[CentOS] iptables récalcitrant [Résolu]

lavazavio · 20/12/2010, 18h10

Bonjour,

Je viens d'installer une CentOS 5.4 sur une machine.

En tant que root, j'essaie de rentrer des règles iptables mais elles ne veulent marcher

.

Voici un exemple de lignes que je rentre (toujours de la redirection de ports) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -nat -A PREROUTING -p tcp --dport 445 -j REDIRECT --to-ports 1445

Lorsque j'exécute la commande "setup", j'ai bien mon firewall activé. Ensuite, je supprime les règles en place et je rentre mes redirections. Résulat : iptables est toujours vide.

Ai-je oublié quelque-chose ?

Merci

Mygale1978 · 21/12/2010, 09h35

Salut,

As-tu essayé en placant tes règles directement dans /etc/sysconfig/iptables ?

http://www.cyberciti.biz/faq/rhel-fe...tion-tutorial/

JeitEmgie · 21/12/2010, 09h44

Citation:

Envoyé par lavazavio

Bonjour,

Je viens d'installer une CentOS 5.4 sur une machine.

En tant que root, j'essaie de rentrer des règles iptables mais elles ne veulent marcher

.

Voici un exemple de lignes que je rentre (toujours de la redirection de ports) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -nat -A PREROUTING -p tcp --dport 445 -j REDIRECT --to-ports 1445

Lorsque j'exécute la commande "setup", j'ai bien mon firewall activé. Ensuite, je supprime les règles en place et je rentre mes redirections. Résulat : iptables est toujours vide.

Ai-je oublié quelque-chose ?

Merci

le packet forwarding ne nécessite-t-il pas une activation au niveau du kernel ?
de mémoire quelque chose du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
echo 1 > /proc/sys/net/ipv4/ip_forward

si /proc/sys/net/ipv4/ip_forward contient 0 : il est inactif.

et quelle commande exécutez-vous pour voir les règles de prerouting ?

lavazavio · 21/12/2010, 16h39

Mon ip_forward est déjà activé.

Ca avance mais c'est toujours pas ca.

Ce que j'ai fait :
- Edition de /etc/sysconfig/iptables et commentaire de toutes les lignes (un peu barbare, je sais).
- Redémarrage d'iptables

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

service iptables restart

- Rédaction d'un script shell avec mes nouvelles règles :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
#!/bin/bash
 
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
 
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
 
iptables -A INPUT -p udp -–dport 137 -j ACCEPT
iptables -A INPUT -p udp -–dport 138 -j ACCEPT
iptables -A INPUT -p tcp -–dport 139 -j ACCEPT
iptables -A INPUT -p tcp -–dport 445 -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 137 -j REDIRECT --to-ports 1137
iptables -t nat -A PREROUTING -p udp --dport 138 -j REDIRECT --to-ports 1138
iptables -t nat -A PREROUTING -p tcp --dport 139 -j REDIRECT --to-ports 1139
iptables -t nat -A PREROUTING -p tcp --dport 445 -j REDIRECT --to-ports 1445

Après exécution du script, voici ce que renvoie iptables -L :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state ESTABLISHED
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Et voila également les erreurs qui suivent :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
iptables v1.3.5: Unknown arg `-p'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.3.5: Unknown arg `-p'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.3.5: Unknown arg `-p'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.3.5: Unknown arg `-p'
Try `iptables -h' or 'iptables --help' for more information.

JeitEmgie · 21/12/2010, 18h14

si vous voulez voir les PRE/POST routing il faut aussi passer l'argument -t

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
iptables -L -t nat

pour le -p voyez le help : je n'ai pas de 1.3.5 sous la main (mais 1.4.0 et 1.4.6 …)

lavazavio · 30/12/2010, 09h41

Ca fonctionne... J'ai fait un script avec moins de commandes iptables et ca passe... Allez comprendre !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
#!/bin/bash
 
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
 
iptables -t nat -A PREROUTING -p udp --dport 137 -j REDIRECT --to-ports 1137
iptables -t nat -A PREROUTING -p udp --dport 138 -j REDIRECT --to-ports 1138
iptables -t nat -A PREROUTING -p tcp --dport 139 -j REDIRECT --to-ports 1139
iptables -t nat -A PREROUTING -p tcp --dport 445 -j REDIRECT --to-ports 1445

Merci pour votre aide !

20/12/2010, 18h10	#1
lavazavio Rédacteur/Modérateur Inscription : décembre 2004 Messages : 1 653 Détails du profil Informations personnelles : Sexe : Âge : 30 Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : décembre 2004 Messages : 1 653 Points : 2 025 Points : 2 025	[CentOS] iptables récalcitrant Bonjour, Je viens d'installer une CentOS 5.4 sur une machine. En tant que root, j'essaie de rentrer des règles iptables mais elles ne veulent marcher . Voici un exemple de lignes que je rentre (toujours de la redirection de ports) : Code : Sélectionner tout - Visualiser dans une fenêtre à part iptables -nat -A PREROUTING -p tcp --dport 445 -j REDIRECT --to-ports 1445 Lorsque j'exécute la commande "setup", j'ai bien mon firewall activé. Ensuite, je supprime les règles en place et je rentre mes redirections. Résulat : iptables est toujours vide. Ai-je oublié quelque-chose ? Merci __________________ Rédacteur et Modérateur rubrique Linux Articles dvp.com Man pages en français
	00

21/12/2010, 09h35	#2
Mygale1978 Expert Confirmé Sénior Laurent Willems Expert Stop/Start Inscription : septembre 2002 Messages : 2 544 Détails du profil Informations personnelles : Nom : Laurent Willems Âge : 33 Localisation : Belgique Informations professionnelles : Activité : Expert Stop/Start Informations forums : Inscription : septembre 2002 Messages : 2 544 Points : 4 249 Points : 4 249	Salut, As-tu essayé en placant tes règles directement dans /etc/sysconfig/iptables ? http://www.cyberciti.biz/faq/rhel-fe...tion-tutorial/ __________________ Alea Jacta Test!
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email