Bonjour,
 
Je suis confronté un petit problème.
 
J'ai 2 machines :
 
Une Linuxbox qui me sert de serveur/passerelle/firewall...etc et qui est donc connectée au net. (ip du reseau local 192.168.0.1)
 
Une windowsbox qui est derrière la Linuxbox (ip local 192.1683.0.2).
 
Je voudrais pouvoir utiliser le remote desktop de XP depuis mon boulot mais le firewall (Iptable) ne semble pas d'accord
 
J'ai vu qu'il fallait que je forward les paquets qui arrive sur le port 3389 de mon interface ppp0 (j'ai l'adsl) vers le port 3389 de ma windowsbox.
 
J'ai essayé plusieurs choses dont certaines des suivantes mais sans succés :
 
iptables -t nat -I PREROUTING -i ppp0 -p udp -m udp --dport 3389 -j DNAT --to-
destination 192.168.0.2:3389
 
iptables -t nat -A PREROUTING -p udp --dport 3389 -j DNAT --to 192.168.0.2:3389
 
Qq'un pourrait m'aider car je ne sais plus quoi essayer.
 
Merci.
 
 
 
 
 

BeFree a écrit a écrit : Bonjour,   Je suis confronté un petit problème.   J'ai 2 machines :   Une Linuxbox qui me sert de serveur/passerelle/firewall...etc et qui est donc connectée au net. (ip du reseau local 192.168.0.1)   Une windowsbox qui est derrière la Linuxbox (ip local 192.1683.0.2).   Je voudrais pouvoir utiliser le remote desktop de XP depuis mon boulot mais le firewall (Iptable) ne semble pas d'accord   J'ai vu qu'il fallait que je forward les paquets qui arrive sur le port 3389 de mon interface ppp0 (j'ai l'adsl) vers le port 3389 de ma windowsbox.   J'ai essayé plusieurs choses dont certaines des suivantes mais sans succés :   iptables -t nat -I PREROUTING -i ppp0 -p udp -m udp --dport 3389 -j DNAT --to- destination 192.168.0.2:3389   iptables -t nat -A PREROUTING -p udp --dport 3389 -j DNAT --to 192.168.0.2:3389   Qq'un pourrait m'aider car je ne sais plus quoi essayer.   Merci.

 
GORS DOIGTS ? 192.1683.0.2  

kuroineko a écrit a écrit :     GORS DOIGTS ? 192.1683.0.2

 
Vi j'ai les doigts usés    
 
Vous aurez corrigé par vous même il s'agit de 192.168.0.2

iptables -t nat -A PREROUTING -p tcp --dport 3389 -i ppp0 -j DNAT --to 192.168.0.2
iptables -A FORWARD -p tcp --dport 3389 -i ppp0 -j ACCEPT
 
Ca c'est pour les connexions entrantes, pour les réponses de 192.168.0.2 il faut que tu laisses sortir les communications établies ou relatives.
 
edit : remplace tcp par udp puisque visiblement c'est de l'udp qui est utilisé / ps: j'ai jamais utilisé le remote desktop

Merci mais ça ne semble pas vouloir fonctionner mieux
 
Peut-être est-ce du au fait que j'ai essayé pas mal de choses pour forwarder ce port et que des règles entrent en conflis.
 
Si je peux abuser de ton aide comment efface t'on des règles que l'on voit lorsqu'on fait iptables-save ?
 
Et quelle serait la règle pour que mon poste windows puisse reponde?
 
Merci beaucoup de ton aide et de ta patience.
 
 
Au cas où en ce moment j'ai tout ça d'activer (je pense qu'il y a énormément d'erreurs et c'est pour cela que je voudrais effacer certaines règles pour le port 3389 notemment sur le tcp)
 
# Generated by iptables-save v1.2.5 on Sun Jul  7 01:03:17 2002
*filter
:INPUT ACCEPT [18172:2107989]
:FORWARD ACCEPT [260148:47725804]
UTPUT ACCEPT [15658:5212016]
-A INPUT -i eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 68 --dport 67 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 67 --dport 68 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i ppp0 -p udp -m udp --dport 3389 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -i ppp0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i ppp0 -p udp -m udp --dport 3389 -j ACCEPT
-A OUTPUT -o ppp0 -p udp -m udp --dport 3389 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 3389 -j ACCEPT
COMMIT
# Completed on Sun Jul  7 01:03:17 2002
# Generated by iptables-save v1.2.5 on Sun Jul  7 01:03:17 2002
*nat
REROUTING ACCEPT [4590:370946]
OSTROUTING ACCEPT [250:17984]
UTPUT ACCEPT [551:80625]
-A PREROUTING -i ppp0 -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -i ppp0 -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -i ppp0 -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -i ppp0 -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i ppp0 -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.0.2
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -j MASQUERADE
-A POSTROUTING -p udp -m udp --sport 3389 -j SNAT --to-source 192.168.0.2:3389
-A POSTROUTING -p tcp -m tcp --sport 3389 -j SNAT --to-source 192.168.0.2:3389
COMMIT
# Completed on Sun Jul  7 01:03:17 2002

http://netfilter.samba.org/documen [...] html#HOWTO
 
en fr donc pas d'excuses, doc vraiment bien faite  

Pour tout effacer :
  iptables -F
  iptables -X
  iptables -t nat -F
  iptables -t nat -X
  iptables -t mangle -F
  iptables -t mangle -X
 
