[MDKE 9.1] shorewall et DNAT : galere...

shorewall et DNAT : galere... [MDKE 9.1] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 15-07-2003 à 20:05:44    

:hello:  
bon je suis dessus depuis qqes bonnes heures mais la je seche ca me soule !
 
alors shorewall configuré avec drakegw le nat fonctionne bien, dns http ftp etc tout est ok  ...
 
maintenant je souhaite faire du DNAT cad rediriger les trames qui arrivent sur un port particulier vers une station de mon rezo
 
voila la config (avec l'exemple qui va bien au dessus ; )
 


#       Example: All http requests from the internet to address
#                130.252.100.69 are to be forwarded to 192.168.1.3
#
#       #ACTION  SOURCE DEST            PROTO   DEST    SOURCE  ORIGINAL
#       #                                       PORT    PORT(S) DEST
#       DNAT      net   loc:192.168.1.3 tcp     80      -       130.252.100.69
##############################################################################
#ACTION  SOURCE         DEST            PROTO   DEST    SOURCE     ORIGINAL
#                                               PORT    PORT(S)    DEST
DNAT    net     loc:192.168.0.1 tcp 4662 -
DNAT    net     loc:192.168.0.1 udp 4662 -
 
ACCEPT  net     fw      udp     53,5800,5801,5900,5901,10000,80 -
ACCEPT  net     fw      tcp     80,443,53,22,20,21,25,109,110,143,5800,5801,5900,5901,10000     -
ACCEPT  masq    fw      udp     53,5800,5801,5900,5901,4662,10000,80    -
ACCEPT  masq    fw      tcp     80,443,53,22,20,21,25,109,110,143,5800,5801,5900,5901,10000,4662        -
ACCEPT  loc     fw      udp     53,5800,5801,5900,5901,4662,10000,80    -
ACCEPT  loc     fw      tcp     80,443,53,22,20,21,25,109,110,143,5800,5801,5900,5901,10000     -
ACCEPT  masq    fw      tcp     domain,bootps,http,https,631,imap,pop3,smtp,nntp,ntp    -
ACCEPT  masq    fw      udp     domain,bootps,http,https,631,imap,pop3,smtp,nntp,ntp    -
ACCEPT  fw      masq    tcp     631,515,137,138,139,4662        -
ACCEPT  fw      masq    udp     631,515,137,138,139,4662        -
 
 
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

 
 
donc d'apres l'exemple donne ca devrait rediriger le port 4662 ( :o ) vers 192.168.0.1  
 
mais ca marche po :(  
 
-est ce que ma config vous parait correcte ?
-a priori le paquet est droppé (timeout) est c'est les regles par defaut qui font ca?
 
Merci a qui pourra me donner un coup de main  
 

Reply

Marsh Posté le 15-07-2003 à 20:05:44   

Reply

Marsh Posté le 15-07-2003 à 20:46:13    

Essaies avec ca, c'est ce aue j'utilisais avant, ca marchait nickel.
 

Code :
  1. iptables -A FORWARD -p tcp --sport 4662 -j ACCEPT
  2. iptables -A FORWARD -p tcp --dport 4662 -j ACCEPT
  3. iptables -t nat -A PREROUTING -j DNAT -i ppp0 -p tcp --dport 4662 --to-destination ton.ip.locale:4662

Reply

Marsh Posté le 15-07-2003 à 21:07:15    

merci. mais a priori shorewall se fout "au dessus de iptables" et a chaque fois que j'ajoute une regle iptable shorewall se lance et ecrase la nelle regle ...
 
mais part contre j'ai vu /etc/shorewall/start qui permet de lancer des commandes juste apres le lancement de shorewall.
je vais essayer de mettre tes regles dans ce fichier.

Reply

Marsh Posté le 15-07-2003 à 21:09:41    

Sinon tu peux te faire une conf a la main, je te mets la mienne. Ca marche tres bien mais ya des optimisations à faire :/
 

