Tunnel SSH avec VNC

Marsh Posté le 27-02-2012 à 18:07:32

Bonjour

je poste ici parce que j'ai un petit problème de parefeu iptables x)

pour exposer la situation, j'ai un routeur/parefeu qui relie une DMZ (172.16.1.0/24) et un LAN (172.16.0.0/24) vers l'extérieur (10.0.0.0/8) . Sur la DMZ, j'ai 3 serveurs dont un serveur Windows 2008 (et 2 debian) et un client ubuntu sur le LAN.
J'aimerais pouvoir me connecter depuis une machine située à l'exterieur vers une machine située dans la DMZ ou dans le LAN.

J'ai bien configuré PuTTy vers mon routeur/firewall avec un tunnel ssh ( L8888 172.16.1.4:5900 )
la connexion s'ouvre bien en ssh mais mes règles semblent ne pas suffire pour laisser passer la connexion VNC du PC de l'exterieur vers le serveur Windows

Je voudrais bien savoir ce qu'il faut ajouter comme règles à mon script iptables pour laisser passer cette connexion
j'ai pensé à plein de choses mais après un après midi complet dessus je fatigue x)
si vous aviez quelques idées ... x)

PS: C'est pour un projet en IUT donc soyez gentils si j'ai tout fait de travers X)

voilà mon script au cas ou :

Code :

EXT=eth0
LAN=eth1
DMZ=eth2
IPDMZ=172.16.1.0/255.255.255.0
IPLAN=172.16.0.0/255.255.255.0
IPEXT=10.10.33.200
SERVDNS=172.16.1.4
CLUSTERWEBDAV=172.16.1.3
PORTWEBDAV=4500
echo 1 > /proc/sys/net/ipv4/ip_forward
case $1 in
start)
# Initialisation
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
iptables -t nat -X
iptables -t mangle -X
iptables -t filter -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Autoriser la boucle locale
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Autorisation de ssh depuis l'exterieur
iptables -A INPUT -i $EXT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o $EXT -p tcp --sport 22 -j ACCEPT
# Autorisation de ssh depuis la DMZ
iptables -A INPUT -i $DMZ -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -o $DMZ -p tcp --dport 22 -j ACCEPT
# Internet en MASQUERADING (masquage d'IP)
iptables -t nat -A POSTROUTING -o $EXT -j MASQUERADE
# Autorisation de DNS de LAN vers DMZ
iptables -A FORWARD -i $LAN -o $DMZ -p udp -d $SERVDNS --dport 53 -j ACCEPT
iptables -A FORWARD -i $DMZ -o $LAN -p udp -s $SERVDNS --sport 53 -j ACCEPT
# Autorisation de DNS de Routeur vers DMZ
iptables -A OUTPUT -o $DMZ -p udp -d $SERVDNS --dport 53 -j ACCEPT
iptables -A INPUT -i $DMZ -p udp -s $SERVDNS --sport 53 -j ACCEPT
# Autorisation de DNS du serveur DNS vers Internet
iptables -A FORWARD -i $DMZ -o $EXT -p udp -s $SERVDNS --dport 53 -j ACCEPT
iptables -A FORWARD -i $EXT -o $DMZ -p udp -d $SERVDNS --sport 53 -j ACCEPT
# Autorisation de http(s)de LAN vers le net
iptables -A FORWARD -i $LAN -o $EXT -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $EXT -o $LAN -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $LAN -o $EXT -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $EXT -o $LAN -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
# Autorisation de http(s)de DMZ vers le net
iptables -A FORWARD -i $DMZ -o $EXT -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $EXT -o $DMZ -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $DMZ -o $EXT -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $EXT -o $DMZ -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
# Autorisation de Internet pour le routeur
iptables -A OUTPUT -o $EXT -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $EXT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $EXT -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $EXT -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
# Autoriser le LAN a échanger sur le port 80 avec le cluster WebDAV
iptables -A FORWARD -i $LAN -o $DMZ -p tcp -s $IPLAN -d $CLUSTERWEBDAV --dport 80 -j ACCEPT
iptables -A FORWARD -i $DMZ -o $LAN -p tcp -s $CLUSTERWEBDAV -d $IPLAN --sport 80 -j ACCEPT
# Autorisation de VNC par tunelling
# iptables -t nat -A PREROUTING -p tcp -d $IPEXT --dport 8888 -i $EXT -j DNAT --to-destination 172.16.1.4:5900
# iptables -t nat -A POSTROUTING -p tcp --sport 5900 -o $EXT -j SNAT --to-source 10.10.33.120:8888
# iptables -A FORWARD -i $EXT -o $DMZ -p tcp -d 172.16.1.4 --dport 5900 -j ACCEPT
# iptables -A FORWARD -i $DMZ -o $EXT -p tcp -s 172.16.1.4 --sport 5900 -j ACCEPT
# iptables -A OUTPUT -o $DMZ -p tcp --dport 5900 -j ACCEPT
# iptables -A INPUT -i $DMZ -p tcp --sport 5900 -j ACCEPT
# Autorisation de WWW par le routeur (tunelling)
# iptables -A INPUT -i $LAN -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -o $LAN -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# Routage NAT 10.10.33.200:4500 va sur 172.16.1.3:80
iptables -t nat -A PREROUTING -p tcp -d $IPEXT --dport $PORTWEBDAV -i $EXT -j DNAT --to $CLUSTERWEBDAV:80
iptables -t nat -A POSTROUTING -p tcp --sport 80 -o $EXT -j SNAT --to $CLUSTERWEBDAVEXT:$PORTWEBDAV
iptables -A FORWARD -i $EXT -o $DMZ -p tcp -d $CLUSTERWEBDAV --dport 80 -j ACCEPT
iptables -A FORWARD -i $DMZ -o $EXT -p tcp -s $CLUSTERWEBDAV --sport 80 -j ACCEPT
# Autorisation de DHCP
#HAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAaaaFock :(
;;
stop)
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
restart)
service firewall stop
service firewall start
;;
*)
;;
esac

Reply

Marsh Posté le 27-02-2012 à 18:07:32

Reply

Marsh Posté le 28-02-2012 à 12:41:54

C'est bon j'ai trouvé l'erreur ........ x')

iptables -A OUTPUT -p tcp -d $SERVDNS --dport 5900 -j ACCEPT
iptables -A INPUT -p tcp -d $IPEXT --sport 5900 -j ACCEPT

suffit !!
il faut juste penser a configurer le parefeu Windows !! X)

Reply

Marsh Posté le 29-02-2012 à 09:45:18

Et oui comme tout le temps

Reply

Tunnel SSH avec VNC

Sujets relatifs:

Leave a Replay