Discussion :

[Shiva]

Bonjour,
J'ai un petit problème avec iptables.
Je souhaite faire une chose simple (en théorie) avec bacula. Je cherche à rediriger tout ce qui arrive de l'extérieur du LAN vers la machine 192.168.1.3, le tout en passant la ma machine qui me sert de routeur et donc qui a 192.168.1.2 sur eth0 et une ip publique sur eth1
Je cherche depuis quelque temps déjà sur le net quelques solutions mais j'avoue ne pas être un
connaisseur d'iptables.
Un grand merci d'avance pour votre aide :-)

Stéphane

[becket]

Un schéma de ton réseau ( avec les ips ) et un peu plus d'explications seraient bienvenue.

[Shiva]

Voici un petit schéma :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
 
+---------------------+    __________    +---------------------+
| client              |   /          \   | routeur             |
| 88.191.10.10 - eth0 |---| internet |---| 78.230.10.10 - eth1 |
+---------------------+   \__________/ /-| 192.168.1.2  - eth0 |
                                       | +---------------------+
                                       |
                                       | +--------------------+
                                       \-| bacula             |
                                         | 192.168.1.3 - eth0 |
                                         +--------------------+

Le but de l'opération est de dire au routeur de laisser passer tous les flux sur les ports 9101, 9102 et 9103 venant du client vers bacula.

[becket]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
-t nat -A PREROUTING -p tcp -m tcp --dport 9101 -j DNAT --to-destination 192.168.1.3:9101
-t nat -A PREROUTING -p tcp -m tcp --dport 9102 -j DNAT --to-destination 192.168.1.3:9102
-t nat -A PREROUTING -p tcp -m tcp --dport 9103 -j DNAT --to-destination 192.168.1.3:9103

[Shiva]

Ne fonctionne pas :

Could not connect to Storage daemon on 78.230.10.10:9103.

En fait la connexion fonctionne bien dans le sens "bacula" vers "client" mais pas le retour.

[becket]

C'est que donc quelque chose bloque entre les deux ... Et qu'est ce qui peut bloquer entre les deux ?

[Shiva]

ça pose problème sur la machine routeur. il n'y a aucunes autres règles définies sur cette machine, donc je ne vois pas trop ou ça bloquerai...

[Shiva]

Voici la solution :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 9103 -j DNAT --to 192.168.1.3:9103
iptables --table nat --append PREROUTING --destination 78.230.10.10 --protocol tcp --destination-port 9103 --jump DNAT --to-destination 192.168.1.3
iptables --table nat --append POSTROUTING --destination 192.168.1.3 --protocol tcp --destination-port 9103 --jump SNAT --to-source 78.230.10.10