Iptables sur gentoo 2.4.6

bonjour/soir à tous,

voila j’ai une gentoo qui hébegre mes sites et accessoirement (enfin pas vraiement…) me sert de routeur.

J"héberge aussi un seveur IL2 et un Teamspeak pour des copains…

Seulement…

mon port forwarding marche pas…

et vu que mon root chérie a un routeur BSD avec ipchains…il sait pas trop de quoi ça
vient.

voila les commandes que je saisis:

/sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -d aa.aa.aa.aa --dport yyyy -j DNAT --to xxx.xxx.xxx.xxx:yyyy

/sbin/iptables -A FORWARD -p tcp -i eth1 -d aa.aa.aa.aa --dport yyyy -j ACCEPT

/etc/init.d/iptables save

Sachant que:
eth1 est ma carte réseau branchée sur la freebox
aa.aa.aa.aa est mon ip donnée par Free
xxx.xxx.xxx.xxx est l’ip locale du serveur qui héberge le bazar.
yyyy est le port utilisé par le serveur de jeu/teamspeak
mes adresses “internes” sont du type : 192.168.1.xxx

je me pose une question là en voyant ma commande…

ça devrait pas etre ça plutot:

/sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -d aa.aa.aa.aa --dport yyyy -j DNAT --to xxx.xxx.xxx.xxx:yyyy -i eth0

pour dire de fw sur le lan ??

sachant que le forward “à l’air” de marcher pour d’autres softs…

ci dessous mes tables:

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all – anywhere anywhere
ACCEPT all – anywhere anywhere
REJECT udp – anywhere anywhere udp dpt:bootps reje
ct-with icmp-port-unreachable
REJECT udp – anywhere anywhere udp dpt:domain reje
ct-with icmp-port-unreachable
ACCEPT tcp – anywhere anywhere tcp dpt:ssh
ACCEPT tcp – anywhere anywhere tcp dpt:http
ACCEPT tcp – anywhere anywhere tcp dpt:ftp
ACCEPT tcp – anywhere anywhere tcp dpt:smtp
DROP tcp – anywhere anywhere tcp dpts:0:1023
DROP udp – anywhere anywhere udp dpts:0:1023
ACCEPT tcp – anywhere anywhere tcp dpt:auth
ACCEPT tcp – anywhere anywhere tcp dpts:21000:2100
1
ACCEPT tcp – anywhere anywhere tcp dpt:1337
ACCEPT tcp – anywhere anywhere tcp dpts:8800:8889

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all – anywhere 192.168.0.0/16
ACCEPT all – 192.168.0.0/16 anywhere
ACCEPT all – anywhere 192.168.0.0/16
ACCEPT tcp – anywhere bbbbbbbbb tcp dpt:6112
ACCEPT tcp – anywhere bbbbbbbbb tcp dpt:3724
ACCEPT tcp – anywhere bbbbbbbbb tcp dpts:6881:6999
ACCEPT tcp – anywhere bbbbbbbbb tcp dpts:6881:6999
ACCEPT udp – anywhere bbbbbbbbb udp dpt:8767

(bbbbbbbbb = mon domaine / ip free)

Bon, je sais pas si tu te rend bien compte, mais pour l’instant, ton firewall accepte TOUTES les connexions entrantes: Tu as laisse la Policy a ACCEPT :stuck_out_tongue:

J’ai poste mon script de regles ici http://www.cafzone.net/ipb/index.php?showtopic=9211
Y a un lien sympa que j’ai mis dans un des posts, cours y voir, je suis pas sur que tu comprennent bien comment marche iptables, la.

Notamment
#postrouting
#NAT rules, to be able to go to the Internet with a local computer.
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -d 0.0.0.0/0 -j MASQUERADE

Une fois que t’as fait ca, si tout le reste est en ACCEPT, ca doit tourner.
Verifie quand meme ca:
cat /proc/sys/net/ipv4/ip_forward
Il doit te repondre « 1 », et si c’est pas le cas, ca marchera pas.
faut faire:
echo « 1 » > /proc/sys/net/ipv4/ip_forward

Et ca roule.

edit: Sympa ton avatar :stuck_out_tongue:
edit2: oups j’ai mal lu: tu fais du portforwarding ou juste du forward? (oui je laisse mes connerie et je vous beurke tous :stuck_out_tongue: )

LoneWolf
Sur la debian, c’est automatique, l’ip_forward a 1 :P"

[quote name=‹ LoneWolf › date=’ 7 Feb 2005, 22:43’]edit2: oups j’ai mal lu: tu fais du portforwarding ou juste du forward? (oui je laisse mes connerie et je vous beurke tous  B) )
[right][post=« 330200 »]<{POST_SNAPBACK}>[/post][/right][/quote]

heu …

du port forwarding.
c a d que je veux que les connections sur des ports spécifiques aillent sur une machine spécifique en interne : ):stuck_out_tongue:

je check ton script mais là heu c’est 4h du mat’ :stuck_out_tongue:

donc deja en temps normal je suis pas un pro de Nux mais là :stuck_out_tongue: B)

merci en tout cas :stuck_out_tongue:

emerge shorewall

C’est un script IP table qui te permet de faire tout plus facilement exemple

Accept SSH connections from the local network for administration

ACCEPT loc net tcp 22
ACCEPT loc fw tcp 22
ACCEPT fw loc tcp 22
ACCEPT net fw tcp 22

La je permet les accés SSH de mon rézo local a l’exterieur je permet a mon firewall d’aller dans mon locale et a mon fw d’etre accéder de l’extérieur :stuck_out_tongue:

Koubiak que c’est pratique enfin c’est le truc le plus simple que j’ai trouvé au niveau de la lisibilité

merci bcp a vous deux.

je crois que je vais tester la solution de Koubiak qui est plus simple pour un noob comme moi.

Je vais m’imprimer l’article que tu proposes dans ton autre post Lonewolf car il me semble excellent :stuck_out_tongue: :stuck_out_tongue:

emerge fwbuilder pour avoir ça avec une belle interface graphique pour générer ses règles iptables. Ca permet de créer des objets et tout, façon interface de management. Bon ça vaut pas le smartdashboard de checkpoint mais c’est déjà pas mal. Moi je m’en sers pour créer et maintenir les règles iptables de mon routeur linksys avec firmware de sveasoft

[quote name=‘ColdFire’ date=’ 8 Feb 2005, 14:10’]emerge fwbuilder pour avoir ça avec une belle interface graphique pour générer ses règles iptables. Ca permet de créer des objets et tout, façon interface de management. Bon ça vaut pas le smartdashboard de checkpoint mais c’est déjà pas mal. Moi je m’en sers pour créer et maintenir les règles iptables de mon routeur linksys avec firmware de sveasoft
[right][post=“330371”]<{POST_SNAPBACK}>[/post][/right][/quote]

Oula je le connaissai pas celui là

Koubiak

Demande aussi sur le forum français Gentoo, il est très réactif et ils répondent bien. Par contre lis les règles avant de poster (si tu les lis pas, sûr tu fais une connerie et tu te fais taper sur les doigts dès ton premier post).

Après je te conseille aussi d’utiliser Shorewall.
Un truc bien pour administrer facilement à distance Shorewall : l’interface web de webmin.

merci a tous, je vais checker tout ça…

faut juste que j’arrive a redémarrer mon webmin (vivi je suis un vrai noob) :stuck_out_tongue:

[quote name=‘bluelambda’ date=’ 8 Feb 2005, 20:06’]Demande aussi sur le forum français Gentoo, il est très réactif et ils répondent bien. Par contre lis les règles avant de poster (si tu les lis pas, sûr tu fais une connerie et tu te fais taper sur les doigts dès ton premier post).

Après je te conseille aussi d’utiliser Shorewall.
Un truc bien pour administrer facilement à distance Shorewall : l’interface web de webmin.
[right][post=“330518”]<{POST_SNAPBACK}>[/post][/right][/quote]

D’ailleurs je les trouves trop violant … Il devrait plutot faire des sous sections plutot que de te faire flammer par des veterans qui savent pas repondre au questions mais passe leur vie sur off

Perso si tu parles anglais (meme un peu) laches toi sur le Forum US beaucoup mieux foutu enfin c’est mon avis…

Koubiak qui sait fait flammer a chaque fois par des débiles mentaux…

J’ai pourtant posé une dizaine de questions plus ou moins complexes sur le forum Gentoo français et j’ai toujours été bien aidé, les gens s’impliquent, suivent le topic, et donnes des réponses détaillées… enfin j’ai pas été déçu, contrairement à des forums comme LinuxFR ou léa-linux.