Iptables : activer le forward d'un port vers ma machine windows. - Linux et OS Alternatifs
Marsh Posté le 07-07-2002 à 00:14:31
BeFree a écrit a écrit : Bonjour, Je suis confronté un petit problème. J'ai 2 machines : Une Linuxbox qui me sert de serveur/passerelle/firewall...etc et qui est donc connectée au net. (ip du reseau local 192.168.0.1) Une windowsbox qui est derrière la Linuxbox (ip local 192.1683.0.2). Je voudrais pouvoir utiliser le remote desktop de XP depuis mon boulot mais le firewall (Iptable) ne semble pas d'accord J'ai vu qu'il fallait que je forward les paquets qui arrive sur le port 3389 de mon interface ppp0 (j'ai l'adsl) vers le port 3389 de ma windowsbox. J'ai essayé plusieurs choses dont certaines des suivantes mais sans succés : iptables -t nat -I PREROUTING -i ppp0 -p udp -m udp --dport 3389 -j DNAT --to- destination 192.168.0.2:3389 iptables -t nat -A PREROUTING -p udp --dport 3389 -j DNAT --to 192.168.0.2:3389 Qq'un pourrait m'aider car je ne sais plus quoi essayer. Merci. |
GORS DOIGTS ? 192.1683.0.2
Marsh Posté le 07-07-2002 à 00:16:07
kuroineko a écrit a écrit : GORS DOIGTS ? 192.1683.0.2 |
Vi j'ai les doigts usés
Vous aurez corrigé par vous même il s'agit de 192.168.0.2
Marsh Posté le 07-07-2002 à 01:07:10
iptables -t nat -A PREROUTING -p tcp --dport 3389 -i ppp0 -j DNAT --to 192.168.0.2
iptables -A FORWARD -p tcp --dport 3389 -i ppp0 -j ACCEPT
Ca c'est pour les connexions entrantes, pour les réponses de 192.168.0.2 il faut que tu laisses sortir les communications établies ou relatives.
edit : remplace tcp par udp puisque visiblement c'est de l'udp qui est utilisé / ps: j'ai jamais utilisé le remote desktop
Marsh Posté le 07-07-2002 à 01:17:54
Merci mais ça ne semble pas vouloir fonctionner mieux
Peut-être est-ce du au fait que j'ai essayé pas mal de choses pour forwarder ce port et que des règles entrent en conflis.
Si je peux abuser de ton aide comment efface t'on des règles que l'on voit lorsqu'on fait iptables-save ?
Et quelle serait la règle pour que mon poste windows puisse reponde?
Merci beaucoup de ton aide et de ta patience.
Au cas où en ce moment j'ai tout ça d'activer (je pense qu'il y a énormément d'erreurs et c'est pour cela que je voudrais effacer certaines règles pour le port 3389 notemment sur le tcp)
# Generated by iptables-save v1.2.5 on Sun Jul 7 01:03:17 2002
*filter
:INPUT ACCEPT [18172:2107989]
:FORWARD ACCEPT [260148:47725804]
UTPUT ACCEPT [15658:5212016]
-A INPUT -i eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 68 --dport 67 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 67 --dport 68 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i ppp0 -p udp -m udp --dport 3389 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -i ppp0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i ppp0 -p udp -m udp --dport 3389 -j ACCEPT
-A OUTPUT -o ppp0 -p udp -m udp --dport 3389 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 3389 -j ACCEPT
COMMIT
# Completed on Sun Jul 7 01:03:17 2002
# Generated by iptables-save v1.2.5 on Sun Jul 7 01:03:17 2002
*nat
REROUTING ACCEPT [4590:370946]
OSTROUTING ACCEPT [250:17984]
UTPUT ACCEPT [551:80625]
-A PREROUTING -i ppp0 -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -i ppp0 -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -i ppp0 -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -i ppp0 -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i ppp0 -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.0.2
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -j MASQUERADE
-A POSTROUTING -p udp -m udp --sport 3389 -j SNAT --to-source 192.168.0.2:3389
-A POSTROUTING -p tcp -m tcp --sport 3389 -j SNAT --to-source 192.168.0.2:3389
COMMIT
# Completed on Sun Jul 7 01:03:17 2002
Marsh Posté le 07-07-2002 à 01:21:43
http://netfilter.samba.org/documen [...] html#HOWTO
en fr donc pas d'excuses, doc vraiment bien faite
Marsh Posté le 07-07-2002 à 01:49:23
Pour tout effacer :
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
Mais ceci-dit, monokrome a raison il vaudrait mieux que tu te plonges dans des docs, ou des scripts commentés, parce que tant que tu comprendras pas ce que tu fais t'auras enormément de mal à configurer ta passerelle comme tu le voudrais.
