Discussion :

[llaffont]

Salut,

J'ai coince depuis 2 jours sur un problème de routage.

J'ai besoin de détourner toutes les interrogations du port 80 qui passe par mon routeur pour les rediriger sur un autre port.

Jusque là pas de problème, il suffit de faire :

iptables -t nat -A PREROUTING -i eth0 -s 192.168.2.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.6:3128

Là où j'ai un problème c'est que je ne dois pas toucher les paquets à destination du réseau 172.44.3.0/24 qui est un réseau situé derrière un VPN et qui ne peut être attaqué que par les requêtes émanant de 192.168.2.0/24.

Avez-vous une idée sur la façon de m'y prendre ?

[Ethan 0x21]

Bonjour llaffont,


Si ma compréhension de votre probléme est correcte, vous devriez taper cette commande :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
iptables -t nat -A PREROUTING -i eth0 -s 192.168.2.0/24  ! -d 172.44.3.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.6:3128

le ! -d 172.44.3.0/24 fait que si la destination correspond au réseau indiqué, alors la redirection n'est pas effectuée.


Cdt

[llaffont]

Je testerais cette réponse demain matin.
Mais à mon avis elle doit fonctionner car j'ai tenté

iptables -t nat -A PREROUTING -i eth0 -s 192.168.2.0/24 -d ! 172.44.3.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.6:3128

je n'avais pas mis le ! au bon endroit

Je vous tiens au jus Merki en tout cas

[llaffont]

Super ! Cela fonctionne.

Allez je corse la chose, pour notre culture à tous.

Comment doit-on faire si l'on veut exclure plusieurs destination ?

[Ethan 0x21]

Comment doit-on faire si l'on veut exclure plusieurs destination ?

Le formalisme a apporter n'est plus le même alors il faut faire cela par exemple pour exclure les réseaux 212.44.2.0/24 et 172.44.3.0/24 (attention a respecter l'ordre) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
iptables -t nat -A PREROUTING -i eth0 -s 192.168.2.0/24  -d 172.44.3.0/24 -p tcp --dport 80 -j ACCEPT
 
iptables -t nat -A PREROUTING -i eth0 -s 192.168.2.0/24   -d 212.44.2.0/24 -p tcp --dport 80 -j ACCEPT
 
 
iptables -t nat -A PREROUTING -i eth0 -s 192.168.2.0/24  -p tcp --dport 80 -j DNAT --to-destination 192.168.1.6:3128

[llaffont]

Je n'ai pas eu le temps de tester ta solution car je venais de tester une méthode différente.

iptables -t nat -N SUBNET_Exclu.80
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -s 192.168.2.0/24 --dport 80 -j SUBNET_Exclu.80
iptables -t nat -A SUBNET_Exclu.80 -d 172.44.3.0/24 -j RETURN
iptables -t nat -A SUBNET_Exclu.80 -d 192.168.69.0/24 -j RETURN
iptables -t nat -A SUBNET_Exclu.80 -d 192.168.2.0/24 -j RETURN
iptables -t nat -A SUBNET_Exclu.80 -d 192.168.101.0/24 -j RETURN
iptables -t nat -A SUBNET_Exclu.80 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.41.6:3128

Je te remercie de ton aide et bonne journée.

[becket]

Le problème du RETURN, c'est que iptables remonte à la chaine d'origine et continue à chercher un match. C'est bien mais il faut le savoir

Le ACCEPT est nettement plus clair au niveau de la lecture et le traitement d'iptables au niveau de PREROUTING s’arrête .

[llaffont]

Ok ! c'est bon à savoir.

Comme ça j'ai les 2 méthodes et leurs raisons d'être dissociable.