Mais ceci-dit, monokrome a raison il vaudrait mieux que tu te plonges dans des docs, ou des scripts commentés, parce que tant que tu comprendras pas ce que tu fais t'auras enormément de mal à configurer ta passerelle comme tu le voudrais.

Merci pour cette doc
 
J'ai réussi à faire le ménage dans mes règles mais je n'arrive toujours pas à me connecter.
 
j'ai donc mis pour les paquets entrant :
 
iptables -t nat -A PREROUTING -p tcp --dport 3389 -i ppp0 -j DNAT --to 192.168.0.2  
iptables -A FORWARD -p tcp --dport 3389 -i ppp0 -j ACCEPT  
 
Et pour les sortants (si j'ai bien compris ce que j'ai lu) :
 
iptables -A OUTPUT -o eth0 -p udp -m udp --dport 3389 -j ACCEPT
 
Ai-je fait une erreur ou oublier qqe chose (forcément vous me direz puisque ça marche )
 
Thx

Fais des recherches sur ce forum il te manque quand meme pas mal de regles tres classiques :
- definir la politique par defaut
- autoriser les connexions etablies et relatives
- mettre en place le masquerading
- forwarder les service entrants (ce que t'as fait pour le remote desktop)
 
Cherche un peu y'a des tonnes de sujets a propos de iptables dans le coin.

 
1) C'est fait
2) Aussi
3) Aussi
4) ça marche tjrs pas
 
Enfait depuis mon boulot je peux me connecter sur ma Linuxbox en ssh en ftp, en telnet bref ce que j'ai autoriser mais impossible d'arriver à me connecter sur ma machine windows pour me servir du Remote Desktop    
 
J'ai pourtant lu et relu , testé plusieurs combinaisons pas moyen et je crois que je vais laisser tomber ma passerelle linux (et ça m'emmerde beaucoup) parceque j'ai absolument besoin d'utiliser mon remote.

essaye de lancer un tcpdump ou un etheral sur la passerelle en essayant de lancer un remote, comme ca on pourra voir ski passe pas

Si tu veux pas te prendre la tête avec tcpdump, tu peux utiliser l'option LOG d'iptables pour voir quels sont les paquets qui sont droppés :
ex :  iptables -A INPUT -j LOG --log-level=info
ensuite lance une connexion remote desktop et mate dans tes logs les paquets qui ont été loggés. Tu verras tous les n° de ports tcp et udp vers lesquels une connexion est demandée. Y-a sans doute quelque chose de nécessaire que t'as oublié de forwarder.

Re bonjour,
 
Bon il semble qu'en fait le problème est plus profond que ce que je pensais.
 
En fait je n'arrive à rien faire depuis ma Linuxbox vers mon pc Windows à par le pinguer.
 
Je ne parviens même pas à ouvrir une session FTP alors que pourtant un serveur ftp est lancé sur mon Win.
 
J'ai pourtant activé au niveau de ma carte ethernet (celle de win) le partage de fichiers et tout le toutim.
 
Mais rien ne passe (samba,telnet,ftp..etc)    
 
Alors la question c'est : comment savoir si cela vient de Linux ou de Win ?
 

BeFree a écrit a écrit : Re bonjour,   Bon il semble qu'en fait le problème est plus profond que ce que je pensais.   En fait je n'arrive à rien faire depuis ma Linuxbox vers mon pc Windows à par le pinguer.   Je ne parviens même pas à ouvrir une session FTP alors que pourtant un serveur ftp est lancé sur mon Win.   J'ai pourtant activé au niveau de ma carte ethernet (celle de win) le partage de fichiers et tout le toutim.   Mais rien ne passe (samba,telnet,ftp..etc)       Alors la question c'est : comment savoir si cela vient de Linux ou de Win ?

 
si tu arrives à pinguer, c'est pas du tout profond comme pb    
c'est plutot du à une mauvaise conf de ton serveur ftp (mais je vois pas quoi) ou ton firewall est encore plein de cochonnerie.
si tu arrives à accéder au net depuis ton pc windows, c'est ton firewall qui est en cause.
 
