPTABLES] Impossible de faire du port forwarding
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
Oupsman
Veteran
Veteran


Joined: 19 Jul 2004
Posts: 1042

PostPosted: Mon Nov 06, 2006 6:13 pm    Post subject: [IPTABLES] Impossible de faire du port forwarding Reply with quote

Bon là après quelques heures de bataille, je me résoud à appeler au secours.

Je suis en train de d'essayer de paramétrer correctement mon firewall. Autant le firewall protège à peu près efficacement les services hébergés sur le serveur, autant je voudrais rediriger le port 8080 vers une autre bécane de mon réseau.

Hors, mon PDA persiste à me dire que le port est fermé :twisted:

Voici mes règles iptables :

Code:

ourson /var/log # iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             anywhere            tcp dpt:http-alt to:192.168.10.3

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  0    --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ourson /var/log # iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
DROP       0    --  anywhere             anywhere            state INVALID,NEW

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     0    --  anywhere             anywhere            state NEW,ESTABLISHED
ACCEPT     0    --  anywhere             anywhere            state NEW,ESTABLISHED
DROP       0    --  anywhere             anywhere            state INVALID,NEW

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination



Si je dois donner d'autres infos n'hésitez pas mais je débute pour ainsi dire dans l'écriture de règles iptables :oops:
_________________
--
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.

----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong."
Back to top
View user's profile Send private message
El_Goretto
Moderator
Moderator


Joined: 29 May 2004
Posts: 3110
Location: Paris

PostPosted: Mon Nov 06, 2006 6:56 pm    Post subject: Reply with quote

Je tente: net.ipv4.ip_forward = 1 ?

--
edit: ajoute un -vL à ta commande iptables, pour voir les interfaces en +.
_________________
-FreeNAS: µ-serv Gen8 G1610T, 16Go ECC & µ-serv N40L, 8Go ECC
-FreeBSD 11/Vimage/Jails: DS61, i3 2100T, 16Go
-Réseau: ERL-3 + ESL-24 + GS108Tv2
-NAS: RN312
Back to top
View user's profile Send private message
Oupsman
Veteran
Veteran


Joined: 19 Jul 2004
Posts: 1042

PostPosted: Mon Nov 06, 2006 6:58 pm    Post subject: Reply with quote

Heuh je précise que mon accès au net fonctionne parfaitement depuis les différents PC de la maison.
_________________
--
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.

----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong."
Back to top
View user's profile Send private message
Oupsman
Veteran
Veteran


Joined: 19 Jul 2004
Posts: 1042

PostPosted: Tue Nov 07, 2006 4:54 am    Post subject: Reply with quote

Voici :

Code:

ourson ~ # iptables -v -L
Chain INPUT (policy ACCEPT 316K packets, 61M bytes)
 pkts bytes target     prot opt in     out     source               destination
1784K   98M ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh
 5005 1071K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:http
 7576  956K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:smtp
    5   244 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:pop3
40969 3019K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:imap
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:imaps
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:pop3s
    1    60 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ftp
 4618  337K DROP       0    --  eth1   any     anywhere             anywhere            state INVALID,NEW

Chain FORWARD (policy ACCEPT 79369 packets, 33M bytes)
 pkts bytes target     prot opt in     out     source               destination
  614 55705 ACCEPT     0    --  eth0   eth1    anywhere             anywhere            state NEW,ESTABLISHED
78275   18M ACCEPT     0    --  eth2   eth1    anywhere             anywhere            state NEW,ESTABLISHED
    0     0 DROP       0    --  eth1   any     anywhere             anywhere            state INVALID,NEW

Chain OUTPUT (policy ACCEPT 3885K packets, 4788M bytes)
 pkts bytes target     prot opt in     out     source               destination
ourson ~ # iptables -v -L -t nat
Chain PREROUTING (policy ACCEPT 12291 packets, 762K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  any    any     anywhere             anywhere            tcp dpt:http-alt to:192.168.10.3
    0     0 DNAT       tcp  --  any    any     anywhere             anywhere            tcp dpt:49789 to:192.168.10.3

Chain POSTROUTING (policy ACCEPT 2731 packets, 208K bytes)
 pkts bytes target     prot opt in     out     source               destination
 3804  251K MASQUERADE  0    --  any    eth1    anywhere             anywhere   

Chain OUTPUT (policy ACCEPT 4098 packets, 303K bytes)
 pkts bytes target     prot opt in     out     source               destination

_________________
--
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.

----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong."
Back to top
View user's profile Send private message
Grat
n00b
n00b


Joined: 23 Sep 2006
Posts: 18

PostPosted: Tue Nov 07, 2006 7:31 am    Post subject: Reply with quote

Hum... Je vais peut être dire une connerie mais dans ta table prerouting, tu n'as pas filtré d'interface , si le PDA tente une connexion, il va pas être renvoyé vers lui même ?

Last edited by Grat on Tue Nov 07, 2006 8:06 am; edited 1 time in total
Back to top
View user's profile Send private message
-KuRGaN-
Veteran
Veteran


Joined: 05 Dec 2004
Posts: 1142
Location: Besançon (25) [FRANCE]

PostPosted: Tue Nov 07, 2006 7:52 am    Post subject: Reply with quote

J'ai eu des souçis avec iptalbes aussi, depuis que je précise l'interface dans régles, plus de souçis !!

