Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1635 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Forwarder a l'interieur de son LAN avec iptables :)

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Forwarder a l'interieur de son LAN avec iptables :)

n°334986
ipnoz
Sapé comme jamais !
Posté le 05-10-2003 à 17:09:18  profilanswer
 

Je me suis fais un p'tit serveur Jabber@home avec un hostname du style jabber.dyndns.net . Ce serveur se trouve sur mon LAN a l'adresse 192.168.0.254 , et j'ai forwardé les ports 5222,5223,5269 de ma passerelle sur le serveur . Donc pas de pb. jabber.dyndns.net (c'est bidon bien sur ;) ) pointe bien sur mon ip internet , ca forward , y a pas de pb. mais pas depuis le LAN , ca coince . Je n'arrive pas a rediriger le traffic depuis le LAN vers le LAN . Si j'essaye d'acceder a jabber.dyndns.net depuis ma workstation 192.168.0.100 , je ne suis pas redirigé vers 192.168.0.254 . Est-ce que c'est possible de forwarder du traffic comme ca ? J'ai essayé plusieurs combinaisons avec iptables mais ca na jamais marché ...
 
Sinon , un autre truc avec iptables , est-ce que c'est possible de forwarder un port vers une ip , mais si cette ip ne repond pas present , le rediriger vers une autre ip . C'est a dire que si un serveur n'est pas en etat de marche , iptables va rediriger le traffic vers un autre serveur ( sshd en se qui me concerne ) .
 
merci d'avance .

mood
Publicité
Posté le 05-10-2003 à 17:09:18  profilanswer
 

n°334997
FloooW
Debianyse your life
Posté le 05-10-2003 à 17:25:24  profilanswer
 

et en modifiant ton /etc/hosts de la sorte :
 
192.168.0.254 jabber.dyndns.org
 
Ca devrait marcher comme ça... sinon c'est que j'ai mal compris la question ;)

n°335002
ipnoz
Sapé comme jamais !
Posté le 05-10-2003 à 17:32:21  profilanswer
 

sisi , ca marche mais c'est un peu crade , et c'est ce que j'ai fais pour l'instant . Ce que je voudrais , c'est que si je me connect sur le port 5222 de ma passerelle depuis mon LAN , elle forward vers 192.168.0.254

n°335027
nikosaka
Posté le 05-10-2003 à 18:17:29  profilanswer
 

ipnoz a écrit :

sisi , ca marche mais c'est un peu crade , et c'est ce que j'ai fais pour l'instant . Ce que je voudrais , c'est que si je me connect sur le port 5222 de ma passerelle depuis mon LAN , elle forward vers 192.168.0.254


 
un truc comme :
iptables -t nat -A PREROUTING -s 192.168.0.0/24 --dport 5222 -j DNAT --to-destination 192.168.0.254:5222
 
oublie pas de remodifier ton hosts et autrement utilise REDIRECT


Message édité par nikosaka le 05-10-2003 à 18:18:59
n°335042
ipnoz
Sapé comme jamais !
Posté le 05-10-2003 à 18:53:18  profilanswer
 

voila la regle que j'ai utilisée :
$IPT -t nat -A PREROUTING -i eth0  -p tcp -m multiport --dport 5222,5223,5269 -j DNAT --to 192.168.0.254
 
mais ca ne marche pas . Si je fais :
 

Code :
  1. [dav@ipnoz dav]$ nmap 192.168.0.1 -p 5222
  2. Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
  3. Interesting ports on passerelle.ipnoz-family.net (192.168.0.1):
  4. Port       State       Service
  5. 5222/tcp   filtered    unknown


192.168.0.1 est ma passerelle ...
un telnet sur le port 5222 ne me renvoie aucune erreur , il essaye juste de se connecter mais en vain .
 
EDIT : REDIRECT ne redirige du traffic que sur la machine elle-meme , donc ca marche pas


Message édité par ipnoz le 05-10-2003 à 18:55:42
n°335052
nikosaka
Posté le 05-10-2003 à 19:18:26  profilanswer
 

avant ouvre le port 5222 sur ta passerelle
iptables -A INPUT -p tcp --dport 5222 -j ACCEPT

n°335055
ipnoz
Sapé comme jamais !
Posté le 05-10-2003 à 19:30:26  profilanswer
 

nikosaka a écrit :

avant ouvre le port 5222 sur ta passerelle
iptables -A INPUT -p tcp --dport 5222 -j ACCEPT


 
ca sert pas a grand chose desolé :)

n°335065
nikosaka
Posté le 05-10-2003 à 19:58:06  profilanswer
 

ipnoz a écrit :


 
ca sert pas a grand chose desolé :)


 
tu as raison pour INPUT mais tu devrais laisser passer en FORWARD.
Si tu rediriges vers ton LAN en ne laissant rien ouvert ça ne va pas passer.
je te conseil de sniffer ce qui rentre et sort de ta passerelle pour voir  ;)


