| View previous topic :: View next topic |
| Author |
Message |
romary.sonrier
n00b
Joined: 15 Dec 2004
Posts: 17
Location: Paris
|
 Posted: Mon Jan 24, 2005 3:05 pm Post subject: [IPTABLES] prerouting vers localhost ...help |
 |
|
Bonjour,
je viens tout juste d'installer un proxy transparant avec SQUID.
Tout marche tres bien quand squid écoute sur le port 3128 et que j'utilise les iptables pour faire du prérouting avec la commande:
| Code: | | iptables -t nat -A PREROUTING -i eth1 -p tcp --destination-port 80 -j DNAT --to-destination 192.168.1.3:3128 |
Je voudrais que squid ecoute sur le port 127.0.0.1:80 et rediriger directement le flux socket ayant pour port 80 vers la boucle locale:
| Code: | | iptables -t nat -A PREROUTING -i eth1 -p tcp --destination-port 80 -j DNAT --to-destination 127.0.0.1:80 |
mais cela ne marche pas, quand je snif avec ethereal , je vois les packets arrivé sur l'interface eth1 mais jamais sur l'interface lo, comme si le prérouting ou le routage ne marchait pas...
Peut-etre que 'lon ne peut pas faire de prérouting sur lo?
Quelqu'un à -til une id? merci d'avance
_________________
=================
Gentoo is so good
Last edited by romary.sonrier on Mon Jan 24, 2005 3:44 pm; edited 1 time in total |
|
| Back to top |
|
 |
romary.sonrier
n00b
Joined: 15 Dec 2004
Posts: 17
Location: Paris
|
| Posted: Mon Jan 24, 2005 3:36 pm Post subject: |
|
|
allez si ou plait..... 
_________________
=================
Gentoo is so good |
|
| Back to top |
|
|
kernelsensei
Bodhisattva
Joined: 22 Feb 2004
Posts: 5619
Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)
|
| Posted: Mon Jan 24, 2005 3:40 pm Post subject: |
|
|
desole, je n'ai pas la reponse !
tout d'abord, bienvenue sur le forum !
sinon enleve le (non resolu) stp ! (un probleme est resolu ou il ne l'est pas) !
_________________
$ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join' |
|
| Back to top |
|
|
romary.sonrier
n00b
Joined: 15 Dec 2004
Posts: 17
Location: Paris
|
| Posted: Tue Jan 25, 2005 2:11 pm Post subject: |
|
|
Quelle auurait-il une id?
_________________
=================
Gentoo is so good |
|
| Back to top |
|
|
Leander256
l33t
Joined: 05 Jul 2003
Posts: 910
Location: Singapour
|
| Posted: Thu Jan 27, 2005 7:02 pm Post subject: Re: [IPTABLES] prerouting vers localhost ...help |
|
|
| romary.sonrier wrote: | | Code: | | iptables -t nat -A PREROUTING -i eth1 -p tcp --destination-port 80 -j DNAT --to-destination 192.168.1.3:3128 |
| Code: | | iptables -t nat -A PREROUTING -i eth1 -p tcp --destination-port 80 -j DNAT --to-destination 127.0.0.1:80 |
mais cela ne marche pas, quand je snif avec ethereal , je vois les packets arrivé sur l'interface eth1 mais jamais sur l'interface lo, comme si le prérouting ou le routage ne marchait pas... |
Ces deux règles sont "incompatibles": dans les deux cas tu fais du prerouting sur des paquets TCP venant de eth1 et à destination du port 80, et si comme je le suppose tu as validé ces deux règles simultanément, seule la première est appliquée!
Si tu veux faire quelque chose de plus efficace, il faudrait préciser pour la première règle quelle est l'interface de sortie, si c'est eth0:
| Code: | | iptables -t nat -A PREROUTING -i eth1 -o eth0 -p tcp --destination-port 80 -j DNAT --to-destination 192.168.1.3:3128 |
Je n'ai pas très bien compris à quoi est censée servir la deuxième règle, mais j'espère que mon idée t'aidera. |
|
| Back to top |
|
|
razer
l33t
Joined: 08 Oct 2004
Posts: 893
Location: Paris - France
|
| Posted: Thu Jan 27, 2005 10:26 pm Post subject: Re: [IPTABLES] prerouting vers localhost ...help |
|
|
| Leander256 wrote: |
Si tu veux faire quelque chose de plus efficace, il faudrait préciser pour la première règle quelle est l'interface de sortie, si c'est eth0:
| Code: | | iptables -t nat -A PREROUTING -i eth1 -o eth0 -p tcp --destination-port 80 -j DNAT --to-destination 192.168.1.3:3128 |
Je n'ai pas très bien compris à quoi est censée servir la deuxième règle, mais j'espère que mon idée t'aidera. |
Moi non plus j'ai pas tout compris ce que veut faire Leander, mais je suis quasiment sûr que ta commande iptable ne fonctionnera pas.
Dans le cas du PREROUTING, seule l'interface d'entrée peut être spécifiée, c'est assez logique d'ailleurs.
On spécifie une interface de sortie en POSTROUTING, je me demande si c'est pas vers cette table que Leander devrait se tourner.
Mais bon comme j'ai pas compris ce qu'il voulait faire...
Une chose est sûre : la seconde ligne est purement inutile, car elle concerne des paquets similaires à la première, ils ont donc déjà été préroutés.
Sinon peut-être :
iptables -t nat -A PREROUTING -i eth1 -p tcp --destination-port 80 -j DNAT --to-destination 192.168.1.3:3128
iptables -t nat -A PREROUTING -i lo -p tcp --destination-port 80 -j DNAT --to-destination 127.0.0.1:80
/EDIT :
iptables -t nat -A PREROUTING -i lo -p tcp --destination-port 80 -j DNAT --to-destination 127.0.0.1:80
Ben non en fait cette ligne est purement stupide... Tous les paquets en provenance de lo sont forcément d'adresse 127.0.0.0/8
On appelle çà enculer les mouches  |
|
| Back to top |
|
|
jpopcenter
n00b
Joined: 12 Jan 2005
Posts: 18
|
| Posted: Fri Jan 28, 2005 11:33 pm Post subject: |
|
|
| romary.sonrier wrote: | | Quelle auurait-il une id? |
Hello Romary ^^
Tu vas bien ? Alors ? On traine ses pieds du côté des forums gentoo
Moi, j'ai bien une petite idée sur le problème : A mon avis, une règle de ton script d'iptables doit empêcher un truc en amont car la ligne de redirection sur localhost:80 semble marcher 
Petite question : Néanmoins, quel intérêt cherches-tu dans ce fonctionnement ? Pourquoi ce choix de redirection ?
Je vois que tu utilises ethereal, est-ce une de tes motivations cette redirection sur une ip autre que eth0 ? Si c'est ça, il y a mieux comme solution d'autant plus qu'il est assez malvenu de rediriger vers localhost:80 surtout le jour où tu auras décidé d'installer un serveur web sur ta machine.
Je serais-toi, je créerais une pseudo interface (genre eth0:1) et je la metterais dans une autre plage d'ip
Bref, fais-moi signe si tu veux...
Karim  |
|
| Back to top |
|
|
kelux
n00b
Joined: 11 Dec 2004
Posts: 8
|
| Posted: Sat Jan 29, 2005 9:22 am Post subject: |
|
|
Salut,
Cette ligne ne marche pas :
| Quote: | | iptables -t nat -A PREROUTING -i eth1 -o eth0 -p tcp --destination-port 80 -j DNAT --to-destination 192.168.1.3:3128 |
-o eth0 , on utilise pas -o avec prerouting, on ne sait effectivement pas ou le paquet va etre routé ...
Je ne vois vraiment pas pourquoi redigirer vers la boucle locale ... perso c'est completement inutile (voire un peu tiré par les cheveux...)
Cette règle devrait fonctionner (ce que razer a écrit plus bas) :
| Code: | | iptables -t nat -A PREROUTING -i eth1 -p tcp --destination-port 80 -j DNAT --to-destination 192.168.1.3:3128 |
Par contre les moustaches la dedans , vous etes vous occuper des filtres ???
Faut ouvrir le port 3128 quand meme ....
| Code: | iptables -A INPUT -i eth1 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT |
@+
_________________
Luc L. |
|
| Back to top |
|
|
|
French
