Forum Linux.redhat Probleme avec iptables

Posté par  .
Étiquettes : aucune
0
14
fév.
2005
Bonjour,
J'ai un problème avec iptables. Lorsque je veux acceder a une machines (fc2) sur mon reseau chez moi, avec ssh, qui est derriere mon routeur (fc2) depuis le web, il me dit toujour que le network error : Connection refused.

Voici mon fichier de configuration du routeur :

iptables -F
iptables -t nat -F

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 28 -j DNAT --to-destination 192.168.0.3:22

*** c'est bien mon eth0 de mon routeur qui est sur internet ***

Mais si je me connecte a mon routeur avec ssh depuis internet et que je refais ssh 192.168.0.3 je peux y acceder au poste que je desire me connecter

Si je fais iptables -t nat -nvL voici ce que ca donne :

Chain PREROUTING (policy ACCEPT 3297 packets, 486K bytes)
pkts bytes target prot opt in out source destination
1 48 DNAT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:28 to:192.168.0.3:22

Chain POSTROUTING (policy ACCEPT 27 packets, 1481 bytes)
pkts bytes target prot opt in out source destination
9 720 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 329 packets, 27046 bytes)
pkts bytes target prot opt in out source destination

Tout mes ports sont ouvert , a moin que iptables en ferme par default !!
Merci a l'avance pour l'aide apporté

  • # FORWARD?

    Posté par  . Évalué à 2.

    par hasard, tu n'as pas oublier les FORWARD necessaires ?? (de ton interface internet -> interface reseau)

    • [^] # Re: FORWARD?

      Posté par  (site web personnel) . Évalué à 2.

      D'ailleurs pour te simplifier la tâche je te conseillerai de faire tourner le démon sshd sur ton PC (qui n'est pas router) sur le port 28 aussi, ca évite que en plus de la translation d'adresse IP (IP masquerading), tu doives faire du port forwarding.
      Ensuite, lors de ta connexion ssh, tu n'as qu'à préciser le numéro de port :-)

      Sinon, je peux pas trop t'aider, j'utilise le front-end shorewall pour la redirection ou IPcop ... Bref je ne maîtrise pas trop iptables directement...

  • # iptables

    Posté par  . Évalué à 1.

    Pour les actions d'iptables par défaut, il faut savoir que c'est à toi de les définir dans ton script... (comme ça tu es sûr et c'est plus propre aussi)
    Mais vu que tu as vidé les tables NAT et FILTER avec ceci:
    iptables -F
    iptables -t nat -F
    Je pense que les actions par défaut sont justement de tout laisser passer... (tu le constates d'ailleurs avec iptables -L -v -n, c'est indiqué par policy ACCEPT).
    C'est pas sécurisé du tout, mais au moins tu peux te connecter !!

    Et si tu essayais ceci ? (eth0 est donc ton interface vers le net et eth1 celle vers le LAN)
    iptables -F
    iptables -t nat -F
    echo "0" > /proc/sys/net/ipv4/ip_forward
    iptables -t filter -A FORWARD -i eth0 -o eth1 -s 0.0.0.0/0 -d 192.168.0.2 -p tcp --dport 22 -j ACCEPT
    iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.3 -d 0.0.0.0/0 -p tcp --sport 22 -j ACCEPT
    iptables -n net -A PREROUTING -i eth0 -s 0.0.0.0/0 -d $IP_WAN -p tcp --dport 28 -j DNAT --to-destination 192.168.0.3:22
    echo "1" > /proc/sys/net/ipv4/ip_forward

    Normalement, ça devrait marcher (mais je ne fais pas de port forwarding dans mon réseau, donc je n'ai rien testé !!)

    • [^] # Re: iptables

      Posté par  . Évalué à 1.

      Avec fedora ca ne fonctionne pas mais avec debian ca fonctionne !!!! En tout cas je vais reinstaller fedora pour le re-essayer !! merci a tous

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.