Je plante le décor:
J'ai une machine, routeur, qui fait du NAT pour mon LAN. Sur ce LAN, j'ai un serveur FTP, que je souhaite rendre accessible de l'extérieur.
J'ai donc mis les règles suivantes dans mon scripts de Firewall:
 
#on accepte les connexions sur le port 21
iptables -A INPUT -j ACCEPT -p TCP -i ppp0 -m state --state NEW,ESTABLISHED --dport 21
# on forwarde les paquets vers la machine en interne
iptables -t nat -A PREROUTING -d 62.212.xxx.xxx -p tcp --dport 21 -j DNAT --to-destination 192.168.22.2:21
iptables -A FORWARD -i ppp0 -p tcp --dport 21 -d 192.168.22.2 -j ACCEPT
 
Pourtant, quand je fais un nmap de ma machine NATteuse, il m'indique que le port 21 est fermé......
Y'a pas moyen, j'arrive pas à l'ouvrir.
 
J'ai lu attentivement le post de tatanka se rapprochant de près de celui-là, j'y ai appris des choses, mais je pense que mon pb est différent.  
Merci de votre aide

en quoi est il different de celui de tatanka ?

relis le topic de tatanka ....

normal que ton 21 soit ferme puisque je suppose que tu fais nmap de l'interieur
 
vires la regle -i ppp0 pour tester

 
t'as premiere regle est inutile, la chaine forward et input sont totalement independant.
sinon, tu peux nous filer ton ip pour qu'on teste (en MP), parce que moi, les teste en local ont pas marché, mais ça marche depuis l'exterieur (merci saudium   )
 
sinon, tu peux essayer avec mes regles (elles sont un piti peu différente des tiennes

à tout hasard est-ce que tu as des règles concernat l'ip spoofing ? pcq en forwardant sur une ip privée, tu vas te retrouver avec une ip externe qui essaye d'accéder à une ip privée ce qui est interdit si tu te protèges de l'ip spoofing

 
c'est quoi la différence entre le nat et le spoofing

le nat te permet de modifier les adresses (soit source, soit de destination). là je suppose que je ne t'apprends rien
 
l'anti-ipspoofing vise à empêcher que qq ne rentre sur ton réseau avec une ip (ou à destination d'une ip) qui n'est pas normale (genre une 192.168.0.x qui vient en entrée du web (interface ppp0)).
 
il n'y a pas de rapport entre les deux à proprement parler.
Mais si il a ceci par exemple :
iptables -t nat -A PREROUTING -d 62.212.xxx.xxx -p tcp --dport 21 -j DNAT --to-destination 192.168.22.2:21  
iptables -A FORWARD -i ppp0 -d !$EXTERNAL_IP -j DROP
iptables -A FORWARD -i ppp0 -p tcp --dport 21 -d 192.168.22.2 -j ACCEPT
 
1 il transforme la destination des ips qui se connectent sur son port 21 en adresse interne.
2 il drop toute les connexions qui proviennent d'internet et dont a destination n'est pas sont adresse externe (pour éviter l'ipsoofing).
 
Du coup ça ne fctera jamais...

[jfdsdjhfuetppo]--Message édité par ethernal--[/jfdsdjhfuetppo]

je ne veux pas de dire de betises mais pourquoi tu forces a ouvrir ce port ??
 
Si tu as un daemon ftp qui tourne derriere il va ouvrir tout seul le port 21 (a moins que tu ne le bloques) non ??
 
j'ai dit une connerie ??
 
Et si ton serveur ftp est sur une autre becane tu forward le port vers ta passerelle

[jfdsdjhfuetppo]--Message édité par Lebibi--[/jfdsdjhfuetppo]

Lebibi> c'est ce qu'il veut faire son démon tourne sur une autre machine, et il veut forwarder le port vers le serveur ftp.

ok
 
voila ce que j'ai comme regle chez moi pour forwarder le port 80
j'ai donc une connection ppp (aol)
 
 
/sbin/iptables -A PREROUTING -i ppp0 -t nat -p tcp --dport 80 -j DNAT --to 192.168.0.3:80
 
Et ca marche, a essayer
Tu l'adaptes a ta sauce et tu rajoutes ca dans ton script sur ta passerelle
 
A+

[jfdsdjhfuetppo]--Message édité par Lebibi--[/jfdsdjhfuetppo]