Forum Linux.général Iptable - ssh vers tout un sous-réseau

Posté par  .
Étiquettes : aucune
0
17
sept.
2009
Bonjour,

Un réseau est connecté à mon lan par une passerelle/firewall. Initialement on devait pouvoir sortir de ce sous-réseau (LAN2) mais non y entrer, j'ai donc installé une distribution smoothwall 3.0 vert/rouge.


LAN -------RED-SMOOTHWALL-GREEN------LAN2

192.168.1.0/24----------------192.168.5.0/24


Mon souci est qu'il va me falloir accéder à des machines du LAN2, par ssh, depuis le LAN1.
Avec une seule machine de destination, (192.168.5.196 par ex )
pas de problème, j'y parviens.


En revanche, je ne parviens pas à obtenir le même résultat pour tout le sous réseau. Smoothwall n'accepte pas de *, ALL, anywhere, ou même 192.168.5.0/24 comme destination.
Ca ne me choque pas plus que ça. Mais existe t'il une règle IPTABLE qui me permettrait de faire ce que je veux : accéder à n'importe quelle machine du LAN2, comme si le port 22 était transparent.

J'avais essayé d'ajouter cette règle :
iptables -A FORWARD -s 0/0 -i eth1 -d 192.168.5.0/24 -o eth0 -p TCP --dport 22 -j ACCEPT

Merci d'avance.

PS/ pour des raisons pratique j'aimerais éviter de créer de multiples règles en "incrémentant" les port.

  • # logiquement

    Posté par  . Évalué à 2.

    J'avais essayé d'ajouter cette règle :
    iptables -A FORWARD -s 0/0 -i eth1 -d 192.168.5.0/24 -o eth0 -p TCP --dport 22 -j ACCEPT

    ce n'est pas mal sauf que -s 0/0 c'est pas tres clean

    en simplifiant et en supposant que
    eth1 = LAN
    eth0 = LAN2

    en supposant qu'il n'y ai que LAN2 derriere eth0 et que tu veuilles acceder depuis tout LAN à LAN2 en ssh, cela pourrait donner ca :
    iptables -A FORWARD -i eth1 -o eth0 -p TCP --dport 22 -j ACCEPT

    il faut peut-etre aussi ajouter une regle sur POSTROUTING dans le sens LAN => LAN2
    iptables -t nat -A POSTROUTING -o eth0 -s IP_ta_machine -j MASQUERADE


    un shema valant mieux qu'un long discours
    http://www.rigacci.org/wiki/lib/exe/detail.php/doc/appunti/l(...)
    tu rentres en haut gauche, tu sors en bas à droite

    • [^] # Re: logiquement

      Posté par  . Évalué à 1.

      Merci pour ta réponse.

      C'est vrai que le 0/0 sur la source c'est pas terrible. En plus mon problème portait plus sur le -d que sur le -s :)

      Et oui, il n'y a que le LAN2 derrière eth0.

      Je pense que ta seconde ligne pourrait m'aider, en effet. Mais autant sur les input/output/forward je suis à peu près, autant les pre/post routing je suis pas à l'aise.

      Je vais tester tout ça en tout cas.

      O.

      • [^] # Re: logiquement

        Posté par  . Évalué à 2.

        Je pense que ta seconde ligne pourrait m'aider, en effet. Mais autant sur les input/output/forward je suis à peu près, autant les pre/post routing je suis pas à l'aise.
        je te rassure moi aussi j'ai parfois besoin du schema pour savoir comment sont appliqués les regles

        regarde le schema, ca peut aider à comprendre dans quel ordre les regles sont appliquées

        • [^] # Re: logiquement

          Posté par  . Évalué à 1.

          Je teste plus en détail demain mais on dirait que ça fonctionne. :)

  • # iptables flowchart

    Posté par  (site web personnel) . Évalué à 1.

    http://www.google.fr/url?sa=t&source=web&ct=res&(...)

    Système - Réseau - Sécurité Open Source

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.