Marsh Posté le 07-07-2002 à 02:36:27
Merci pour cette doc
J'ai réussi à faire le ménage dans mes règles mais je n'arrive toujours pas à me connecter.
j'ai donc mis pour les paquets entrant :
iptables -t nat -A PREROUTING -p tcp --dport 3389 -i ppp0 -j DNAT --to 192.168.0.2
iptables -A FORWARD -p tcp --dport 3389 -i ppp0 -j ACCEPT
Et pour les sortants (si j'ai bien compris ce que j'ai lu) :
iptables -A OUTPUT -o eth0 -p udp -m udp --dport 3389 -j ACCEPT
Ai-je fait une erreur ou oublier qqe chose (forcément vous me direz puisque ça marche )
Thx
Marsh Posté le 07-07-2002 à 13:32:57
Fais des recherches sur ce forum il te manque quand meme pas mal de regles tres classiques :
- definir la politique par defaut
- autoriser les connexions etablies et relatives
- mettre en place le masquerading
- forwarder les service entrants (ce que t'as fait pour le remote desktop)
Cherche un peu y'a des tonnes de sujets a propos de iptables dans le coin.
Marsh Posté le 08-07-2002 à 23:50:03
oibaf2001 a écrit a écrit : Fais des recherches sur ce forum il te manque quand meme pas mal de regles tres classiques : - definir la politique par defaut - autoriser les connexions etablies et relatives - mettre en place le masquerading - forwarder les service entrants (ce que t'as fait pour le remote desktop) Cherche un peu y'a des tonnes de sujets a propos de iptables dans le coin. |
1) C'est fait
2) Aussi
3) Aussi
4) ça marche tjrs pas
Enfait depuis mon boulot je peux me connecter sur ma Linuxbox en ssh en ftp, en telnet bref ce que j'ai autoriser mais impossible d'arriver à me connecter sur ma machine windows pour me servir du Remote Desktop
J'ai pourtant lu et relu , testé plusieurs combinaisons pas moyen et je crois que je vais laisser tomber ma passerelle linux (et ça m'emmerde beaucoup) parceque j'ai absolument besoin d'utiliser mon remote.
Marsh Posté le 09-07-2002 à 00:05:26
essaye de lancer un tcpdump ou un etheral sur la passerelle en essayant de lancer un remote, comme ca on pourra voir ski passe pas
Marsh Posté le 09-07-2002 à 00:42:38
Si tu veux pas te prendre la tête avec tcpdump, tu peux utiliser l'option LOG d'iptables pour voir quels sont les paquets qui sont droppés :
ex : iptables -A INPUT -j LOG --log-level=info
ensuite lance une connexion remote desktop et mate dans tes logs les paquets qui ont été loggés. Tu verras tous les n° de ports tcp et udp vers lesquels une connexion est demandée. Y-a sans doute quelque chose de nécessaire que t'as oublié de forwarder.
Marsh Posté le 09-07-2002 à 16:26:35
Re bonjour,
Bon il semble qu'en fait le problème est plus profond que ce que je pensais.
En fait je n'arrive à rien faire depuis ma Linuxbox vers mon pc Windows à par le pinguer.
Je ne parviens même pas à ouvrir une session FTP alors que pourtant un serveur ftp est lancé sur mon Win.
J'ai pourtant activé au niveau de ma carte ethernet (celle de win) le partage de fichiers et tout le toutim.
Mais rien ne passe (samba,telnet,ftp..etc)
Alors la question c'est : comment savoir si cela vient de Linux ou de Win ?
Marsh Posté le 09-07-2002 à 20:47:19
BeFree a écrit a écrit : Re bonjour, Bon il semble qu'en fait le problème est plus profond que ce que je pensais. En fait je n'arrive à rien faire depuis ma Linuxbox vers mon pc Windows à par le pinguer. Je ne parviens même pas à ouvrir une session FTP alors que pourtant un serveur ftp est lancé sur mon Win. J'ai pourtant activé au niveau de ma carte ethernet (celle de win) le partage de fichiers et tout le toutim. Mais rien ne passe (samba,telnet,ftp..etc) Alors la question c'est : comment savoir si cela vient de Linux ou de Win ? |
si tu arrives à pinguer, c'est pas du tout profond comme pb
c'est plutot du à une mauvaise conf de ton serveur ftp (mais je vois pas quoi) ou ton firewall est encore plein de cochonnerie.
si tu arrives à accéder au net depuis ton pc windows, c'est ton firewall qui est en cause.
Donc es-tu sur qu'il n'y a que ce port à activer ?
si tu es sur, repost les regles actives (iptables -L)
Marsh Posté le 10-07-2002 à 00:14:12
En fait j'arrive à tout faire depuis mon windows (navig,mail;p2p...etc).
