Bonjour,
 
Je sais que IPTABLES est un sujet récurent, mais je ne cherche pas à faire un iptables "standard".
 
 
Je m'explique :
 
Actuellement mon FW filtre tout en entrée (wan0) et laisse tout en sortie.
 
Mais je suis en train de mètre en place un passerelle RDP/VNC sur cette passerelle.
 
Donc j'ai autaurisé le port RDP 3389 en entrée sur la passerelle, là pas de soucis.
 
Ensuite, ma passerelle RDP fournit un interface pour relayer le RDP sur du VNC/RDP sur un hote distant ou interne.
 
C'est là ou est le soucis :
 
Je recherche à donner les règles iptables pour :
 
- Autoriser le port 3389 de wan0 à lo
- Autoriser lo vers wan0 sur le port 3389 à destination de 80.XXX.XXX.XXX (ip spécifique).
- Autoriser lo vers eth0 port 3389 vers eth0.*
- Interdire les connexions de lo vers wan0 sur le port 3389
 
Bien sur, jautorise toujours les clients sur eth0 de se connectés au 3389 vers exterieur.
 
Tout cella pour évité à quelqu'un de l'exterieur de se connecter sur ma passrelle RDP pour se connecter à un serveur exterieur n'etant pas gèrer par moi même, tout en laissant l'exterieur de se connecter via le relais en interne.
 
Si vous avez besoin de plus d'information, n'hesitez pas !
Merci.

Ecris tes règles déjà, on commentera après si ça marche pas.

Je met un resumé de mon iptables :
 

 
Bien entendu, cella marche pas du tout, et c'est pour cella que je vous demande de l'aide.
 
Je connait uniquement les bases sur iptables ....
 
Merci.

c'est quoi ta passerelle rdp/vnc ?

C'est presque simple :
 
Je n'ai pratiquement que des serveurs sous Linux (Debian essentiellement), et quelques rares sous Windows.
 
Le clients, essentiellement du XP pro, doivent pouvoir se connecter à certains serveur sans ajouts d'application préalables.
 
Or sur linux c'est principalement VNC qui est utiliser, et sous Windows RDP.
 
J'ai donc mit en place une passerelle sous linux (qui gère donc le pare feu dans le cas présent), et accepte les connexion VNC et RDP sur ses port respectif (Dans ce cas là on ne parle que du port RDP).
 
Un client sous XP pour se connecter au serveur 4 sous linux par exemple, doit se connecter en RDP sur la passerelle, puis celle-ci fourni une interface de relayage.
 
Le client tappe donc le nom ses identifiants du serveur auquel il veut accèder ainsi que le protocole sur le serveur distant (ici VNC).
 
La passrelle metteras en relation le client RDP du XP sur le serveur VNC du serveur 4 et tout cella seras transparent pour le client (il à pas a utilise vncviewer mais seulement MSTSC).
 
La procéssus inverse est aussi possible, je le metterais en place un peut plus tard, du fait que j'ai plus de client RDP --> que de vNC --> RDP.

et ton serveur linux il utilise quel "serveur rdp" ?

xrdp que j'ai recompiler pour modifier 2/3 conneries dans l'interface.

ligne 12 je mettrais ACCEPT moi

En effet j'ai ecrit une bourde, mais cella fonctionne pas car la syntaxe de la ligne de commande est pas bonne il dit que le --to-destination est pas valable ici...
 
J'ai enormement de mal à combiner les regles ensemble sans avoir ce type de messages d'erreur ...
 
Et le man m'aide pas reelement pour des cas un peut "specifiques".

c'est --destination (ou -d) et pas besoin de -t filter

et c'est rien de spécifique tes règles du standard.

--to-destination c'est pour le NAT/PAT
-i c'est "INput interface", et la ligne 12 c'est une une rule sur la chain OUTPUT
 
ça devrais pltôt resembler à ça: iptables -A OUTPUT -p tcp --dport 3389  -d 10.33.24.0/24 -o lo -j ACCEPT

m'étonnerai que le -o lo convienne à un -d 10.33.24.0/24

 
j'ai repris sa commande hein, t'apelles ton interface comme tu veux... Si y a un reseau en 10.33.24.0/24 dérrière, pas de soucis

lo c'est localhost je te rappelle.
va sortir un paquet vers 10.33.24.0/24 par lo

 
"lo", c'est une convention.
 
 
si ça lui plait d'appeler "lo" une autre interface, il peut

ouais enfin, t'en connais bcp des interfaces s'appelant lo et n'étant pas localhost ?
 
Arrète de faire l'imbécile stp..., t'es déjà à supinfo

 
kweel un trolleur