Discussion :

[korben06]

Bonjour

J'ai un petit probleme de configuration iptables

Dans mon reseau je dispose d'un firewall iptables, d'un serveur de BDD et des postes, j'accède en SSH(port 2222) depuis n'importe quel post sur mon lan à mon firewall en utilisant mon ip public, et je voudrais pouvoir accéder en SSH(22) sur la BDD de la même façon mais ça ne marche pas (Depuis l'exterieur tout fonctionne bien, le port 22 etant rerouté vers le serveur BDD)

Donc ma question est comment rerouter du lan en passant par l'ip public vers la BDD sur le port 22

Merci pour votre aide

[gorgonite]

au lieu de rajouter un règle, perso je modifierais celle qui reroute depuis l'extérieur... fais voir ta config,

[korben06]

Voici la regle de routage

#connexion pierre et christophe CVS et acces direct ssh BDD
iptables -I PREROUTING -t nat -p tcp -i eth0 -s ipubdepierre --dport 2401 -j DNAT --to 192.168.0.200:2401
iptables -I FORWARD -p tcp -i eth0 -s ipubdepierre -d 192.168.0.200 --dport 2401 -j ACCEPT

iptables -I PREROUTING -t nat -p tcp -i eth0 -s ipubdechris --dport 2401 -j DNAT --to 192.168.0.200:2401
iptables -I FORWARD -p tcp -i eth0 -s ipubchris -d 192.168.0.200 --dport 2401 -j ACCEPT

iptables -I PREROUTING -t nat -p tcp -i eth0 -s ipubdepierre --dport 22 -j DNAT --to 192.168.0.200:22
iptables -I FORWARD -p tcp -i eth0 -s ipubdepierre -d 192.168.0.200 --dport 22 -j ACCEPT

iptables -I PREROUTING -t nat -p tcp -i eth0 -s ipubdechris --dport 22 -j DNAT --to 192.168.0.200:22
iptables -I FORWARD -p tcp -i eth0 -s ipubdechris -d 192.168.0.200 --dport 22 -j ACCEPT

Meci pour ton aide

[gorgonite]

si tu supprimes le -i eth0, ça va le faire systématiquement.... enfin peut-être

[korben06]

Je viens de tester ça ne fonctionne pas

Merci de ton aide

[gorgonite]

dans ce cas ajoutes la même règle en changeant eth0 par la bonne interface (eth1 ?)

[korben06]

Salut

eth0 etant mon interface public

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
iptables -I INPUT -s monippublic  -p tcp --dport 22 -i eth0 -j ACCEPT
iptables -I INPUT -s monippublic  -p tcp --dport 2222 -i eth0 -j ACCEPT
 
iptables -I PREROUTING -t nat -p tcp -i eth0 -s monippublic --dport 22 -j DNAT --to 192.168.0.200:22
iptables -I FORWARD -p tcp -i eth0 -s monippublic -d 192.168.0.200 --dport 22 -j ACCEPT

ça te semble correct ?

[gorgonite]

pour le preroutinh le -s ippublique me semble bizarre...

[korben06]

j'air retirer le -s monippublic mais toujours pareil (-s fonctionne dans mes autres regles pour les acces interne depuis l'exterieur)

Merci

[gorgonite]

essaies cela...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$IPTABLES -A FORWARD -m state --state NEW -p tcp -s ${ZONE_INTERNE} --sport 1024 : -d $ippublique --dport 22 -i eth1 -j ACCEPT

[korben06]

Merci de ta reponse mais les ":" ne sont pas accepté, je les ai retiré pas d'erreur mais ça ne fonctionne toujours pas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$IPTABLES -A FORWARD -m state --state NEW -p tcp -s ${ZONE_INTERNE} --sport 1024 : -d $ippublique --dport 22 -i eth1 -j ACCEPT

Merci de ton aide

[gorgonite]

euh... y a un espace en trop

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$IPTABLES -A FORWARD -m state --state NEW -p tcp -s ${ZONE_INTERNE} --sport 1024: -d $ippublique --dport 22 -i eth1 -j ACCEPT

[troumad]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$ipt -t nat -A PREROUTING -j DNAT -i $LOCAL -p TCP --dport 22 --to-destination IpPublique:22

renvoie TOUS les appels que tu fais sur un port 22 vers l'extérieur sur ton PC. Il en est de même quand tu enlèves la directive -i $LOCAL

Je choisirais un port inutile en temps normal pour faire cette redirection.

A+