En fait tout ce qui sort, mais dès l'instant où des connexions entrantes (ftp,smb (pour monter les partages des disques win),telnet..etc) vers mon windows doivent se faire et bien ça passe plus et ce même si je désactive le firewall de windows.
Donc je pense réellement que ça provient de windows mais où telle est là question étant donné que c'est identiques même en désactivant le firewall windows.
Ce n'est pas un pb situé juste au niveau de mon serveur puisque c'est identiques pour toutes tenetavies de connexions entrantes
En tout cas merci de votre aide
Marsh Posté le 10-07-2002 à 00:20:19
BeFree a écrit a écrit : En fait j'arrive à tout faire depuis mon windows (navig,mail;p2p...etc). En fait tout ce qui sort, mais dès l'instant où des connexions entrantes (ftp,smb (pour monter les partages des disques win),telnet..etc) vers mon windows doivent se faire et bien ça passe plus et ce même si je désactive le firewall de windows. Donc je pense réellement que ça provient de windows mais où telle est là question étant donné que c'est identiques même en désactivant le firewall windows. Ce n'est pas un pb situé juste au niveau de mon serveur puisque c'est identiques pour toutes tenetavies de connexions entrantes En tout cas merci de votre aide |
c'est normal, on t'a dit que pour les connections entrantes, il faut faire du port forwarding
ce que tu as d'ailleurs fait dans l'exemple que tu as donné dans ton premier post
balance iptables -L
je te dirais ce qui va pas (enfin j'essaierais )
Marsh Posté le 10-07-2002 à 00:41:46
Loin de moi vouloir te faire la morale mais il me semble quand même que le forwarding n'a rien à voir lorsque je me connecte depuis ma gateway vers mon windows mais uniquement lorsque je dois me connecter avec une machine extérieure à mon réseau local (si je me trompe alors toutes mes excuses).
Pour iptables voici les règles établies (j'ai retiré tout ce qui touché le forwarding sur le port 3389 vu que ça ne marchait pas et pour eviter tous conflits par la suite):
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp spt:bootpc dpt:bootps
ACCEPT tcp -- anywhere anywhere tcp spt:bootpc dpt:bootps
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ACCEPT tcp -- anywhere anywhere tcp spt:bootps dpt:bootpc
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 192.168.0.0/24 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Merci à toi pour ton aide
Marsh Posté le 10-07-2002 à 00:49:35
BeFree a écrit a écrit : Loin de moi vouloir te faire la morale mais il me semble quand même que le forwarding n'a rien à voir lorsque je me connecte depuis ma gateway vers mon windows mais uniquement lorsque je dois me connecter avec une machine extérieure à mon réseau local (si je me trompe alors toutes mes excuses). Pour iptables voici les règles établies (j'ai retiré tout ce qui touché le forwarding sur le port 3389 vu que ça ne marchait pas et pour eviter tous conflits par la suite): Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT udp -- anywhere anywhere udp spt:bootpc dpt:bootps ACCEPT tcp -- anywhere anywhere tcp spt:bootpc dpt:bootps ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc ACCEPT tcp -- anywhere anywhere tcp spt:bootps dpt:bootpc ACCEPT udp -- anywhere anywhere udp dpt:domain ACCEPT tcp -- anywhere anywhere tcp dpt:domain Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- 192.168.0.0/24 anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Merci à toi pour ton aide |
j'avais mal compris ce que tu me disais
c'est bizarre
si ça ping, ça devrait faire le reste aussi
bon, je t'écrirais un petit script pour demain, en esperant que ça marche, mais pas ce soir
Marsh Posté le 10-07-2002 à 00:57:28
Désolé si je me suis mal exprimé.
Effectivement je trouve bizarre de pouvoir pinguer sans probleme mais de ne pas pouvoir faire autre chose alors même que le firewall de win est arreté
Je vais essayé de fermé tous les programmes qui tournent pour voir on ne sait jamais.
Merci énormément pour ton aide en tout cas c'est sympa de voir que la communauté Linux n'est pas aussi fermée vis à vis des newbies comme on l'entend/voit souvent
Marsh Posté le 10-07-2002 à 01:07:36
BeFree a écrit a écrit : Désolé si je me suis mal exprimé. Effectivement je trouve bizarre de pouvoir pinguer sans probleme mais de ne pas pouvoir faire autre chose alors même que le firewall de win est arreté Je vais essayé de fermé tous les programmes qui tournent pour voir on ne sait jamais. Merci énormément pour ton aide en tout cas c'est sympa de voir que la communauté Linux n'est pas aussi fermée vis à vis des newbies comme on l'entend/voit souvent |
sinon, tu peux pinguer dans le sens windows-> linux ?
