Andesi - forum

Forum francophone pour Debian

Vous n'êtes pas identifié(e).

#1 08/06/2006 15:24:20

cyberfrk
Membre
Inscription : 08/06/2006
Messages : 5

Config Iptables et putty de windows vers debian derriere autre debian

Bonjour

Désolé pour ce titre qui n'est peut-être pas assez explicite mais je vais essayer de détailler mon problème au maximum.

Malgré mes multiples recherches sur internet (tutoriaux, forums et autres), je n'ai pas trouvé les modifications à apporter à mon script iptables pour:

Accéder à la debian non passerelle (dnp) depuis mon poste sous win$

-Pouvez vous m'indiquer quelles lignes je dois modifier ou ajouter au script iptables?
-Ou dans le cas où le script est correcte, que dois-je changer dans putty (sur mon pc sous win) pour accéder à la dnp?

Voici quelques informations complémentaires:

schemareseauwinpasserelledebia1.th.jpg

/etc/network/interfaces de la passerelle :

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
# Activation de la fonction de forwarding IP au niveau du noyau
        up echo "1" > /proc/sys/net/ipv4/ip_forward
# The primary network interface
auto eth0
iface eth0 inet static
        address 10.0.0.155
        netmask 255.255.255.0
        network 10.0.0.0
        broadcast 10.0.0.255
        gateway 10.0.0.240
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers mesdns
        dns-search phoenix.skynet.com
# The secondary network interface
auto eth1
iface eth1 inet static
        address 192.168.0.2
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        gateway 10.0.0.240

/etc/network/interfaces de la dnp :

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        gateway 192.168.0.2
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers les dns du FAI
        dns-search madebian

Script iptables inspiré de www.via.ecp.fr/~alexis/formation-linux/ :

#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start
# Script qui démarre les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://www.via.ecp.fr/~alexis/formation-linux/
# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F
# DEBUT des "politiques par défaut"
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT
# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT
# FIN des "politiques par défaut"
# DEBUT des règles de filtrage
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT
# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT
# J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Décommentez la ligne suivante pour que le serveur SSH éventuel
# soit joignable de l'extérieur
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Décommentez les deux lignes suivantes pour que le serveur de DNS éventuel
# soit joignable de l'extérieur
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
# Décommentez la ligne suivante pour que le serveur Web éventuel
# soit joignable de l'extérieur
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT
# FIN des règles de filtrage
# DEBUT des règles pour le partage de connexion (i.e. le NAT)
# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT" et remplacez "eth0" par le nom de l'interface connectée
# à Internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# FIN des règles pour le partage de connexion (i.e. le NAT)
# DEBUT des règles de "port forwarding"
# Décommentez la ligne suivante pour que les requêtes TCP reçues sur
# le port 80 de l'interface eth0 soient forwardées à la machine dont
# l'IP est 192.168.0.1 sur son port 80 (la réponse à la requête sera
# forwardée au client)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1
# FIN des règles de "port forwarding"

Avec le script iptables qui précède, voici le bilan de putty:

bilandeputty0ic.png

Bilan des pings:

bilandespings2zh.png

En espérant avoir été le plus explicite possible.
Je vous remercie d'avance

Cyberfrk

Hors ligne

#2 08/06/2006 16:00:41

ioguix
Administrator
Lieu : Paris
Inscription : 25/04/2003
Messages : 3 945

Re : Config Iptables et putty de windows vers debian derriere autre debian

Bonjour,

Avez vous essayé sans votre script iptables actif ?

Effectivement, je pense que le problème viens d'iptables. Les règles de celui-ci indiquent un NAT du réseau 192 vers le monde, mais n'autorise pas les connexion du monde vers le réseau 192.

Je ne pratique malheureusement pas suffisamment iptables pour pouvoir écrire ici la règle magique qui ira bien sans perdre trop de temps à la chercher (Armen ?). Mais je pense qu'il vous faut ajouter une ligne autorisant les flux du réseau 10 vers le 192 (total ou filtré selon les critères voulus).

++

edit: J'ajoute que les règles ajoutées pour le ping et le ssh ne concerne QUE le serveur en lui même et non le réseau qui y est attaché (je crois).


[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222

Hors ligne

#3 08/06/2006 17:37:08

bz31
Membre
Inscription : 17/03/2004
Messages : 1 380
Site Web

Re : Config Iptables et putty de windows vers debian derriere autre debian

Installer shorewall et quelques lignes de config en suivant http://www.shorewall.net/two-interface_fr.html
Très simple à réaliser.

Hors ligne

#4 09/06/2006 05:36:22

sunix
Membre
Lieu : Paris
Inscription : 23/06/2003
Messages : 455
Site Web

Re : Config Iptables et putty de windows vers debian derriere autre debian

je me trompe peut etre mais cest pas plutot un probleme de routage plutot qu un probleme de firewall ? (comme le dit ioguix, essayes sans configuration firewall si ca marche pas, configure tes tables de routage avant tongue)
et je comprend pas trop le putty de 10.0.0.155, je croyais que ce dernier etais pas un windows
(pourkoi tutilises putty sous linux ?)
sinon pour pas me casser je ferais un forward de port :
win putty sur 10.0.0.155:222 -> forward sur 192.168.0.2:22

Dernière modification par sunix (09/06/2006 05:42:15)

Hors ligne

#5 09/06/2006 10:00:23

ioguix
Administrator
Lieu : Paris
Inscription : 25/04/2003
Messages : 3 945

Re : Config Iptables et putty de windows vers debian derriere autre debian

A oui tiens, c'est vrai, comme le dis mon grand et cher ami sunix, 2/3 tables de routages seraient les bien venues :

Sous windows, ce sera un "route print".
Sous linux, ce sera un "route -n" (-n car on a pas vraiment besoin de connaitre les noms des passerelles).

++

edit : mon petit sunix, son putty, il est bel et bien sur un windows (le .111). Et sinon, effectivement, tu peux faire un petit port forward de 10.0.0.155:222 vers 192.168.0.1:22 (et non .2 qui est la mm machine)...

++


[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222

Hors ligne

#6 13/06/2006 07:16:15

sunix
Membre
Lieu : Paris
Inscription : 23/06/2003
Messages : 455
Site Web

Re : Config Iptables et putty de windows vers debian derriere autre debian

ioguix a écrit :

mon petit sunix, son putty, il est bel et bien sur un windows (le .111)

bin le champs "depuis" il sert a quoi ? et pourquoi ils sont pas tous a .111 ?

Hors ligne

#7 13/06/2006 09:38:30

ioguix
Administrator
Lieu : Paris
Inscription : 25/04/2003
Messages : 3 945

Re : Config Iptables et putty de windows vers debian derriere autre debian

oui, effectivement,

Il a certainement voulu dire que le ssh depuis le .155 marche vers réseau 192 voilà tout...

il est vrai qu'il y a ici un petit amalgame. Mais je constate un trés bel exemple de je balance tout ce que je peux pour vous donner autant de bille que possible sur mon problème...

Et ça, c'est trés louable smile

en revanche, on a lplus de nouvelle de notre amis cyberfrk depuis notre avalanche de réponse....

++


[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222

Hors ligne

#8 14/06/2006 16:48:30

cyberfrk
Membre
Inscription : 08/06/2006
Messages : 5

Re : Config Iptables et putty de windows vers debian derriere autre debian

Desolé pour mon absence mais travail oblige...:-(

Pour shorewall, je connais ce produit mais je ne souhaite pas avoir d'interface graphique. Je veux faire comme les grands, tout à la mimine...:-)

Ioguix a bien compris. Le ssh depuis le 10.0.0.155 marche vers 192.168.0.1.


route print depuis win$ donne cela:

routeprintwinxp6yh.th.jpg

Voici ce que me donne route -n depuis ma passerelle:

Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         10.0.0.240      0.0.0.0         UG    0      0        0 eth0

Iptables-save me donne cela:

# Generated by iptables-save v1.2.11 on Wed Jun 14 15:32:23 2006
*nat
:PREROUTING ACCEPT [702:84602]
:POSTROUTING ACCEPT [4:336]
:OUTPUT ACCEPT [39:2590]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Jun 14 15:32:23 2006
# Generated by iptables-save v1.2.11 on Wed Jun 14 15:32:23 2006
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [245:20668]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p igmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Wed Jun 14 15:32:23 2006

Sinon, Ioguix et Sunix, vous parlez d'un port forward. Quelles regles dois-je ajouter à mon script pour résoudre mon souci?

J'ai essayé plusieurs choses mais j'ai l'impression de m'éloigner plus qu'autre chose.

Merci encore pour votre participation.

Dernière modification par cyberfrk (15/06/2006 16:24:37)

Hors ligne

#9 15/06/2006 18:09:51

cyberfrk
Membre
Inscription : 08/06/2006
Messages : 5

Re : Config Iptables et putty de windows vers debian derriere autre debian

Modification de dernière minute avec l'aide d'un autre forum

j'ai executé la commande suivante sur win$ :
route ADD 192.168.0.0 MASK 255.255.255.0 10.0.0.111

Et effectivement, depuis win$, le ping 192.168.0.2 ne pose aucun problème mais il étiat impossible de pinger la passerelle.
Problème de ping résolu après avoir ajouté la ligne suivante à mon script iptables:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2

Concernant Putty, à présent j'arrive à accéder depuis win$ à 192.168.0.2 mais toujours pas à 192.168.0.1...mais ça avance!

Hors ligne

#10 15/06/2006 18:19:14

ioguix
Administrator
Lieu : Paris
Inscription : 25/04/2003
Messages : 3 945

Re : Config Iptables et putty de windows vers debian derriere autre debian

Euh, t'es sûr de toi là ?

Car cette règle, pour moi, elle met un NAT depuis le monde vers le port 80 (http) de ta passerelle qui transmet à 192.168.0.2 toujours sur son port 80...

Voici qui devrait t'être utilile :
iptables -t nat -A PREROUTING -p tcp --dport 22 -i ${WAN} -j DNAT --to 192.168.0.2:22

Tiré de cette page après une recherche trés simple :
http://www.gentoo.org/doc/fr/home-router-howto.xml

Après, je te conseille de jouer avec l'option '-s' pour limiter les sources autorisée à y accéder (par exemple -s 10.0.0.0/24)

++


[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222

Hors ligne

#11 15/06/2006 18:24:30

ioguix
Administrator
Lieu : Paris
Inscription : 25/04/2003
Messages : 3 945

Re : Config Iptables et putty de windows vers debian derriere autre debian

D'ailleur, je te conseille même de ne pas utiliser le port 22 en source (dport) mais un autre car sinon, tu va être en conflit avec le serveur ssh de ta passerelle...

++


[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222

Hors ligne

#12 29/06/2006 18:25:29

cyberfrk
Membre
Inscription : 08/06/2006
Messages : 5

Re : Config Iptables et putty de windows vers debian derriere autre debian

N'ayant toujours pas réussi à résoudre mon problème, j'ai refait le schéma au cas où ce serait plus clair avec.


Quelle régles iptables dois-je ajouter à mon fichier pour rendre possible putty de winxp (10.0.0.111) vers debian non passerelle (eth0:192.168.0.1)?

Merci encore et toujours.

Hors ligne

#13 29/06/2006 19:23:06

ioguix
Administrator
Lieu : Paris
Inscription : 25/04/2003
Messages : 3 945

Re : Config Iptables et putty de windows vers debian derriere autre debian

Haha, alors déjà, ce n'est pas putty entre les deux debian. bref.

as-tu essayer d'adapter la ligne que je t'es donnée plus haut ?

si non, tente celle-ci (mais je suis pas expert iptables) :
iptables -t nat -A PREROUTING -p tcp --dport 222 -i eth0 -j DNAT --to 192.168.0.1:22

Ensuite, tu configure ton putty sous win (10.0.0.111) pour se connecter sur le port 222 de TA PASSERELLE (192.168.0.2) qui en fait se contentera de rebalancer le tout vers ta machine interne. Donc, en fait pour résumer, putty se connectera à ta passerelle, mais ce sera bien ta machine interne qui répondra.

J'espère avoir été clair.

++


[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222

Hors ligne

#14 30/06/2006 19:10:19

cyberfrk
Membre
Inscription : 08/06/2006
Messages : 5

Re : Config Iptables et putty de windows vers debian derriere autre debian

Effectivement Iogix, non seulement tu as été clair mais en plus après avoir réussi à faire ma règle correctement, j'ai vu que tu l'avais mises aussi.
Elle est légèrement différente dans l'écriture mais l'incidence est la même!

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 222 -j DNAT --to-destination 192.168.0.1:22

A présent dans putty:
- je met l'ip de la passerelle (192.168.0.2),port 22 et je peux prendre la main sur ma passerelle.
- je met l'ip de la passerelle (192.168.0.2), port 222 et je peux prendre la main sur la debiannonpasserelle.

J'aurais preferé mettre directement 192.168.0.1 mais faute de mieux, on se contente de ce que l'on a.
*est jamais content* :-)

A tout hasard, si quelqu'un trouve une solution.....merci à lui

Néanmoins, merci à tout le monde pour l'aide apportée sur ce forum.
Franck

Hors ligne

Pied de page des forums