Par contre, juste une petite question, je vois toutes des policy à ACCEPT même si tu dropes à la fin de chaque tables, tu n'as pas l'air de logguer en plus, pourquoi ce choix ?? (Ha la curiosité est un vilain défaut :lol: )
_________________
Knight Gent00 Industries RiDeR !!!!
Back to top
View user's profile Send private message
Oupsman
Veteran
Veteran


Joined: 19 Jul 2004
Posts: 1042

PostPosted: Tue Nov 07, 2006 8:38 am    Post subject: Reply with quote

Ah je note pour préciser l'interface. Je verrais bien.

Pour ce qui est des logs, je débute, j'ai pas encore finalisé vraiment mes règles iptables. Je pense que si je flingue pas la totalité de mes règles 2-3 fois, c'est que j'aurais été très productif :lol:
_________________
--
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.

----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong."
Back to top
View user's profile Send private message
Oupsman
Veteran
Veteran


Joined: 19 Jul 2004
Posts: 1042

PostPosted: Tue Nov 07, 2006 5:44 pm    Post subject: Reply with quote

Après redéfinition de mes règles iptables, ca ne marche toujours pas.

Pas contre, le coté bizarre est que je vois des paquets s'incrémenter sur lesdites règles :

Code:

ourson ~ # iptables -t nat -L -v
Chain PREROUTING (policy ACCEPT 22790 packets, 1423K bytes)
 pkts bytes target     prot opt in     out     source               destination
   48  2880 DNAT       tcp  --  eth1   any     anywhere             anywhere            tcp dpt:http-alt to:192.168.10.3

Chain POSTROUTING (policy ACCEPT 5011 packets, 397K bytes)
 pkts bytes target     prot opt in     out     source               destination
  592 38826 MASQUERADE  0    --  any    eth1    anywhere             anywhere   

Chain OUTPUT (policy ACCEPT 8163 packets, 616K bytes)
 pkts bytes target     prot opt in     out     source               destination

_________________
--
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.

----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong."
Back to top
View user's profile Send private message
Grat
n00b
n00b


Joined: 23 Sep 2006
Posts: 18

PostPosted: Tue Nov 07, 2006 8:35 pm    Post subject: Reply with quote

La règle en drop de la table forward s'incrémente aussi ?
Back to top
View user's profile Send private message
Oupsman
Veteran
Veteran


Joined: 19 Jul 2004
Posts: 1042

PostPosted: Wed Nov 08, 2006 8:54 am    Post subject: Reply with quote

Oui. Je l'ai virée, elle ne s'incrémente plus, mais ca passe pas mieux :roll:

Je craaaaqqqqquuuueeeee !!!!
_________________
--
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.

----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong."
Back to top
View user's profile Send private message
ultrabug
Developer
Developer


Joined: 24 Jan 2005
Posts: 698
Location: Paris

PostPosted: Wed Nov 08, 2006 9:13 am    Post subject: Reply with quote

Oupsman wrote:
Oui. Je l'ai virée, elle ne s'incrémente plus, mais ca passe pas mieux :roll:

Je craaaaqqqqquuuueeeee !!!!


Tu peux nous copier le code plutot que l'affichage iptables ? merci
Back to top
View user's profile Send private message
animemint
n00b
n00b


Joined: 27 Feb 2006
Posts: 16

PostPosted: Wed Nov 08, 2006 10:32 am    Post subject: Reply with quote

Si tu configures ton PDA pour utiliser un proxy à l'extérieur (par exemple celui de ton fai), tu arrives à accéder à ton serveur ou non?
Back to top
View user's profile Send private message
-KuRGaN-
Veteran
Veteran


Joined: 05 Dec 2004
Posts: 1142
Location: Besançon (25) [FRANCE]

PostPosted: Wed Nov 08, 2006 11:04 am    Post subject: Reply with quote

Un petit truc aussi pour t'aider, commence à faire des règles de log pour chaque interface par exemple, ça aide bien quand on a un service qui ne veut pas "passer" le firewall.
_________________
Knight Gent00 Industries RiDeR !!!!
Back to top
View user's profile Send private message
Oupsman
Veteran
Veteran


Joined: 19 Jul 2004
Posts: 1042

PostPosted: Wed Nov 08, 2006 4:15 pm    Post subject: Reply with quote

animemint wrote:
Si tu configures ton PDA pour utiliser un proxy à l'extérieur (par exemple celui de ton fai), tu arrives à accéder à ton serveur ou non?


Il est évident que j'utilise mon accès 3G pour tester, donc je passe par le réseau de mon téléphoniste (Orange)
_________________
--
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.

----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong."
Back to top
View user's profile Send private message
Oupsman
Veteran
Veteran


Joined: 19 Jul 2004
Posts: 1042

PostPosted: Wed Nov 08, 2006 6:52 pm    Post subject: Reply with quote

ultrabug wrote:

Tu peux nous copier le code plutot que l'affichage iptables ? merci


Voici :

Code:

ourson ~ # iptables-save
# Generated by iptables-save v1.3.6 on Wed Nov  8 21:14:14 2006
*nat
:PREROUTING ACCEPT [46510:2901561]
:POSTROUTING ACCEPT [11235:848646]
:OUTPUT ACCEPT [15491:1173093]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.10.3
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Wed Nov  8 21:14:14 2006
# Generated by iptables-save v1.3.6 on Wed Nov  8 21:14:14 2006
*filter
:INPUT ACCEPT [1778019:414534226]
:FORWARD ACCEPT [204383:83860148]
:OUTPUT ACCEPT [9159130:10309074335]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth1 -m state --state INVALID,NEW -j DROP
-A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -i eth2 -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Wed Nov  8 21:14:14 2006

_________________
--
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.

----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong."
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum