Forum Linux.debian/ubuntu Migration ipfilter vers ipatables : redirection de destination

Posté par  .
Étiquettes : aucune
0
29
sept.
2011

Bonjour,

Je viens de faire une migration de mon server. Avant j'utilisais ipfilter. Maintenant, avec mon serveur debian, je dois recréer les régles qui étaient gérées par ipfilter, dans iptables.
Pour l'instant tout fonctionne à part une redirection de ssh vers une autre serveur :
Ces commandes sont appliquées sans message d'erreur de la part d'iptables :

iptables -t nat -A PREROUTING -p tcp -i eth2 -d $external_ip --dport 29001 --sport 1024:65535 -j DNAT --to-destination 10.0.1.4:22
iptables -A FORWARD -p tcp -i eth2 -o eth0 -d 10.0.1.4  --dport 29001 --sport 1024:65535 -m state --state NEW -j ACCEPT
iptables -A FORWARD -t filter -o eth2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -t filter -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT

Je n'arrive pas à me connecter sur l'autre serveur. Pourtant, le ssh accroche quelque chose car quand les règles ci-dessus ne sont pas présentes je suis directement refoulé avec le message d'erreur suivant :
ssh: connect to host $external_ip port 29001: Connection refused

Merci de votre aide.

  • # à l'instinct

    Posté par  . Évalué à 2.

    je dirais qu'il manque une route retour et un masquerade dans tes regles.

    en effet si j'arrive avec mon IP_internet sur ton serveur:29001
    tu lui dis de transmettre à 10.0.1.4:22
    soit

    mais ton serveur va voir arriver la demande comme etant de mon IP_internet
    il ne sait peut-etre pas à qui renvoyer les paquets pour cette IP.

    wireshark sur les 3 machines devrait te permettre de voir jusqu'ou ca va, et dans quel sens ca bloque

    • [^] # Re: à l'instinct

      Posté par  . Évalué à 0.

      Salut Neox,

      En effet, j'ai trouvé 2 règles invalide dans mon IP masquerade :

      J'ai du enlever ces 2 lignes qui devaient gènèrer un conflit :

      iptables -A INPUT -i eth2 -m state --state NEW,INVALID -j DROP
      iptables -A FORWARD -i eth2 -m state --state NEW,INVALID -j DROP

      une fois celles ci supprimées tout fonctionne

      Encore merci

  • # telnet

    Posté par  (site web personnel) . Évalué à 2.

    un telnet ( port ssh ) sur la machine fonctionne ?

    Système - Réseau - Sécurité Open Source

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.