Message édité par nikosaka le 05-10-2003 à 19:58:19
n°335070
ipnoz
Sapé comme jamais !
Posté le 05-10-2003 à 20:07:33  profilanswer
 

non , j'ai deja essayé ... De toute facon , je laisse tout passer dans le LAN .
En faite je me demande si le FORWARD permet la redirection vers un meme reseau , ou bien ce n'est peut etre pas possible

n°335073
nikosaka
Posté le 05-10-2003 à 20:14:00  profilanswer
 

ipnoz a écrit :

non , j'ai deja essayé ... De toute facon , je laisse tout passer dans le LAN .
En faite je me demande si le FORWARD permet la redirection vers un meme reseau , ou bien ce n'est peut etre pas possible


 
tes pc du lan se connectent à ton serveur jabber sur ta passerelle par son ip publique (si elle est en connexion directe à internet) ou sur son ip privée.
parce que tu as peut-être besoin de modifier l'ip source après la redirection. par exemple :
iptables -t nat -A PREROUTING -s 192.168.0.0/24 --dport 5222 -j DNAT --to-destination 192.168.0.254:5222
et
iptables -t nat -A POSTROUTING -p tcp -s 192.68.0.0/24 -d 192.68.0.0/24 --dport 5222 -j SNAT --to-source 192.168.0.254:5222
 
comme ça le pc qui reçoit les paquets les voient en provenance du serveur jabber (fonctionnement normal) et non de ton autre pc du LAN qui lui envoie


Message édité par nikosaka le 05-10-2003 à 20:20:17
mood
Publicité
Posté le 05-10-2003 à 20:14:00  profilanswer
 

n°335154
ipnoz
Sapé comme jamais !
Posté le 05-10-2003 à 21:29:19  profilanswer
 

nikosaka a écrit :


iptables -t nat -A POSTROUTING -p tcp -s 192.68.0.0/24 -d 192.68.0.0/24 --dport 5222 -j SNAT --to-source 192.168.0.254:5222
 
comme ça le pc qui reçoit les paquets les voient en provenance du serveur jabber (fonctionnement normal) et non de ton autre pc du LAN qui lui envoie


 
voila j'ai trouvé grace a toi :) . En faite il faut rajouter cette ligne pour que ca forward a l'interieur de son LAN :
IPT -t nat -A POSTROUTING -p tcp -s  192.168.0.0/24 -d 192.168.0.254 -m multiport --dport 5222,5223,5269 -j SNAT --to-source 192.168.0.1
 
Je pige pas tout ( pourquoi le --to-source 192.168.0.1 ) mais ca a l'air bon :) . Thx a lot

n°335159
ipnoz
Sapé comme jamais !
Posté le 05-10-2003 à 21:31:37  profilanswer
 

ipnoz a écrit :


 
Sinon , un autre truc avec iptables , est-ce que c'est possible de forwarder un port vers une ip , mais si cette ip ne repond pas present , le rediriger vers une autre ip . C'est a dire que si un serveur n'est pas en etat de marche , iptables va rediriger le traffic vers un autre serveur ( sshd en se qui me concerne ) .
 
merci d'avance .


 
Ca m'a l'air pas trop possible sous iptables , mais y a t'il un soft qui me permettrait de faire ce que je demande ?
 
Je precise un FORWARD entre internet et le LAN

n°335195
djtoz
Posté le 05-10-2003 à 22:29:07  profilanswer
 

va lire ce projet, qui concerne ce que tu recherche:
http://linux-ha.org/


Message édité par djtoz le 05-10-2003 à 22:29:59

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Forwarder a l'interieur de son LAN avec iptables :)

 

Sujets relatifs
[ IPTABLES ] grosse liste d'ip à bloqueriptables : commente faire du suivi de connections udp ?
Petite question iptablesLan intégré pas détecté sous debian?
Comment marche les iptables ?Iptables et les adresses MAC
iptables... "Unknown protocol..." partout :( :([IPTABLES] redirection smtp
Iptables + pingPasserelle bridé en envoie sur mon LAN .
Plus de sujets relatifs à : Forwarder a l'interieur de son LAN avec iptables :)


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR