| View previous topic :: View next topic |
| Author |
Message |
Aachen_france
Tux's lil' helper
Joined: 07 Jul 2006
Posts: 92
|
 Posted: Fri Jul 07, 2006 8:01 am Post subject: [Shorewall] redirection de port (explication DNAT) [Résolu] |
 |
|
Bonjour a tous,
Je me presente en premier, je suis Aachen, je me trouve en france dans le nord est...
J'ai une connection chez wanadoo, avec une serveur sous Gentoo.
Dans ce serveur il y a deux carte reseau, une brancher sur le moden LAN, et l'autres sur un reseau domestique....
DOnc mon serveur me sert de DHCP, de serveur de stockage et de partage de conextion internet...
Je precise aussi que je m'y connais tres peut un Linux, le configuration du serveur a ete faites pas un colegue...
Voila je voudrais faire 2 chose:
1) ouvrir le ssh au net (accesibilite du ssh a l'exterieur)
2) redirection du port 10001 de l'exterieur vers un machine du reseau qui a l'ip 192.168.0.251
Pour ceci, j'ai mis comme config du shorewall comme ca
| Code: |
DNAT net loc:192.168.0.1 tcp ssh
DNAT net fw:192.168.0.1 tcp ssh
DNAT net loc:192.168.0.251 tcp 10001
REJECT net fw all
|
alors le probleme, c'est que rien ne marche de l'exterieur...
J'ai demande a un camarade de faire un ping de ma machine de l'extereur, il n'a pas eu de reponse.
En interne le ssh fonctionne tres bien...
Vous pourrez m'aider peut etre?
Merci d'avance pour toutes vos reponses...
a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh
Last edited by Aachen_france on Tue Jul 11, 2006 11:20 am; edited 1 time in total |
|
| Back to top |
|
 |
Il turisto
l33t
Joined: 12 May 2004
Posts: 968
Location: Battincourt - Belgique
|
| Posted: Fri Jul 07, 2006 8:18 am Post subject: |
|
|
pour le ping c'est simplement parce que ton firewall dtoi dropper les paquets par soucis de sécurité.
Cela est donc très bien.
Si il n'a pas de putty demande lui de faire un telnet:
Afin de voir si ton firewall est bien config ou pas.
Sinon tu peux toujours regarder dans les logs (/var/log/) |
|
| Back to top |
|
|
Aachen_france
Tux's lil' helper
Joined: 07 Jul 2006
Posts: 92
|
| Posted: Fri Jul 07, 2006 8:37 am Post subject: |
|
|
Merci de ta reponce,
En effet j'ai putty... et qd je le fait en local sur le reseau, je n'ai pas de probleme...
Cepandant qd je le fait d'un autre poste externe au reseau (c'est a dire de mon boulot par exemple vers ma maison, donc par internet) il ne fonctionne pas...
Mon Firewall est sans aucun doute mal configurer... mais ou?
c'est pourkoi j'ai mon l'extrai de mon rules
a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
| Back to top |
|
|
razer
l33t
Joined: 08 Oct 2004
Posts: 893
Location: Paris - France
|
| Posted: Fri Jul 07, 2006 9:06 am Post subject: Re: [Shorewall] redirection de port (explication DNAT) |
|
|
| Aachen_france wrote: |
Pour ceci, j'ai mis comme config du shorewall comme ca
| Code: |
DNAT net loc:192.168.0.1 tcp ssh
DNAT net fw:192.168.0.1 tcp ssh
DNAT net loc:192.168.0.251 tcp 10001
REJECT net fw all
|
|
Essaye :
| Code: |
ACCEPT net fw tcp ssh -
DNAT net loc:192.168.0.1:ssh tcp ssh
DNAT net loc:192.168.0.251:10001 tcp 10001
REJECT net fw all
|
|
|
| Back to top |
|
|
Il turisto
l33t
Joined: 12 May 2004
Posts: 968
Location: Battincourt - Belgique
|
| Posted: Fri Jul 07, 2006 9:07 am Post subject: |
|
|
Je ne me souviens plus de shorewall mais je pense que ca :
| Code: |
DNAT net loc:192.168.0.1 tcp ssh
DNAT net fw:192.168.0.1 tcp ssh
DNAT net loc:192.168.0.251 tcp 10001
REJECT net fw all
|
bloque tout du net vers ton fw.
a mon avis ta règle reject devrait être au dessus des autres mais je n'en suis pas sur.
Qu'as tu dans tes logs? |
|
| Back to top |
|
|
Aachen_france
Tux's lil' helper
Joined: 07 Jul 2006
Posts: 92
|
| Posted: Fri Jul 07, 2006 11:16 am Post subject: |
|
|
Je vous remercie beaucoup de toutes vos reponces, je vais ess et je vous tiendrais au courrant
merci
a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
| Back to top |
|
|
man in the hill
Veteran
Joined: 15 Dec 2005
Posts: 1552
Location: Madinina
|
| Posted: Fri Jul 07, 2006 11:49 am Post subject: |
|
|
Salut,
Si ton ssh fonctionne en local, tu n'as pas besoin de forwarder le ssh vers les autres machines, il suffit de mettre une régle pour arriver sur ton serveur.
Mes 2 cent...
@+
_________________
Get Up and Go ! |
|
| Back to top |
|
|
Aachen_france
Tux's lil' helper
Joined: 07 Jul 2006
Posts: 92
|
| Posted: Sat Jul 08, 2006 8:34 am Post subject: |
|
|
bon bien ca marche pas...
une idee? j'ai meme remplacer le therme ssh par le 22 pour le port
a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
| Back to top |
|
|
razer
l33t
Joined: 08 Oct 2004
Posts: 893
Location: Paris - France
|
| Posted: Sat Jul 08, 2006 1:07 pm Post subject: |
|
|
Bon donne déjà la sortie de :
iptables -L |grep policy
Si elle te donne "DROP" vire ta ligne "REJECT", elle ne sert à rien et risque de mettre le brin
Ensuite,
iptables -t nat -L |grep policy
Cette fois ci tu avoir "ACCEPT", le cas inverse vérifie ton shorewall.conf |
|
| Back to top |
|
|
loopx
Advocate
Joined: 01 Apr 2005
Posts: 2787
Location: Belgium / Liège
|
| Posted: Sat Jul 08, 2006 3:10 pm Post subject: |
|
|
Salut, j'ai plus ou moins la meme config que toi pour mon serveur @home (stockage, partage du net, service en tout genre pour le local ou l'extérieur).
Déjà, tu as un MODEM LAN ? Donc, un routeur, qui se connecte sur ta carte reso. De ce fait, pour rediriger un port (ex: port 1234 de l'extérieur = port 22 en local sur ton serveur), tu dois configurer ton routeur de manière à ce qu'une connection en TCP sur 1234 de l'extérieur soit redirigé sur ton serveur au port 22.
Si tu veux rediriger un port sur une autre machine que ton serveur, tu dois configurer ton routeur pour renvoyer au serveur (comme indiqué ci dessus) + config iptables sur ton serveur pour qu'il renvoye une connexion en provenance du port X sur l'interface X sur une autre ip à un certain port. Ex: connex(port 1234) => routeur => serveur(port 1234) => ton_ip_de_ton_pc(mon_port_de_destination)
Heu, c'est pas très claire...
Une fois ton routeur configuré et ton firewall sur ton serveur configuré + iptables configurer pour renvoyer vers un autre pc en local (si tu le souhaites ....) et ben ca doit fonctionner.
EDIT: tu aura surement besoin de ddclient (pour utiliser dyndns, pour que tu avoir un nom de domaine qui pointe ton routeur).
