Forwarding iptables
Résolu
Bonjour,
Je me lance dans iptables mais j' ai un problème avec le forwarding, je viens donc solliciter votre aide ou vos conseils.
Je voudrais autoriser les ports 80 et 443 sur ma carte lan.
je suis sur du ubuntu server 18.04.
J'ai un carte coté routeur "ens33" et une carte lan "ens37".
L 'ensemble de mes règles fonctionnent sauf le forwarding quand je met la politique par défaut en DROP. je suis obligé de mettre le FORWARD en ACCEPT pour que cela fonctionne. voila un extrait de ma config ce sera plus clair pour vous.
# 2. Politique par défaut
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT DROP
# 15. Forward HTTP HTTPS ens33 vers ens37 poste 1
iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE
iptables -A PREROUTING -t nat -i ens33 -p tcp --dport 80 -j DNAT --to 192.168.3.2:80
iptables -A FORWARD -i ens33 -p tcp --dport 80 -d 192.168.3.2 -j ACCEPT
iptables -A PREROUTING -t nat -i ens33 -p tcp --dport 443 -j DNAT --to 192.168.3.2:443
iptables -A FORWARD -i ens33 -p tcp --dport 443 -d 192.168.3.2 -j ACCEPT
Cela fonctionne mais je souhaiterai avoir le FORWARD en DROP et la je sèche, je n'ai pas tout compris.
Merci d avance de votre aide.
Je me lance dans iptables mais j' ai un problème avec le forwarding, je viens donc solliciter votre aide ou vos conseils.
Je voudrais autoriser les ports 80 et 443 sur ma carte lan.
je suis sur du ubuntu server 18.04.
J'ai un carte coté routeur "ens33" et une carte lan "ens37".
L 'ensemble de mes règles fonctionnent sauf le forwarding quand je met la politique par défaut en DROP. je suis obligé de mettre le FORWARD en ACCEPT pour que cela fonctionne. voila un extrait de ma config ce sera plus clair pour vous.
# 2. Politique par défaut
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT DROP
# 15. Forward HTTP HTTPS ens33 vers ens37 poste 1
iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE
iptables -A PREROUTING -t nat -i ens33 -p tcp --dport 80 -j DNAT --to 192.168.3.2:80
iptables -A FORWARD -i ens33 -p tcp --dport 80 -d 192.168.3.2 -j ACCEPT
iptables -A PREROUTING -t nat -i ens33 -p tcp --dport 443 -j DNAT --to 192.168.3.2:443
iptables -A FORWARD -i ens33 -p tcp --dport 443 -d 192.168.3.2 -j ACCEPT
Cela fonctionne mais je souhaiterai avoir le FORWARD en DROP et la je sèche, je n'ai pas tout compris.
Merci d avance de votre aide.
Configuration: Windows / Chrome 73.0.3683.86
A voir également:
- Forwarding iptables
- [FTP/TLS] iptables : ftp-data ??? ✓ - Forum Linux / Unix
- NATTER le port 1723 (VPN) avec iptables - Forum Réseau
- Debian: ping bloqué par iptables (firewall) ✓ - Forum Debian
- Comment écrire un url avec Port et port forwarding ✓ - Forum Réseau
- Port toujours fermé après port forwarding sur ZTE mf253v - Forum Réseau
4 réponses
Hello,
Je ne suis pas spécialiste d'
Bonne chance
Je ne suis pas spécialiste d'
iptables, mais si je m'en réfère à ce tutoriel, j'aurais dit
iptables -A FORWARD -s ... -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPTen indiquant l'option
-s ...l'IP appropriée.
Bonne chance
Bonjour
Est-ce que l'IP forwarding est activé dans
Bonne chance
Est-ce que l'IP forwarding est activé dans
/etc/sysctl.conf?
# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1
# Uncomment the next line to enable packet forwarding for IPv6
# Enabling this option disables Stateless Address Autoconfiguration
# based on Router Advertisements for this host
#net.ipv6.conf.all.forwarding=1
Bonne chance
Bonjour Mamiemando et merci de ta réponse.
Oui l' IP Forwarding est activé.
J'arrive à forwarder le RDP. J 'ai :
Je forwarde le RDP de manière à prendre la main sur mon poste qui est hors WAN a partir du poste situé dans le LAN, mais rien à faire pour le forward des ports
Ci-dessous ma configuration
Je reprendrai cela à mon retour de vacance le 09/05. Si entre temps quelqu’un a une idée ou une configuration qui fonctionne je le remercie d'avance.
Cordialement
Oui l' IP Forwarding est activé.
J'arrive à forwarder le RDP. J 'ai :
- une carte WAN
ens33
(192.168.10.100
), - une carte LAN
ens37
(192.168.1.2/32
), - une carte hors WAN
ens35
(192.168.1.0/26
), notée $DC1 dans le script suivant.
$DC1ne communique volontairement pas avec le WAN. Ma carte de sortie vers le routeur est
ens33.
Je forwarde le RDP de manière à prendre la main sur mon poste qui est hors WAN a partir du poste situé dans le LAN, mais rien à faire pour le forward des ports
80et
443vers le LAN.
Ci-dessous ma configuration
iptablesqui fonctionne (tout en
DROP)
## FORWARD du RDP TCP 3389
iptables -A FORWARD -i $DC1 -p tcp --dport 3389 -j ACCEPT
# Autorise la création de nouvelles connexions vers le LAN
iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.2/32 --dport 3389 -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
# Garde les connexions actives vers l'exterieur
iptables -A FORWARD -s 192.168.1.2/32 -d 192.168.2.0/24 --sport 3389 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
Je reprendrai cela à mon retour de vacance le 09/05. Si entre temps quelqu’un a une idée ou une configuration qui fonctionne je le remercie d'avance.
Cordialement
Bonjour,
Finalement je m 'en suis sorti avec les commandes suivantes:
Plus le forward du DNS.
Un grand merci pour votre aide
Finalement je m 'en suis sorti avec les commandes suivantes:
## Forward HTTP 80 iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 192.168.30.0/24 --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -s 192.168.30.0/24 -d 0.0.0.0/0 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT ## Forward HTTPS 443 iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 192.168.30.0/24 --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -s 192.168.30.0/24 -d 0.0.0.0/0 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
Plus le forward du DNS.
Un grand merci pour votre aide
Je me replongerai dedans dès mon retour de vacances ????