nat avec une seule interface

nat avec une seule interface - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 11-03-2003 à 16:25:06    

Est-il selon vous possible de créer une regle nat via un pc qui n'a qu'une seule carte réseau?  
 
 
Le but est de forwarder un port du'n routeur sur un pc sous linux et que lui reforwarde le port vers le pc adéquat (parmi plusieurs pcs) via un script a distance. Le problème est qu'il n'y a qu'une carte dedans.

Reply

Marsh Posté le 11-03-2003 à 16:25:06   

Reply

Marsh Posté le 11-03-2003 à 16:35:24    

sincerement G relu 4 fois et G toujours pas pigé.

Reply

Marsh Posté le 11-03-2003 à 16:39:10    

en fait, je veux configurer une possibilité d'acces a distance sur les pcs d'un sous réseau via vnc par internet. La société a un routeur cisco. Celui ci forwarde le port de vnc sur un linux qui devrait reforwarder vers le pc a depanner. Mais il n'a qu'une carte et ne peut pas en avoir deux pour faire la liaison entre le lan et le routeur. Il DOIT faire partir du lan avec une ip du meme range :(

Reply

Marsh Posté le 11-03-2003 à 16:46:08    

bon alors tu est chez t.o.u.a
Dans ta boite tu as le routeur ci.s.c.o
Qui redirige le port 5800 vers la machine 192.168.0.1
Et toi tu veux que cette machine redirige en fait l'axx vnc vers la machine 192.168.0.3
 
iptables -t nat -A PREROUTING -i eth0 -p tcp --destination-port 5800 -j DNAT --to-destination 192.168.0.3
 
G bien interprete ce que tu voulais ?
ET donc quand tu es chez t.o.u.a et que tu te connectes a ci.s.c.o, celui ci reroute vers 192.168.0.1 qui lui meme reroute vers 192.168.0.3


Message édité par yold le 11-03-2003 à 16:48:09
Reply

Marsh Posté le 11-03-2003 à 16:57:12    

exactly :)  
 
 
j'espère que ca va passer (je connaissais la commande mais n'ai jamais essaye de forwarder des paquets arrivant sur la meme interface
 
 
merci

Reply

Marsh Posté le 11-03-2003 à 17:16:51    

bon ben ca marche po ... y'a un truc qui a du m'échaper ou alors c'est bel et bien impossible :(
 

Reply

Marsh Posté le 11-03-2003 à 17:25:40    

la commande ne passe pas ?
ou les paquets ne sont pas reroute ?
de chez toi fait un traceroute sur le port 5800 en direction de ci.s.c.o
sur la machine linux fait un iptables -t nat -L PREROUTING -v

Reply

Marsh Posté le 11-03-2003 à 17:28:24    

Linux:~# iptables -t nat -L PREROUTING -v
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination  
    0     0 DNAT       tcp  --  eth0   any     anywhere             anywhere           tcp dpt:5800 to:10.0.0.1
 
 
 
la commande passe mais le routage ne se fait pas, pourtant entre le cisco et le linux ca passe d'après tcpdump :(

Reply

Marsh Posté le 11-03-2003 à 17:31:08    

le traceroute s'arrete ou ?

Reply

Marsh Posté le 11-03-2003 à 17:32:23    

a l'adresse ip publique du routeur cisco

Reply

Marsh Posté le 11-03-2003 à 17:32:23   

Reply

Marsh Posté le 11-03-2003 à 17:34:03    

t'as trouve le pb alors :)
G mis le port 5800 mais honnetement je me souvient plus trop c'est quoi le port, verifie.

Reply

Marsh Posté le 11-03-2003 à 17:35:33    

tiens c'est marrant le tcpdump dit:
 
17:40:20.954499 xxxx.1150 > 10.0.0.253.5800: S 14574507:14574507(0) win 5808 <mss 1452,sackOK,timestamp 292866044 0,nop,wscale 0> (DF) [tos 0x10]
17:40:20.954573 xxxx.1150 > 10.0.0.1.5800: S 14574507:14574507(0) win 5808 <mss 1452,sackOK,timestamp 292866044 0,nop,wscale 0> (DF) [tos 0x10]
17:40:32.956103 xxxx.1150 > 10.0.0.253.5800: S 14574507:14574507(0) win 5808 <mss 1452,sackOK,timestamp 292867244 0,nop,wscale 0> (DF) [tos 0x10]
17:40:32.956181 xxxx.1150 > 10.0.0.1.5800: S 14574507:14574507(0) win 5808 <mss 1452,sackOK,timestamp 292867244 0,nop,wscale 0> (DF) [tos 0x10]
 
 
c'est bel et bien l'adresse vers laquelle c'est sensé etre reforwardé... l'ip du linux est le 10.0.0.253 et celle du pc a dépanner 10.0.0.1
 
mais ou est le stress alors ?


Message édité par watcho le 11-03-2003 à 17:41:27
Reply

Marsh Posté le 11-03-2003 à 17:38:09    

efface tes ips !!!!! brouilles les plutot !!!!

Reply

Marsh Posté le 11-03-2003 à 17:39:39    

le pb est pas la, fait un traceroute sur le port vnc depuis l'exterieur.
Faut que ton paquet atteigne le 10.0.0.1.

Reply

Marsh Posté le 11-03-2003 à 17:59:16    

faut pas activer l'ip_forward ??
echo 1 > /proc/sys/net/ipv4/ip_forward  

Reply

Marsh Posté le 11-03-2003 à 18:42:40    

bon ce n'est pas un problème du cisco.  
 
un telnet 10.0.0.1 5800 a partir du linux fonctionne
un telnet ip_publique 5800 de chez moi ne fonctionne pas mais fait bouger tcpdump sur le linux, donc les paquets arrivent bien.
 
 
c'ets vraiment un problème de forwarding... Et je commence vraiment a croire que ca marche po sur une seule interface :(
 
donc pour bien rappeller le problème:
 


         +-------------+
         |    CISCO    |
         +-------------+
               |
              HUB
               |
              / \
             /   \
            /     \
           /       \
         linux     pc1         pc2        ....
      10.0.0.253   10.0.0.1    10.0.0.2   ....


 
 
 
pour le moment le port 5800 (et il faudra rajouter le 5900) est forwarde du cisco sur le linux. Le linux doit a son tour reforwarder les paquets vers une machine à dépanner. le linux a UNE carte réseau et a une ip dans le range des autres machines.  
 
un telnet sur le port arrive bien sur le linux mais il ne forwarde pas (bien) les paquets sur la machine.
 
 
 
Merci de votre aide
 
 
 

Reply

Marsh Posté le 11-03-2003 à 18:44:35    

ah tiens je me demande si je ne devrais pas mettre une restriction pour le forwarding, car le pc renvoie des paquets a destination de mon domicile et ces paquets passent par le linux non? et lui les reforwarde vers lui vu que ca passe par l'eth0 ?
 
non ?

Reply

Marsh Posté le 11-03-2003 à 18:50:51    

yes ca marche enfin :)  
 
 
Merci yold pour ton aide :)

Reply

Marsh Posté le 11-03-2003 à 18:52:19    

c'etait quoi le pb ?

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed