Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1041 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  configuration iptables/nat plusieurs sous-réseaux

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

configuration iptables/nat plusieurs sous-réseaux

n°117400
minuscheri
Posté le 05-01-2014 à 01:44:58  profilanswer
 

Bonjour à tous,
 
Je viens vers vous car je n'arrive pas à m'en sortir avec la configuration d'IPtables sur un poste debian dans un environnement réseau pas franchement conventionnel.
 
Actuellement ce poste sert de modem pour une connexion Internet. La connexion est redirigée de l'interface eth0, disposant d'une IP publique (appelons-la IP_pub), vers l'interface eth1, ouverte sur le LAN.
 
Le pb est que j'aurais besoin d'accéder depuis l'extérieur à un serveur FTP qui est sur le VLAN 200, sur une autre interface physique : eth2.  
 
Mon premier problème, déjà, est de réussir à transférer le port 21 (et uniquement celui-ci) de l'IP publique sur l'interface eth0 vers l'IP locale du serveur 10.200.5.92 sur le vlan 200, soit eth2.200.
 
J'ai essayé l'ajout de la règle suivante dans la table nat :
 

Code :
  1. -A PREROUTING -p tcp -i eth0 -d [IP_pub] --dport 21 -j DNAT --to-destination 10.200.5.92


 
Eh ben ça marche pas. Le test que j'utilise : tenter de me connecter en SSH via le port redirigé, en ayant bien évidemment changé la config du serveur SSH de la machine pour qu'il écoute sur le port redirigé.
 
Ci-dessous l'ensemble de la config qui est chargée au démarrage :
 

Code :
  1. *filter
  2. #
  3. # Interfaces de confiance
  4. #
  5. -A INPUT -i lo -j ACCEPT
  6. -A INPUT -i eth1 -j ACCEPT
  7. -A INPUT -i eth2.200 -j ACCEPT
  8. -A INPUT -p tcp --dport 21 -j ACCEPT
  9. -A FORWARD -i eth1 -j ACCEPT
  10. -A FORWARD -i eth2.200 -j ACCEPT
  11. #
  12. # ACCEPT en connexion directe
  13. #
  14. -A INPUT -p icmp -j ACCEPT
  15. -A INPUT -p udp -m udp -m state --state RELATED,ESTABLISHED -j ACCEPT
  16. -A INPUT -p tcp -m tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
  17. #
  18. # NAT
  19. #
  20. -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
  21. COMMIT
  23. *mangle
  24. :PREROUTING ACCEPT [0:0]
  25. :INPUT ACCEPT [0:0]
  26. :FORWARD ACCEPT [0:0]
  27. :OUTPUT ACCEPT [0:00]
  28. COMMIT
  30. *nat
  31. :PREROUTING ACCEPT [0:0]
  32. :POSTROUTING ACCEPT [0:0]
  33. :OUTPUT ACCEPT [0:0]
  34. #
  35. # NAT
  36. #
  37. -A PREROUTING -p tcp -i eth0 -d [IP_pub] --dport 21 -j DNAT --to-destination 10.200.5.92
  38. -A POSTROUTING -o eth0 -j MASQUERADE
  39. COMMIT


 
Quelqu'un a-t-il une idée de ce qui bloque ?
 
En vous remerciant,
minuscheri

mood
Publicité
Posté le 05-01-2014 à 01:44:58  profilanswer
 

n°117402
Je@nb
Modérateur
Kindly give dime
Posté le 05-01-2014 à 11:28:02  profilanswer
 

te manque une règle forward pour autoriser la nouvelle connexion sur le port 21

n°117404
minuscheri
Posté le 05-01-2014 à 12:25:18  profilanswer
 

Bonjour,
 
Merci pour la réponse. J'ai ajouté la règle suivante :
 

Code :
  1. FORWARD -i eth0 -p tcp --dport 21 -j ACCEPT


 
Mais cela ne fonctionne toujours pas ... Le paquet semble être droppé.
 
minuscheri

n°117407
o'gure
Multi grognon de B_L
Posté le 05-01-2014 à 20:49:21  profilanswer
 

