Discussion :

[LosRegenados]

Bonjour,

Je m'amuse depuis quelques temps sur un linux pour rediriger des messages, et le comportement que j'obtiens me laisse perplexe...

Voici le système :



Je voudrais que le message envoyé depuis PC windows soit redirigé par PC linux vers la carte,

J'ai activé net.ipv4.ip_forward=1, j'ai nettoyé les règles iptables, il n'en existe plus aucune à ce moment la.

Puis j'ai ajouté une règle sur linux dans la table NAT:

iptables -t nat -A PREROUTING -d 192.168.1.2 -p udp --dport 49000 -j DNAT --to-destination 192.168.2.2:49500

Je souhaite donc rediriger grâce à cette règle les messages reçu en 192.168.1.2:49000 vers 192.168.2.2:49500.

Et la ça ne fonctionne pas, rien n'arrive sur la carte...

Du coup j'ai voulu faire plus simple et tester uniquement avec les PC windows/linux.

la regle suivante :

iptables -t nat -A PREROUTING -d 192.168.1.2 -p udp --dport 49000 -j DNAT --to-destination 192.168.2.1:49500

Et la miracle le message est bien redirigé en 192.168.2.1:49500, un petit socket serveur écoutant le voit bien arrivé sur le linux...
La meme chose fonctionne dans l'autre sens, pour rediriger un message de la carte reçu en 192.168.2.1 vers l'interface réseau du linux 192.168.1.2.

Ma premiere question est donc de savoir pourquoi le message peut etre redirigé depuis 192.168.1.2 vers 192.168.2.1 (en interne donc) mais pas vers l'exterieur (192.168.2.2) ?

Et la seconde serait du coup de savoir comment m'y prendre pour résoudre mon problème ?

Merci d'avance à vous!

[disedorgue]

Bonjour,

Pour comprendre ton erreur, as-tu essayé:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A PREROUTING -d 192.168.1.1 -p udp --dport 49000 -j DNAT --to-destination 192.168.2.2:49500

[LosRegenados]

Je viens de faire ta commande et cela ne fonctionne pas, sur wireShark j'ai une erreur de type "port unreachable". Ce qui me semble logique, la table PREROUTING prend comme adresses en entrées celles disponibles au niveau de la machine, dans le cas ici 192.168.1.2 et 192.168.2.1 ici (si j'ai bien compris comment elle fonctionne).

[disedorgue]

En effet,
Sinon, il faut que tu fasses aussi une règle de POSTROUTING pour que cela fonctionne à première vue.

Voir l'article suivant, ou le rédacteur explique brièvement comment cela fonctionne.

[LosRegenados]

Merci pour ce lien,
J'ai donc mis en place des regles de POSTROUTING, voila pour les moment les regles appliquées :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
iptables -t nat -A PREROUTING -d 192.168.1.2 -p udp --dport 49000 -j DNAT --to-destination 192.168.2.2:49500   /* windows vers carte */
iptables -t nat -A PREROUTING -d 192.168.2.1 -p udp --dport 49001 -j DNAT --to-destination 192.168.1.1:49002   /* carte vers windows */
 
 
iptables -t nat -A POSTROUTING -d 192.168.1.1 -p udp --dport 49000 -j DNAT --to-destination 192.168.1.2:49000 /* windows vers carte */
iptables -t nat -A POSTROUTING -d 192.168.2.2 -p udp --dport 49001 -j DNAT --to-destination 192.168.2.1:49001 /* carte vers windows */

Et ça ne marche toujours pas...

[disedorgue]

De mon coté, je ne peux pas tester, mais est-ce normal, pour le POSTROUTING, que tu fasses du un pour un dans la redirection des ports ?
En PRE, tu redirige 49000 sur 49500 et en POST tu redirige 49000 sur 49000, idem pour 49001...

[LosRegenados]

J'ai testé avec des ports identiques partout, au moins pas de soucis de ce coté la, et modification du POSTROUTING pour qu'il se débrouille tout seul :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
iptables -t nat -A PREROUTING -d 192.168.1.2 -p udp --dport 49000 -j DNAT --to-destination 192.168.2.2:49000   /* windows vers carte */
iptables -t nat -A PREROUTING -d 192.168.2.1 -p udp --dport 49001 -j DNAT --to-destination 192.168.1.1:49001   /* carte vers windows */
 
 
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

Toujours pas le moindre message qui veut bien traverser le linux...

[BufferBob]

salut,

juste pour savoir, sur la "Carte avec client/serveur udp" (192.168.2.2) tu t'attends à voir arriver un paquet avec quelle adresse IP source ? 192.168.1.1 ou 192.168.2.1 ?

[LosRegenados]

Je pense 192.168.2.1 grâce à la regle POSTROUTING.
Apres je comprends toujours pas trop ce qui se passe en interne au niveau des tables, car malgré la regle en POSTROUTING, quand je redirige le message qui arrive en 192.168.1.2 vers 192.168.2.1 il arrive bien mais avec l'ip source 192.168.1.2...

[LosRegenados]

Bonjour,

Alors j'ai découvert qu'il suffit que je redémarre la carte client/serveur une fois mes regles créées sur linux que que la redirection fonctionne.... Je ne comprends pas pourquoi mais au moins maintenant ça marche un peu !

Et la nouveau soucis, quand je supprime une règle : iptables -t nat -A PREROUTING -D 2 (pour supprimer la 2eme regle par exemple)

La regle est bien supprimée mais la redirection continue quand meme ! Meme si je fais une nouvelle regle pour rediriger les messages, c'est toujours l'ancienne qui est appliquée...

J'ai tenté un petit /etc/init.d/networking restart Mais non ça ne veut pas...

Une idée pour ces nouveaux soucis ??