Bonjour,
Je viens de faire une migration de mon server. Avant j'utilisais ipfilter. Maintenant, avec mon serveur debian, je dois recréer les régles qui étaient gérées par ipfilter, dans iptables.
Pour l'instant tout fonctionne à part une redirection de ssh vers une autre serveur :
Ces commandes sont appliquées sans message d'erreur de la part d'iptables :
iptables -t nat -A PREROUTING -p tcp -i eth2 -d $external_ip --dport 29001 --sport 1024:65535 -j DNAT --to-destination 10.0.1.4:22
iptables -A FORWARD -p tcp -i eth2 -o eth0 -d 10.0.1.4 --dport 29001 --sport 1024:65535 -m state --state NEW -j ACCEPT
iptables -A FORWARD -t filter -o eth2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -t filter -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
Je n'arrive pas à me connecter sur l'autre serveur. Pourtant, le ssh accroche quelque chose car quand les règles ci-dessus ne sont pas présentes je suis directement refoulé avec le message d'erreur suivant :
ssh: connect to host $external_ip port 29001: Connection refused
Merci de votre aide.
# à l'instinct
Posté par NeoX . Évalué à 2.
je dirais qu'il manque une route retour et un masquerade dans tes regles.
en effet si j'arrive avec mon IP_internet sur ton serveur:29001
tu lui dis de transmettre à 10.0.1.4:22
soit
mais ton serveur va voir arriver la demande comme etant de mon IP_internet
il ne sait peut-etre pas à qui renvoyer les paquets pour cette IP.
wireshark sur les 3 machines devrait te permettre de voir jusqu'ou ca va, et dans quel sens ca bloque
[^] # Re: à l'instinct
Posté par dubis . Évalué à 0.
Salut Neox,
En effet, j'ai trouvé 2 règles invalide dans mon IP masquerade :
J'ai du enlever ces 2 lignes qui devaient gènèrer un conflit :
iptables -A INPUT -i eth2 -m state --state NEW,INVALID -j DROP
iptables -A FORWARD -i eth2 -m state --state NEW,INVALID -j DROP
une fois celles ci supprimées tout fonctionne
Encore merci
# telnet
Posté par nono14 (site web personnel) . Évalué à 2.
un telnet ( port ssh ) sur la machine fonctionne ?
Système - Réseau - Sécurité Open Source
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.