Peux tu fournir :
iptables -L -v -n
iptables -t nat -L -v -n

 

lsmod |grep ftp


Message édité par o'gure le 05-01-2014 à 20:49:43

---------------
Relax. Take a deep breath !
n°117413
minuscheri
Posté le 06-01-2014 à 00:05:14  profilanswer
 

Re-,
 
Voici les résultats :
 
iptables -L -v -n :
 

Code :
  1. Chain INPUT (policy ACCEPT 5497 packets, 279K bytes)
  2. pkts bytes target     prot opt in     out     source               destination
  3.     0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
  4.     0     0 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0
  5.   232 56260 ACCEPT     all  --  eth2.200 *       0.0.0.0/0            0.0.0.0/0
  6.     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
  7.   359 24336 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
  8. 1673  185K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp state RELATED,ESTABLISHED
  9. 8561  893K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp state RELATED,ESTABLISHED
  11. Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
  12. pkts bytes target     prot opt in     out     source               destination
  13. 491K   39M ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0
  14.     0     0 ACCEPT     all  --  eth2.200 *       0.0.0.0/0            0.0.0.0/0
  15.     3   152 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
  16. 441K   87M ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
  18. Chain OUTPUT (policy ACCEPT 16172 packets, 2156K bytes)
  19. pkts bytes target     prot opt in     out     source               destination


 
iptables -t nat -L -v -n :
 

Code :
  1. Chain PREROUTING (policy ACCEPT 415K packets, 28M bytes)
  2. pkts bytes target     prot opt in     out     source               destination
  3.     1    52 DNAT       tcp  --  eth0   *       0.0.0.0/0            [IP_pub]       tcp dpt:21 to:10.200.5.92
  5. Chain POSTROUTING (policy ACCEPT 1 packets, 52 bytes)
  6. pkts bytes target     prot opt in     out     source               destination
  7. 412K   28M MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
  9. Chain OUTPUT (policy ACCEPT 1673 packets, 119K bytes)
  10. pkts bytes target     prot opt in     out     source               destination


 
lsmod | grep ftp :
 

Code :
  1. nf_nat_ftp              2047  0
  2. nf_nat                 13404  3 ipt_MASQUERADE,iptable_nat,nf_nat_ftp
  3. nf_conntrack_ftp        5553  1 nf_nat_ftp
  4. nf_conntrack           46583  7 ipt_MASQUERADE,iptable_nat,xt_state,nf_nat_ftp,nf_nat,nf_conntrack_ipv4,nf_conntrack_ftp


 
Merci encore pour le coup de main !
 
minuscheri

n°117414
Je@nb
Modérateur
Kindly give dime
Posté le 06-01-2014 à 00:15:05  profilanswer
 

comment tu fais tes tests ?

n°117443
minuscheri
Posté le 06-01-2014 à 19:24:12  profilanswer
 

Bonsoir,
 
Je fais mes tests en tentant de me connecter en SSH (le serveur étant configuré pour écouter sur le port concerné). J'ai aussi essayé avec d'autres ports, rien n'y fait ... J'arrive toujours au timeout.
 
minuscheri

n°117447
Je@nb
Modérateur
Kindly give dime
Posté le 06-01-2014 à 22:53:24  profilanswer
 

non mais tu essaies de te connecter depuis où ?

n°117473
minuscheri
Posté le 08-01-2014 à 09:21:59  profilanswer
 

Ah depuis l'extérieur.

n°117567
minuscheri
Posté le 10-01-2014 à 09:06:49  profilanswer
 

Bonjour,
 
Quelqu'un a-t-il une idée de ce qui pourrait clocher ?
 
minuscheri


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  configuration iptables/nat plusieurs sous-réseaux

 

Sujets relatifs
Cartes réseaux qui se déconnectent sur un serveur Windows 2008 R2Plusieurs sessions du meme compte
Configuration VPN Site à Site Juniper SSG 5 et Livebox V2Configuration VLAN Taged/Untaged
VMware ESXi / VMs Cartes Réseaux VirtuellesVPN roadwarrior avec sous réseaux identiques
[Résolu]Configuration DNS dans domaineDocumentaire de vulgarisation: réseaux, sécurité informatique, net
Configuration fail2banAu secour !!!problème de configuration en routage multicast
Plus de sujets relatifs à : configuration iptables/nat plusieurs sous-réseaux

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.081 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR