Discussion :

[EMZeb]

Bonjour,

J'ai un problème avec du port forwarding :

• 1 vlan avec un serveur ssh qui écoute sur le port 8422 => <ip_serveur_ssh>
• 1 poste dans le vlan => <ip_pc_lan>
• 1 IP publique fixe => <ip_publique>
• Infrastructure réseau cisco (routeur et switch) contrôlée par un prestataire externe

J'ai demandé au prestataire de forwarder le port 8422 (TCP+UDP) vers mon serveur ssh dans mon vlan :
<ip_publique>:8422 => <ip_serveur_ssh>:8422

Il me dit que c'est fait.
Or je ne peux pas établir de connexion sur mon serveur depuis l'extérieur => ssh -p 8422 user@<ip_publique> => Connection timed out
Depuis un PC dans le vlan, aucun problème => ssh -p 8422 user@<ip_serveur_ssh> => OK !

Si je fait un scan de port via un service web :

• http://ping.eu/port-chk/
• http://www.t1shopper.com/tools/port-scan/

=> le port 8422 est considéré comme fermé...

Pour moi le port forwarding n'est pas correctement configuré et l'une ou l'autre règle sur le routeur ou le switch doit empêcher la connexion... Mais je ne contrôle absolument pas l'infrastructure réseau en amont et je suis obligé de passer par le prestataire de service externe. Il y a peut-être aussi du firewalling applicatif sur je réseau, je n'en sais rien...

Y-a-t-il quelque chose qui m'échappe et explique que je ne puisse me connecter en ssh sur mon serveur ?
Sinon auriez-vous une idée de test que je puisse faire afin de "prouver" au prestataire externe que sa config n'est pas bonne et qu'il m'empêche d'accéder à mon serveur en ssh depuis l'extérieur ?

Merci d'avance.

[troumad]

Faire un port forwarding n'implique pas ouvrir le port il me semble...
C'est un peu comme quand tu demandes un pot d'eau, tu ne demande pas obligatoirement un pot d'eau avec de l'eau dedans

[ram-0000]

Si un pc dans le VLAN arrive à se connecter, c'est que le port est ouvert.

Maintenant, si tu n'y arrives pas de l'extérieur, c'est que soit la NAT ne fonctionne pas, soit il y a un autre équipement de filtrage sur la route.

Les iptables de ta machines ne sont pas en cause des fois (autant commencer par le plus simple) ?

Au fait, pourquoi tu demandes une NAT sur les ports TCP et UDP ? UDP est vraiment utilisé ? Parce que ton test avec SSH ne permet de tester que la partie TCP de la NAT, ssh n'est pas un client UDP.