Code :
  1. #modprobe ip_conntrack_ftp
  2. #modprobe ip_nat_ftp
  4. #Vidage de regles existantes
  5. iptables -F
  6. iptables -X -t nat
  7. iptables -F -t nat
  8. iptables -X -t nat
  10. #Interdiction de tout le traffic en local/externe sur toutes interfaces
  11. #Police par defaut
  12. iptables -P INPUT DROP
  13. iptables -P OUTPUT DROP
  14. iptables -P FORWARD DROP
  16. #Autorisation de tout le traffic local sur
  17. #les interfaces locales
  18. iptables -A INPUT -i eth0 -j ACCEPT
  19. iptables -A INPUT -i lo -j ACCEPT
  20. iptables -A OUTPUT -o eth0 -j ACCEPT
  21. iptables -A OUTPUT -o lo -j ACCEPT
  23. #On autorise les nouvelles connexions sortantes ou etablies
  24. #iptables -A OUTPUT -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  26. #On autorise l'exterieur a se connecter
  27. #aux serveurs http, https et [ftp] de la machine passerelle
  29. iptables -A INPUT -p tcp --sport 1024: -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
  30. iptables -A OUTPUT -p tcp --dport 1024: -m multiport --sports 80,443 -m state --state ESTABLISHED -j ACCEPT
  32. #iptables -A OUTPUT -p tcp --sport 20 --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
  33. #iptables -A INPUT -p tcp --sport 1024: --dport 20 -m state --state ESTABLISHED -j ACCEPT
  35. #iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
  36. #iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
  38. #Maintenant on autorise la machine passerelle a certaines choses
  39. #---------------------------------------------------------------
  41. #On autorise les requetes DNS
  42. iptables -A INPUT -p udp -i ppp0 -s 193.252.19.3 --sport 53 -m state --state ESTABLISHED -j ACCEPT
  43. iptables -A OUTPUT -p udp -o ppp0 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
  44. iptables -A INPUT -p udp -i ppp0 -s 193.252.19.4 --sport 53 -m state --state ESTABLISHED -j ACCEPT
  45. iptables -A OUTPUT -p udp -o ppp0 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
  47. #On autorise le surf
  48. iptables -A INPUT -i ppp0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
  49. iptables -A OUTPUT -o ppp0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
  50. iptables -A INPUT -i ppp0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
  51. iptables -A OUTPUT -o ppp0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
  52. #iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
  53. #iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
  54. #iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
  55. #iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
  56. #iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
  57. #iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
  59. #eDonkey et cie
  60. #non stateful car utilise trop de ressources
  62. iptables -A INPUT -i ppp0 -p tcp --dport 4662 -j ACCEPT
  63. iptables -A OUTPUT -o ppp0 -p tcp --sport 4662 -j ACCEPT
  64. iptables -A INPUT -i ppp0 -p tcp --sport 4662 -j ACCEPT
  65. iptables -A OUTPUT -o ppp0 -p tcp --dport 4662 -j ACCEPT
  67. iptables -A INPUT -i ppp0 -p tcp --dport 4242 -j ACCEPT
  68. iptables -A OUTPUT -o ppp0 -p tcp --sport 4242 -j ACCEPT
  69. iptables -A INPUT -i ppp0 -p tcp --sport 4242 -j ACCEPT
  70. iptables -A OUTPUT -o ppp0 -p tcp --dport 4242 -j ACCEPT
  72. iptables -A INPUT -i ppp0 -p tcp --dport 4661 -j ACCEPT
  73. iptables -A OUTPUT -o ppp0 -p tcp --sport 4661 -j ACCEPT
  74. iptables -A INPUT -i ppp0 -p tcp --sport 4661 -j ACCEPT
  75. iptables -A OUTPUT -o ppp0 -p tcp --dport 4661 -j ACCEPT
  77. #Kazaa
  78. #iptables -A INPUT -i ppp0 -p tcp --dport 1214 -j ACCEPT
  79. #iptables -A OUTPUT -o ppp0 -p tcp --sport 1214 -j ACCEPT
  80. #iptables -A INPUT -i ppp0 -p tcp --sport 1214 -j ACCEPT
  81. #iptables -A OUTPUT -o ppp0 -p tcp --dport 1214 -j ACCEPT
  83. #On autorise le SMTP
  84. iptables -A INPUT -i ppp0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
  85. iptables -A OUTPUT -o ppp0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
  87. #La on autorise d'autres trucs pour le LAN
  88. #-----------------------------------------
  90. #On autorise les requetes DNS, le surf et le ftp
  91. iptables -A FORWARD -p udp -i ppp0 -s 193.252.19.3 --sport 53 -m state --state ESTABLISHED -j ACCEPT
  92. iptables -A FORWARD -p udp -i ppp0 -s 193.252.19.4 --sport 53 -m state --state ESTABLISHED -j ACCEPT
  93. iptables -A FORWARD -p udp -o ppp0 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
  95. iptables -A FORWARD -i ppp0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
  96. iptables -A FORWARD -o ppp0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
  98. iptables -A FORWARD -i ppp0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
  99. iptables -A FORWARD -o ppp0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
  101. #iptables -A FORWARD -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
  102. #iptables -A FORWARD -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
  103. #iptables -A FORWARD -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
  104. #iptables -A FORWARD -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
  105. #iptables -A FORWARD -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
  106. #iptables -A FORWARD -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
  108. #edonkey, emule et cie
  109. iptables -t nat -A PREROUTING -j DNAT -i ppp0 -p tcp --dport 1214 --to-destination 192.168.1.4:1214
  110. iptables -A FORWARD -i ppp0 -p tcp --sport 1214 -j ACCEPT
  111. iptables -A FORWARD -i ppp0 -p tcp --dport 1214 -j ACCEPT
  112. iptables -A FORWARD -o ppp0 -p tcp --sport 1214 -j ACCEPT
  113. iptables -A FORWARD -o ppp0 -p tcp --dport 1214 -j ACCEPT
  115. #iptables -A FORWARD -i ppp0 -p udp --sport 1214 -j ACCEPT
  116. #iptables -A FORWARD -i ppp0 -p udp --dport 1214 -j ACCEPT
  117. #iptables -A FORWARD -o ppp0 -p udp --sport 1214 -j ACCEPT
  118. #iptables -A FORWARD -o ppp0 -p udp --dport 1214 -j ACCEPT
  120. #iptables -A FORWARD -p tcp --sport 4661 -j ACCEPT
  121. #iptables -A FORWARD -p tcp --dport 4661 -j ACCEPT
  122. #iptables -A FORWARD -p tcp --sport 4242 -j ACCEPT
  123. #iptables -A FORWARD -p tcp --dport 4242 -j ACCEPT
  124. #iptables -A FORWARD -p udp --sport 4665 -j ACCEPT
  125. #iptables -A FORWARD -p udp --dport 4665 -j ACCEPT
  127. #Pc Anywhere
  128. iptables -A FORWARD -o ppp0 -p tcp --dport 5631 -m state --state NEW,ESTABLISHED -j ACCEPT
  129. iptables -A FORWARD -i ppp0 -p tcp --sport 5631 -m state --state ESTABLISHED -j ACCEPT
  130. iptables -A FORWARD -i ppp0 -p udp --sport 5632 -m state --state ESTABLISHED -j ACCEPT
  131. iptables -A FORWARD -o ppp0 -p udp --dport 5632 -m state --state NEW,ESTABLISHED -j ACCEPT
  133. #mIRC c'est bien aussi
  134. iptables -t nat -A PREROUTING -j DNAT -i ppp0 -p tcp --dport 113 --to-destination 192.168.1.4:113
  135. iptables -A FORWARD -p tcp -i ppp0 --dport 113 -m state --state NEW,ESTABLISHED -j ACCEPT
  136. iptables -A FORWARD -p tcp -o ppp0 --sport 113 -m state --state ESTABLISHED -j ACCEPT
  137. iptables -A FORWARD -i ppp0 -p tcp --sport 6667:6669 -m state --state ESTABLISHED -j ACCEPT
  138. iptables -A FORWARD -o ppp0 -p tcp --dport 6667:6669 -m state --state NEW,ESTABLISHED -j ACCEPT
  140. #Pour envoyer et recevoir du courrier
  141. iptables -A FORWARD -i ppp0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT
  142. iptables -A FORWARD -o ppp0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
  143. iptables -A FORWARD -i ppp0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
  144. iptables -A FORWARD -o ppp0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
  146. #Ici c'est pour All seeing eye
  147. iptables -A FORWARD -i ppp0 -p tcp --sport 27243:27245 -m state --state ESTABLISHED -j ACCEPT
  148. iptables -A FORWARD -o ppp0 -p tcp --dport 27243:27245 -m state --state NEW,ESTABLISHED -j ACCEPT
  149. iptables -A FORWARD -i ppp0 -p udp --sport 27243:27245 -m state --state ESTABLISHED -j ACCEPT
  150. iptables -A FORWARD -o ppp0 -p udp --dport 27243:27245 -m state --state NEW,ESTABLISHED -j ACCEPT
  152. #serveurs authentification WON
  153. iptables -A FORWARD -i ppp0 -p tcp --sport 6003 -m state --state ESTABLISHED -j ACCEPT
  154. iptables -A FORWARD -o ppp0 -p tcp --dport 6003 -m state --state NEW,ESTABLISHED -j ACCEPT
  155. iptables -A FORWARD -i ppp0 -p tcp --sport 7002 -m state --state ESTABLISHED -j ACCEPT
  156. iptables -A FORWARD -o ppp0 -p tcp --dport 7002 -m state --state NEW,ESTABLISHED -j ACCEPT
  157. iptables -A FORWARD -i ppp0 -p tcp --sport 27010:27012 -m state --state ESTABLISHED -j ACCEPT
  158. iptables -A FORWARD -o ppp0 -p tcp --dport 27010:27012 -m state --state NEW,ESTABLISHED -j ACCEPT
  159. iptables -A FORWARD -i ppp0 -p udp --sport 27010:27012 -m state --state ESTABLISHED -j ACCEPT
  160. iptables -A FORWARD -o ppp0 -p udp --dport 27010:27012 -m state --state NEW,ESTABLISHED -j ACCEPT
  162. #serveurs CS
  163. iptables -A FORWARD -i ppp0 -p udp --sport 27015:27030 -m state --state ESTABLISHED -j ACCEPT
  164. iptables -A FORWARD -o ppp0 -p udp --dport 27015:27030 -m state --state NEW,ESTABLISHED -j ACCEPT
  166. #Ouverture des ports Dark Age Of Camelot
  167. iptables -A FORWARD -i ppp0 -p tcp --sport 1280 -m state --state ESTABLISHED -j ACCEPT
  168. iptables -A FORWARD -o ppp0 -p tcp --dport 1280 -m state --state NEW,ESTABLISHED -j ACCEPT
  169. iptables -A FORWARD -i ppp0 -p tcp --sport 10500:10504 -m state --state ESTABLISHED -j ACCEPT
  170. iptables -A FORWARD -o ppp0 -p tcp --dport 10500:10504 -m state --state NEW,ESTABLISHED -j ACCEPT
  171. iptables -A FORWARD -i ppp0 -p tcp --sport 10622:10624 -m state --state ESTABLISHED -j ACCEPT
  172. iptables -A FORWARD -o ppp0 -p tcp --dport 10622:10624 -m state --state NEW,ESTABLISHED -j ACCEPT
  174. #Trucs sympas pour virer le spoofing, broadcast et cie
  175. iptables -A INPUT -i ppp0 -s 10.0.0.0/8  -j DROP
  176. iptables -A INPUT -i ppp0 -s 172.16.0.0/12 -j DROP
  177. iptables -A INPUT -i ppp0 -s 192.168.0.0/16 -j DROP
  178. iptables -A INPUT -i ppp0 -s 255.255.255.255 -j DROP
  179. iptables -A INPUT -i ppp0 -d 0.0.0.0 -j DROP
  180. iptables -A INPUT -i ppp0 -s 224.0.0.0/4 -j DROP
  181. iptables -A INPUT -i ppp0 -s 240.0.0.0/5 -j DROP
  182. iptables -A INPUT -i ppp0 -s 127.0.0.0/8 -j DROP
  183. iptables -A INPUT -i ppp0 -s 169.254.0.0/16 -j DROP
  184. iptables -A INPUT -i ppp0 -s 192.0.2.0/24 -j DROP
  185. iptables -A INPUT -i ppp0 -s 224.0.0.0/3 -j DROP
  187. echo 1 > /proc/sys/net/ipv4/tcp_syncookies
  188. echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
  189. echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
  191. #Activation du partage de connexion, reecriture des adresses LAN
  192. echo 1 > /proc/sys/net/ipv4/ip_forward
  193. iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE

Reply

Marsh Posté le 15-07-2003 à 22:10:41    

ouin !!! ca veut pas marcher !


iptables -t nat -L
 
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             anywhere           tcp dpt:4662 to:192.168.0.1:4662
DNAT       tcp  --  anywhere             anywhere           tcp spt:4662 to:192.168.0.1:4662
 
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
ppp_masq   all  --  anywhere             anywhere
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:4662
ACCEPT     tcp  --  anywhere             anywhere           tcp spt:4662
 
Chain ppp_masq (1 references)
target     prot opt source               destination
MASQUERADE  all  --  192.168.0.0/24       anywhere
 

Reply

Marsh Posté le 16-07-2003 à 18:29:41    

bon ben g viré shorewall et suivi le tuto de lea-linux.org sur iptables (top) et ca rulez !

Reply

Marsh Posté le 16-07-2003 à 18:42:12    

dommage, cela aurait été intéressant de voir cela avec shorewall
http://www.shorewall.net/two-interface_fr.html
 
mldonkey powa ( même si ca bouffe des ressources comme pas possible )

Reply

Marsh Posté le 16-07-2003 à 21:12:34    

encore une question :  
bien que je sois maintenant connecte avec un high ID sur emule, la recherche ne fonctionne plus je ne recois aucun resultat, est ce qu'il faut ouvrir un port particulier ??

Reply

Marsh Posté le 17-07-2003 à 07:54:22    

Avec la conf ci-dessus je peux faire des recherches nickel sans ouvrir de ports supplementaires (j'utilise mldonkey). Mais emule a peut etre besoin du port 4665 en udp je crois.


Message édité par Cruchot le 17-07-2003 à 07:55:10
Reply

Marsh Posté le 17-07-2003 à 08:44:23    

Cruchot a écrit :

Avec la conf ci-dessus je peux faire des recherches nickel sans ouvrir de ports supplementaires (j'utilise mldonkey). Mais emule a peut etre besoin du port 4665 en udp je crois.


 :jap: vais regarder ca

Reply

Marsh Posté le 17-07-2003 à 08:44:23   

Reply

Marsh Posté le 17-07-2003 à 12:50:34    

http://www.edonkey2000.com/documentation/lowid.html
 
tu y trouveras la liste des ports à ouvrir


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed