Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[IPTABLES/VNC] Problème de port forwarding
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
armkreuz1
Tux's lil' helper
Tux's lil' helper


Joined: 31 Mar 2004
Posts: 142
Location: Melocheville, Québec, Canada

PostPosted: Sat Jan 20, 2007 4:26 pm    Post subject: [IPTABLES/VNC] Problème de port forwarding Reply with quote

J'ai un ordinateur Gentoo comme routeur. Je tente de faire du port forward pour accéder à une de mes machines avec vnc, mais sans succes.

Le plus étrange est que Remote desktop fonctionne, et mon serveur ftp également.

Voici mes règles IPTABLES:

Code:


#!/bin/bash

#Effacez les règles en cours)

iptables -F
iptables -t nat -F

#(Configurez les règles par défaut pour s'occuper du traffic restant)

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#iptables -P FORWARD ACCEPT

#(Copiez et collez ces exemples...)

export LAN=eth0
export WAN=eth1

#(Rendez les services accessibles uniquement à nos machines locales)
#iptables -I INPUT 1 -i ${LAN} -j ACCEPT
#iptables -I INPUT 1 -i lo -j ACCEPT
#iptables -A INPUT -p UDP --dport bootps -i ! ${LAN} -j REJECT
#iptables -A INPUT -p UDP --dport domain -i ! ${LAN} -j REJECT

#(Facultatif : autoriser l'accès au serveur ssh depuis l'extérieur)

iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT

#(Éliminez les paquets destinés aux ports privilégiés)

#iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
#iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP

#(Ajoutez les règles pour le NAT)

iptables -I FORWARD -i ${LAN} -d 192.168.0.0/255.255.0.0 -j DROP
iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -A FORWARD -i ${WAN} -d 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE

#(Indiquez au noyau d'effectuer le transfert IP)

echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done


#Bloquer les requetes Ping

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

#               PORTS FORWARDIN VERS X2

iptables -t nat -A PREROUTING -p tcp --dport 21 -i ${WAN} -j DNAT --to 192.168.0.100


iptables -t nat -A PREROUTING -p tcp --dport 3389 -i ${WAN} -j DNAT --to 192.168.0.100


iptables -t nat -A PREROUTING -p tcp --dport 59521 -i ${WAN} -j DNAT --to 192.168.0.100


iptables -t nat -A PREROUTING -p tcp --dport 6666 -i ${WAN} -j DNAT --to 192.168.0.100


iptables -t nat -A PREROUTING -p tcp --dport 2222 -i ${WAN} -j DNAT --to 192.168.0.100


Comme vous le deviner le pc auquel je veux accéder est 192.168.0.100 et mon routeur est le 192.168.0.1

Y voyez-vous une erreur?
Back to top
View user's profile Send private message
loopx
Advocate
Advocate


Joined: 01 Apr 2005
Posts: 2787
Location: Belgium / Liège

PostPosted: Sat Jan 20, 2007 4:58 pm    Post subject: Reply with quote

pour le ping, tu peux faire passer genre 4 packet / minutes, ainsi tu peux tester, mais après il répondra plus, juste un tit test... sauf si tu veux le rendre invisible .... alors la ca convient pas...

EDIT, je comprend pas bien, tu pourrais pas nous filer le schéma de ta topologie ??

Tu fais des règles directement sur un reso class B (255.255.0.0), moi je trouve ca étrange...
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org
Back to top
View user's profile Send private message
armkreuz1
Tux's lil' helper
Tux's lil' helper


Joined: 31 Mar 2004
Posts: 142
Location: Melocheville, Québec, Canada

PostPosted: Sat Jan 20, 2007 6:44 pm    Post subject: Reply with quote

Bon, pour commencer, je dois avouer que la réseautique n'est pas mon point fort.

En gros mon réseau est:

Mon pc principal ( dual boot gentoo/ windows ) sur lequel il y a un serveur ftp, vnc et remote desktop 192.168.0.100

mon routeur ( gentoo ) 192.168.0.1

mon routeur gentoo est relier à une switch Nortel 24 port

sur la switch, je branche mon PC

ensuite je branche sur la switch nortel une autre switch ( 192.168.0.2 routeur/switch US Robotic , petit model Model: USR5461 WiFi ) pour me connecter wifi avec mes 2 laptop ( 192.168.0.200 et 192.168.0.201 )

J'ai suivi cette doc pour monter mon routeur: http://www.gentoo.org/doc/fr/home-router-howto.xml

Besoin de plus d'info?
Back to top
View user's profile Send private message
ultrabug
Developer
Developer


Joined: 24 Jan 2005
Posts: 698
Location: Paris

PostPosted: Tue Jan 23, 2007 5:03 pm    Post subject: Reply with quote

Pkoi utiliser un routeur pour communiquer entre deux PC d'un meme réseau ? 8O

Sinon, en lisant tes règles, je ne trouve pas de règle parlant du port VNC : 5900, a moins que tu ai modifié le port d'écoute de ton serveur VNC ?

Bon courage
Back to top
View user's profile Send private message
armkreuz1
Tux's lil' helper
Tux's lil' helper


Joined: 31 Mar 2004
Posts: 142
Location: Melocheville, Québec, Canada

PostPosted: Tue Jan 23, 2007 6:38 pm    Post subject: Reply with quote

En effet, je n'utilise pas le port 5900/5800, mais bien le port 6666
Back to top
View user's profile Send private message
zyprexa
Apprentice
Apprentice


Joined: 26 Dec 2004
Posts: 180

PostPosted: Wed Jan 24, 2007 2:33 am    Post subject: Reply with quote

En ce qui concerne la configuration, tu as repris tous les éléments du howto.

Je te conseillerai d'essayer en ajoutant 6666+1 à tes règles sinon d'effectuer des tests avec le port par défaut.
Je m'étonne de l'absence du module de suivi de connexion ftp, mais vu que ca fonctionne sans...

Cette approche est intéressante, mais pour ma part j'essayerait plutôt en partant d'une politique DROP. A la base, ce n'est pas nécessaire vu qu'aucun serveur n'est sensé tourner sur le routeur.

Au niveau politique de sécurité, je suggèrerai de renforcer également les règles entre le LAN et le routeur, dans le cas où un élément du LAN serait compromis.
_________________
enjoy
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum