Thx a écrit 5 commentaires

  • [^] # Re: Proposition de règles iptables

    Posté par  . En réponse au message redirection de port NAT à travers OpenVPN. Évalué à 1.

    Si si tu es clair, de toutes facons, j'ai toujours RTFM pour m'aider ! :-)

    Par contre ça ne fonctionne pas …

    … mais Silmaril à la solution (voir le dernier commentaire)

    Merci quand même, c'est bien gentil de m'avoir offert ton temps !

  • [^] # Re: Problème sur le nat de la source

    Posté par  . En réponse au message redirection de port NAT à travers OpenVPN. Évalué à 2.

    Yes ! ça marche ! :D Merci !!!

  • [^] # Re: Proposition de règles iptables

    Posté par  . En réponse au message redirection de port NAT à travers OpenVPN. Évalué à 2. Dernière modification le 30/12/20 à 08:46.

    Merci pour ta proposition.

    Je ne veux fournir que 2 services : HTTP/HTTPS et SSH donc je ne vais pas forwarder tous les ports. Pour commencer je me fais la main sur HTTP (que je supprimerai probablement à terme).
    Pour ce qui est de la translation, j'en ai besoin car mon serveur hébergé propose déjà ses propres services HTTP/HTTPS/SSH.

    Est-ce que tu peux corriger ma compréhension de ta proposition :

     /usr/sbin/iptables -v -t nat -A PREROUTING -i eth0 -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 -m multiport --dports 80 --j DNAT --to-destination 192.168.15.2
    

    ==> tout ce qui arrive sur eth0 en TCP, quel que soit le client (-s 0.0.0.0/0 => utile à préciser ?) et quelle que soit l'ip assignée à eth0 (-d 0.0.0.0/0) sur le port 80 (-m multiport --dports 80 => je dois donc remplacer par 34080 => quelle est la différence avec --dport 80 ?) doit déclencher une règne DNAT et être addressé à mon RPI (--to-destination 192.168.15.2 => de dois donc préciser le port 80 pour faire la translation)

     /usr/sbin/iptables -v -A FORWARD -i eth0 -o tap0 -p tcp -s 0.0.0.0/0 --sport 1024:65535 -m conntrack --ctstate NEW,ESTABLISHED -m multiport -d 192.168.15.2 --dports 80 -j nologaccfw
    

    ==> autoriser le forward des paquets arrivant par eth0 et ressortant par tap0 (le VPN), en TCP, quelle qu'en soit l'origine depuis un port compris entre 1024 et 65535 (pourquoi limiter ?), effectuer un suivi des connexions (conntrack => pour gérer les états NEW/ESTABLISHED je suppose, et pouvoir ré-adresser les réponses à la bonne source), à destination du RPI sur le port 80. sans log

     /usr/sbin/iptables -v -A FORWARD -i tap0 -o eth0 -p tcp -m multiport -s 192.168.15.1 --sports 80 -m conntrack --ctstate ESTABLISHED -d 0.0.0.0/0 -j nologaccfw
    

    ==> sens contraire : autoriser le forward des paquets arrivant de tap0 et ressortant par eth0, dont l'origine est [le serveur ? ça ne devrait pas être l'ip du RPI plutôt ?], port 80 et correspondant à une connexion déjà établie

    Merci d'avance pour les éclaircissements :-)

  • [^] # Re: tun0

    Posté par  . En réponse au message redirection de port NAT à travers OpenVPN. Évalué à 1.

    Comme je disais, j'ai gravement perdu en connaissances d'iptables, donc ce que j'ai fait n'est pas très réfléchi et très copié-collé :(

  • [^] # Re: Ou proxy ?

    Posté par  . En réponse au message redirection de port NAT à travers OpenVPN. Évalué à 2. Dernière modification le 30/12/20 à 08:25.

    C'est une bonne idée également. En réalité j'ai 2 services à ouvrir : SSH et HTTPS. Si je ne m'en sors pas avec iptables, j'approfondirai cette proposition.