PS : oui, en fait on est juste fermé vis-à-vis des cons, mais pas du tout des newbies. évidemment, y-a des cons aussi sous linux, mais j'ai pas eu à me plaindre quand j'ai commencé
le seul truc que tu risque d'entendre souvent, et c'est normal, c'est fait une recherche, quand la réponse est trop simple à trouver
Marsh Posté le 10-07-2002 à 01:12:51
djoh a écrit a écrit : sinon, tu peux pinguer dans le sens windows-> linux ? PS : oui, en fait on est juste fermé vis-à-vis des cons, mais pas du tout des newbies. évidemment, y-a des cons aussi sous linux, mais j'ai pas eu à me plaindre quand j'ai commencé le seul truc que tu risque d'entendre souvent, et c'est normal, c'est fait une recherche, quand la réponse est trop simple à trouver |
Oui le ping est ok dans les 2 sens
Je comprends parfaitement que l'on demande de lire des docs (c'est pareil sous win) mais là j'ai lu tout ce que je pouvais lire grâce aux liens que l'on ma donné plus haut et c'est parceque malgres ces lectures je ne m'en sort pas
En tout cas je suis quasiment sur que c mon windows qui déconne.
En tout cas c'est clair que depuis que j'utilise Linux je ne l'ai jamais vu planter malgrès toutes les conneries que j'ai pu faire dessus et ça c'est plutot bien
Marsh Posté le 10-07-2002 à 23:52:56
Bon et bien après une petite vérification sur mon windows il s'averait que j'avais le soft Winroute qui poser problème malgrès que j'étais sur de l'avoir désinstaller.
Une fois supprimer totalement j'arrive à nouveau à monter mes partages et tout le reste
J'arrive bien entendu à ouvrir désormais mon remote desktop avec juste une seule règles sur le PREROUTING :
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j
DNAT --to-destination 192.168.0.2:3389
Et contrairement à ce que j'avais vu sur différent site ce n'est pas de l'UDP mais du TCP
En tout cas merci à tous ceux qui m'ont aider dans ma recherche car au moins j'ai appris plus de choses que si je n'avais pas eu ce problème
Marsh Posté le 10-07-2002 à 23:58:00
BeFree a écrit a écrit : Bon et bien après une petite vérification sur mon windows il s'averait que j'avais le soft Winroute qui poser problème malgrès que j'étais sur de l'avoir désinstaller. Une fois supprimer totalement j'arrive à nouveau à monter mes partages et tout le reste J'arrive bien entendu à ouvrir désormais mon remote desktop avec juste une seule règles sur le PREROUTING : iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389 Et contrairement à ce que j'avais vu sur différent site ce n'est pas de l'UDP mais du TCP En tout cas merci à tous ceux qui m'ont aider dans ma recherche car au moins j'ai appris plus de choses que si je n'avais pas eu ce problème |
raaah ! winroute, zone alarm ... tous ces petits logiciels à la con, qui continuent à foutre la merde même après les avoir désinstallé ! nan franchement, tu devrais passer competement à linux, tu serais moins emmerdé
Marsh Posté le 11-07-2002 à 00:11:36
djoh a écrit a écrit : raaah ! winroute, zone alarm ... tous ces petits logiciels à la con, qui continuent à foutre la merde même après les avoir désinstallé ! nan franchement, tu devrais passer competement à linux, tu serais moins emmerdé |
Malheureusement je ne peux pas passer en tout Linux car j'utilise des softs de musiques que ne fonctionne que sur Windows et dont j'ai absolument besoin professionnellement parlant.
Mais si ça ne tenait qu'à moi je n'hesiterai plus une seconde car au moins je n'aurai pas peur de voir planter ma machine en pleine soirée
Marsh Posté le 07-07-2002 à 00:12:29
Bonjour,
Je suis confronté un petit problème.
J'ai 2 machines :
Une Linuxbox qui me sert de serveur/passerelle/firewall...etc et qui est donc connectée au net. (ip du reseau local 192.168.0.1)
Une windowsbox qui est derrière la Linuxbox (ip local 192.1683.0.2).
Je voudrais pouvoir utiliser le remote desktop de XP depuis mon boulot mais le firewall (Iptable) ne semble pas d'accord
J'ai vu qu'il fallait que je forward les paquets qui arrive sur le port 3389 de mon interface ppp0 (j'ai l'adsl) vers le port 3389 de ma windowsbox.
J'ai essayé plusieurs choses dont certaines des suivantes mais sans succés :
iptables -t nat -I PREROUTING -i ppp0 -p udp -m udp --dport 3389 -j DNAT --to-
destination 192.168.0.2:3389
iptables -t nat -A PREROUTING -p udp --dport 3389 -j DNAT --to 192.168.0.2:3389
Qq'un pourrait m'aider car je ne sais plus quoi essayer.
Merci.
---------------
Les wagons de ta connerie roulent sur les rails de mon indifférence.