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org |
|
| Back to top |
|
|
Aachen_france
Tux's lil' helper
Joined: 07 Jul 2006
Posts: 92
|
| Posted: Sat Jul 08, 2006 9:15 pm Post subject: |
|
|
loopx: Je n'ai pas de routeur... J'ai un modem Ethernet si tu prefaire.. c'est pas une routeur, il a besions d'un PC lui donnant les praramettres de connection (username, pass.....FAI)
raser: j'ai fait tous se que tu as dit, j'ai bien DROP au premier test, avec ou sans REJECT, et j'ai bien ACCEPT au deuxieme test...
Ca ne viens pas de mon dyndns, mais du shorewall je pense...
mais qd je coupe le shorewall, je ne peux meme plus surfer de mes postes de travail...
Voila j'ai un probleme
qq1 a une idee?
a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
| Back to top |
|
|
loopx
Advocate
Joined: 01 Apr 2005
Posts: 2787
Location: Belgium / Liège
|
| Posted: Sun Jul 09, 2006 1:19 am Post subject: |
|
|
| Aachen_france wrote: | | loopx: Je n'ai pas de routeur... J'ai un modem Ethernet si tu prefaire.. c'est pas une routeur, il a besions d'un PC lui donnant les praramettres de connection (username, pass.....FAI) |
Heu, je vois pas trop non. Tu veux dire que la première fois, tu dois brancher ton modem sur ton pc (via un cable réseau) pour le configurer (avec un programme se trouvant sur un cd) ?
Si tu t'y connecte via l'ethernet, surement que tu devrais avoir une ip sur ton "modem" pour pouvoir envoyer les packets vers internet (ip de la passerelle). Donc, si oui, faut bien configurer le "modem" pour rediriger le traffic externe vers le réseau interne.
Maintenant, peut etre qu'il y a un truc que j'ai jamais pigé ... Explique moi parce que j'ai encore jamais vu un "appareil" qui se branche via un cable réseau et qui ne possède pas d'ip (donc, qui ne peux etre configuré pour faire du DNAT). Ceci rendrait donc impossible l'accès à un pc en local de l'extérieur...
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org |
|
| Back to top |
|
|
CryoGen
Veteran
Joined: 11 Feb 2004
Posts: 1426
Location: Bamako - Mali - Afrique
|
| Posted: Sun Jul 09, 2006 2:42 am Post subject: |
|
|
Connexion PPPoE non ?
_________________
- CryoGen` on #gentoofr@irc.freenode.net
- ~amd64 / KDE4
- I'm the bone of my sword... |
|
| Back to top |
|
|
Aachen_france
Tux's lil' helper
Joined: 07 Jul 2006
Posts: 92
|
|
| Back to top |
|
|
Aachen_france
Tux's lil' helper
Joined: 07 Jul 2006
Posts: 92
|
| Posted: Sun Jul 09, 2006 1:32 pm Post subject: |
|
|
| Code: | Action Source Destination Protocole Source ports Destination ports
ACCEPT Zone ipv4 Firewall TCP Tous ssh
DNAT Zone ipv4 Machine(s):
192.168.0.1:22
de la zone ipv4 TCP Tous 22
DNAT Zone ipv4 Machine(s):
192.168.0.251:10001
de la zone ipv4 TCP Tous 10001 |
Ceci est se que j'ai comme regle sur shorewall... d'apres le webmin....
si ca peut vous aider?
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
| Back to top |
|
|
Aachen_france
Tux's lil' helper
Joined: 07 Jul 2006
Posts: 92
|
| Posted: Mon Jul 10, 2006 8:44 am Post subject: |
|
|
Bonjour,
Je remonte un peu le sujet car je n'ai toujours pas de solution...
