Parefeu iptables, vnc ou dameware
Georges82
-
cocoche95 Messages postés 1187 Statut Contributeur -
cocoche95 Messages postés 1187 Statut Contributeur -
Bonjour à tous !
Je rencontre un problème avec l'ajout d'une machine sous Debian etch qui fait office de pare feu (iptables).
Voici un schéma du parc:
Windows XP(A)(B) ss-réseau1<=>Debian routage et iptables (C)<=>routeur<=> Windows XP(D)ss-réseau2
Mon but est de filtrer les ports des machines A et B du sous-réseau 1
Les machines A et B utilisent C comme passerelle par défaut. Les machines se ping et arrivent à accéder à leurs partage, par contre, je n'arrive pas à prendre le contrôle à distance entre les machines du sous réseau 1 et la machine du sous réseau 2 par vnc ou dameware
regles iptables qui sont censées laisser tout passer:
iptables -F
iptables -t nat -F
iptables -P INPUT ACCECPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Le routage est activé (IPv4 Forwarding) et je ne comprends pas pourquoi cette configuration peut bloquer vnc ou dameware (qui fonctionnent si je modifie la passerelle vers le routeur sans passer par le parefeu).
Toute aide serait la bienvenue et merci d'avance
Je rencontre un problème avec l'ajout d'une machine sous Debian etch qui fait office de pare feu (iptables).
Voici un schéma du parc:
Windows XP(A)(B) ss-réseau1<=>Debian routage et iptables (C)<=>routeur<=> Windows XP(D)ss-réseau2
Mon but est de filtrer les ports des machines A et B du sous-réseau 1
Les machines A et B utilisent C comme passerelle par défaut. Les machines se ping et arrivent à accéder à leurs partage, par contre, je n'arrive pas à prendre le contrôle à distance entre les machines du sous réseau 1 et la machine du sous réseau 2 par vnc ou dameware
regles iptables qui sont censées laisser tout passer:
iptables -F
iptables -t nat -F
iptables -P INPUT ACCECPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Le routage est activé (IPv4 Forwarding) et je ne comprends pas pourquoi cette configuration peut bloquer vnc ou dameware (qui fonctionnent si je modifie la passerelle vers le routeur sans passer par le parefeu).
Toute aide serait la bienvenue et merci d'avance
A voir également:
- Parefeu iptables, vnc ou dameware
- Dameware mini remote control - Télécharger - Web & Internet
- Tight vnc - Télécharger - Connexion à distance
- Telecharger vnc viewer - Télécharger - Connexion à distance
- Chicken of the vnc - Télécharger - Divers Réseau & Wi-Fi
- Real vnc - Télécharger - Connexion à distance
5 réponses
Bonsoir,
C'est parceque la translation d'adresse ne se fait que dans un sens (par rapport au sens de la connection) ...
Enfin, il me semble ! Même si ça fait longtemps que j'ai pas mis les doigts dans iptables !
Essaye de rajouter ça : iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
C'est parceque la translation d'adresse ne se fait que dans un sens (par rapport au sens de la connection) ...
Enfin, il me semble ! Même si ça fait longtemps que j'ai pas mis les doigts dans iptables !
Essaye de rajouter ça : iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Salut !
Chez toi eth0 = ss-réseau 1 ou 2 et eth1 ??
J'ai eu une prise de tête similaire il y a peu et ce n'était pas mes règle iptables qui merdaient mais les règles de routage !
Vérifies tes règles de routage et dis moi si tu trouves qq chose.
Chez toi eth0 = ss-réseau 1 ou 2 et eth1 ??
J'ai eu une prise de tête similaire il y a peu et ce n'était pas mes règle iptables qui merdaient mais les règles de routage !
Vérifies tes règles de routage et dis moi si tu trouves qq chose.
Bonjour,
Merci de vos réponse, le souci est que je n'est qu'une seule interface sur la machine qui fait firewall (eth0)
Cette machine fait partie du sous-réseau 1 tout comme A et B et elles sont reliées par un switch.
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
default 192.168.1.240 0.0.0.0 UG 0 0 0 eth0
Les machines pings. je viens de faire tracert depuis de A vers C et j'obtiens:
1) 192.168.1.200 --> machine Debian pare feu
2) 192.168.1.240 --> routeur passerelle
3) 192.168.2.10 --> machine sous-réseau 2 (C)
C vers A
1) 192.168.2.240--> passerelle
2)192.168.a.62 --> machine sous-réseau 1 (A)
Cependant, je ne peux pas prendre la main à distance avec VNC.
Faut-il obligatoirement 2 interfaces réseaux sur une même machine pour effectuer du routage ?
Merci
Merci de vos réponse, le souci est que je n'est qu'une seule interface sur la machine qui fait firewall (eth0)
Cette machine fait partie du sous-réseau 1 tout comme A et B et elles sont reliées par un switch.
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
default 192.168.1.240 0.0.0.0 UG 0 0 0 eth0
Les machines pings. je viens de faire tracert depuis de A vers C et j'obtiens:
1) 192.168.1.200 --> machine Debian pare feu
2) 192.168.1.240 --> routeur passerelle
3) 192.168.2.10 --> machine sous-réseau 2 (C)
C vers A
1) 192.168.2.240--> passerelle
2)192.168.a.62 --> machine sous-réseau 1 (A)
Cependant, je ne peux pas prendre la main à distance avec VNC.
Faut-il obligatoirement 2 interfaces réseaux sur une même machine pour effectuer du routage ?
Merci
Bonjour,
Vue les routes que tu nous indiques, il manque les règles de routage vers le réseau 192.168.2.0/255.255.255.0
Enfin, toujours pareil, il me semble !
Cela dit c'est bizarre comme architecture ton truc... puisque étant sur le même switch (a moins que ce soit un switch splitable qui coute très cher), ton firewall peut se contourner sans problème. J'imagine que c'est uniquement à des fins éducatives. Si c'est pas le cas, change tout de suite de méthode !
Bonne chance,
Vue les routes que tu nous indiques, il manque les règles de routage vers le réseau 192.168.2.0/255.255.255.0
Enfin, toujours pareil, il me semble !
Cela dit c'est bizarre comme architecture ton truc... puisque étant sur le même switch (a moins que ce soit un switch splitable qui coute très cher), ton firewall peut se contourner sans problème. J'imagine que c'est uniquement à des fins éducatives. Si c'est pas le cas, change tout de suite de méthode !
Bonne chance,
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ouais, en général, c'est mieux d'avoir une interface pour chaque réseau afin de bien faire une séparation physique des deux réseaux connectés à la même machine.
Dans ton cas, c'est pas ta machine debian qui est en faute mais ton routeur ! Si tu regardes biens ton ping de C vers A, il ne passe pas par ton iptables !! Donc c'est ton routeur qui merde ! Et cela est d'autant plus logique que ton iptables est totalement ouvert et que les routeur font souvent office de firewall.
Essayes de soit enlever ta machine debian du truc et de bien régler les paramètres du routeur ou vires le routeur et mets une seconde carte réseau sur ta machine debian et teste à nouveau ton montage !
Voilà.
Dans ton cas, c'est pas ta machine debian qui est en faute mais ton routeur ! Si tu regardes biens ton ping de C vers A, il ne passe pas par ton iptables !! Donc c'est ton routeur qui merde ! Et cela est d'autant plus logique que ton iptables est totalement ouvert et que les routeur font souvent office de firewall.
Essayes de soit enlever ta machine debian du truc et de bien régler les paramètres du routeur ou vires le routeur et mets une seconde carte réseau sur ta machine debian et teste à nouveau ton montage !
Voilà.
