Bonjour,
 
je désire utiliser VNC sur le port 5800 (avec un navigateur et Java) depuis l'extérieur vers mon ordi qui se trouve dans un réseau local, derrière un serveur. J'essaie donc d'atteindre mon ordi en passant par le serveur : http://1.2.3.4:5800/ .
 
Pour que le serveur transmette les paquets vers mon ordi, je lui ai donné, entre autres, ces règles iptables :
 

 
Pourtant, cela ne fonctionne pas. Le navigateur me dit "Connexion refusée lors de la tentative de contact de 1.2.3.4:5800".
 
Info :
IP publique du serveur (mdk10) : 1.2.3.4
IP privée de mon ordi : 10.0.0.3
UltraVNC est bien configuré pcq l'accès direct depuis un autre PC du réseau local fonctionne ( http://10.0.0.3:5800/ ).
 
edit : résolu

Tu n'as pas d'autres règles de DROP perdus dans ton script ?
Tu autorises bien le forwarding ?
 
Si oui, postes le résultat de la sortie d'un sniffer que tu auras lancé sur ton firewall :
# tethereal -i any host 1.2.3.4 and host 10.0.0.3
 
Si trop de connections viennent te parasiter la sortie, affines la un peu :
par exemple pour virer les traces SSH
# tethereal -i any host 1.2.3.4 and host 10.0.0.3 and not port 22
 
Ensuite lances ta connection VNC, normalement tu devrais voir ce qui te bloque.
Pour une connection réussie, passant par les 2 interfaces, tu devrais voir tous tes paquets en double.

Il manque une règle SNAT pour les paquets sortants de VNC.

Par défaut, je fais pointer les chaines de la table filter par defaut sur DROP. Mais par après, je les autorise une à une.
 

Oui, avec ces règles :
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW -p tcp --dport 5800 -j ACCEPT
Les tables mangle et nat sont par défaut sur accept.
 

Comment procéder ? SNAT modifie les paquets pour indiquer une nouvelle IP source : dans quel sens l'utiliser ?
 
Je vais tenter avec le sniffer...

Petite expérience : depuis la station 10.0.0.6, je lance une requête HTTP vers le serveur 10.0.0.1:5800. Normalement, iptables devrait rediriger les paquets vers 10.0.0.3 de façon transparente, mais cela ne marche pas.
 
Voici le résultat du sniffer :

 
Je ne sais pas analyser les résultats. Quelqu'un peut-il m'aider et me dire pourquoi le forwarding des paquets ne se fait pas ?
 
edit: l'IP 216.239.59.99 correspond à Google. Ne me demandez pas qu'est-ce qu'elle vient faire là.

iptables -t nat -A PREROUTING -p tcp --dport 5800 -i eth1 -j DNAT --to-destination 10.0.0.3:5800
 
Question: est ce que les interfaces sont correctes dans tes regles. Si tu as mis -i eth1 dans ta regle et que tu attaques le FW sur l'interfaces eth0 (ou autre)... ca marchera pas

Il fallait remplacer

par

 
A ce stade, on affiche la page de connexion sur le poste client. Pour se connecter, il faut aussi forwarder sur le port 5900 (config par défaut de VNC serveur : port principal=5900, port http=5800) :

 
Merci à tous pour votre aide.