Peut etre ce concentrer dans une premier tps d'ouvir le ssh au net...
merci
a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
| Back to top |
|
|
Aachen_france
Tux's lil' helper
Joined: 07 Jul 2006
Posts: 92
|
| Posted: Mon Jul 10, 2006 12:34 pm Post subject: |
|
|
Je parle tout seul maintenant... que ce passe t'il?
a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
| Back to top |
|
|
Il turisto
l33t
Joined: 12 May 2004
Posts: 968
Location: Battincourt - Belgique
|
| Posted: Mon Jul 10, 2006 12:49 pm Post subject: |
|
|
| Désolé mais je n'ai pas de solutions à te fournir. |
|
| Back to top |
|
|
man in the hill
Veteran
Joined: 15 Dec 2005
Posts: 1552
Location: Madinina
|
|
| Back to top |
|
|
Il turisto
l33t
Joined: 12 May 2004
Posts: 968
Location: Battincourt - Belgique
|
| Posted: Mon Jul 10, 2006 2:12 pm Post subject: |
|
|
Ici tu utilises shorewall et c'est ton droit mais il est vrai que si tu ne maîtrises pas bien tout cela une interface graphique telle que fwbuilder (gui over iptables) serait peut être utile.
ps : @man in the hill : Il turisto et non Il_Turisto  |
|
| Back to top |
|
|
Aachen_france
Tux's lil' helper
Joined: 07 Jul 2006
Posts: 92
|
| Posted: Tue Jul 11, 2006 7:14 am Post subject: |
|
|
Bonjour,
CA MARCHE une peu!!!
Je vous remercie pour tous les conseils que vous m'avait donne...
J'ai mis des ligne hier sur mon shorewall, ca a l'air de marcher comme je veux...
| Code: |
DNS/ACCEPT loc $FW
DNS/ACCEPT $FW net
SSH/ACCEPT loc $FW
SSH/ACCEPT $FW net
DNAT net loc:192.168.0.251 tcp 10001
#REJECT net fw all |
Il me reste un petit soucis, je crois que mon DynDNS ne ce m'ai pas a jour automatiquement....
Wanadoo, force le changement d'IP une fois par jour, mais le DynDNS ne suis pas... je suis obliger de la faire manuellement par le site...
Une idee de ce cote?
merci
a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh
Last edited by Aachen_france on Tue Jul 11, 2006 11:19 am; edited 1 time in total |
|
| Back to top |
|
|
Il turisto
l33t
Joined: 12 May 2004
Posts: 968
Location: Battincourt - Belgique
|
| Posted: Tue Jul 11, 2006 7:37 am Post subject: |
|
|
ton routeur peut peut-être le mettre à jour sinon sur leur site il doit exister des programmes.
Perso je suis chez dynu (dynu.com) et ils fournissent des scripts linux. |
|
| Back to top |
|
|
Aachen_france
Tux's lil' helper
Joined: 07 Jul 2006
Posts: 92
|
| Posted: Tue Jul 11, 2006 10:18 am Post subject: |
|
|
Salut,
merci pour votre soutien, et vos reponces
oui il y a bien ca sur leur site... https://www.dyndns.com/support/clients/unix.html
mais c'est lequel le script qui fait le maj????? c'est la la question....
Comme wanadoo coupe le connection au moins 1 fois par jour, on a mis un script qui verifier la connection au net toutes les minutes, et la retablie en cas de perte... c'est peut etre la ou il faut regarder, ou dans le adsl-start peut etre!
Bon je vrai creuse le probleme...
a+ aachen
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
| Back to top |
|
|
Aachen_france
Tux's lil' helper
Joined: 07 Jul 2006
Posts: 92
|
| Posted: Tue Jul 11, 2006 11:14 am Post subject: |
|
|
Bonjour,
Ne cherche plus je crois avoir trouver le probleme...
Comme je ne connais plus le mots de pas etc... je l'avais redemander, mais il en redonner un autre, qu'il fallait mettre a jour... hors je n'avais plus le bon... donc j'ai changer...
Je pense que ca va marcher maintenant
En tous cas merci a vous tous, et continuer ainsi, c'est super pour de nul comme moi...
a+ aachen
PS: en fait je me suis monter un PC avec VDR (Live bien sur) et une carte sat dedans... ca marche vraiment du tonner pour un mediacenter complet... je recommende
_________________
Serveur Gentoo... DHCP, Partage connection internet, et ssh |
|
| Back to top |
|
|
|
French