Donc es-tu sur qu'il n'y a que ce port à activer ?
si tu es sur, repost les regles actives (iptables -L)

En fait j'arrive à tout faire depuis mon windows (navig,mail;p2p...etc).
En fait tout ce qui sort, mais dès l'instant où des connexions entrantes (ftp,smb (pour monter les partages des disques win),telnet..etc) vers mon windows doivent se faire et bien ça passe plus et ce même si je désactive le firewall de windows.
 
Donc je pense réellement que ça provient de windows mais où telle est là question étant donné que c'est identiques même en désactivant le firewall windows.
Ce n'est pas un pb situé juste au niveau de mon serveur puisque c'est identiques pour toutes tenetavies de connexions entrantes
 
En tout cas merci de votre aide

BeFree a écrit a écrit : En fait j'arrive à tout faire depuis mon windows (navig,mail;p2p...etc). En fait tout ce qui sort, mais dès l'instant où des connexions entrantes (ftp,smb (pour monter les partages des disques win),telnet..etc) vers mon windows doivent se faire et bien ça passe plus et ce même si je désactive le firewall de windows.   Donc je pense réellement que ça provient de windows mais où telle est là question étant donné que c'est identiques même en désactivant le firewall windows. Ce n'est pas un pb situé juste au niveau de mon serveur puisque c'est identiques pour toutes tenetavies de connexions entrantes   En tout cas merci de votre aide

 
c'est normal, on t'a dit que pour les connections entrantes, il faut faire du port forwarding
ce que tu as d'ailleurs fait dans l'exemple que tu as donné dans ton premier post
 
balance iptables -L
je te dirais ce qui va pas (enfin j'essaierais   )

Loin de moi vouloir te faire la morale mais il me semble quand même que le forwarding n'a rien à voir lorsque je me connecte depuis ma gateway vers mon windows mais uniquement lorsque je dois me connecter avec une machine extérieure à mon réseau local (si je me trompe alors toutes mes excuses).
 
Pour iptables voici les règles établies (j'ai retiré tout ce qui touché le forwarding sur le port 3389 vu que ça ne marchait pas et pour eviter tous conflits par la suite):
 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere           udp spt:bootpc dpt:bootps
ACCEPT     tcp  --  anywhere             anywhere           tcp spt:bootpc dpt:bootps
ACCEPT     udp  --  anywhere             anywhere           udp spt:bootps dpt:bootpc
ACCEPT     tcp  --  anywhere             anywhere           tcp spt:bootps dpt:bootpc
ACCEPT     udp  --  anywhere             anywhere           udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:domain
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  192.168.0.0/24       anywhere
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 
 
Merci à toi pour ton aide

BeFree a écrit a écrit : Loin de moi vouloir te faire la morale mais il me semble quand même que le forwarding n'a rien à voir lorsque je me connecte depuis ma gateway vers mon windows mais uniquement lorsque je dois me connecter avec une machine extérieure à mon réseau local (si je me trompe alors toutes mes excuses).   Pour iptables voici les règles établies (j'ai retiré tout ce qui touché le forwarding sur le port 3389 vu que ça ne marchait pas et pour eviter tous conflits par la suite):   Chain INPUT (policy ACCEPT) target     prot opt source               destination ACCEPT     udp  --  anywhere             anywhere           udp spt:bootpc dpt:bootps ACCEPT     tcp  --  anywhere             anywhere           tcp spt:bootpc dpt:bootps ACCEPT     udp  --  anywhere             anywhere           udp spt:bootps dpt:bootpc ACCEPT     tcp  --  anywhere             anywhere           tcp spt:bootps dpt:bootpc ACCEPT     udp  --  anywhere             anywhere           udp dpt:domain ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:domain   Chain FORWARD (policy ACCEPT) target     prot opt source               destination ACCEPT     all  --  192.168.0.0/24       anywhere   Chain OUTPUT (policy ACCEPT) target     prot opt source               destination     Merci à toi pour ton aide

 
j'avais mal compris ce que tu me disais
c'est bizarre
si ça ping, ça devrait faire le reste aussi
bon, je t'écrirais un petit script pour demain, en esperant que ça marche, mais pas ce soir    

Désolé si je me suis mal exprimé.
 
Effectivement je trouve bizarre de pouvoir pinguer sans probleme mais de ne pas pouvoir faire autre chose alors même que le firewall de win est arreté  
 
Je vais essayé de fermé tous les programmes qui tournent pour voir on ne sait jamais.
Merci énormément pour ton aide en tout cas c'est sympa de voir que la communauté Linux n'est pas aussi fermée vis à vis des newbies comme on l'entend/voit souvent

BeFree a écrit a écrit : Désolé si je me suis mal exprimé.   Effectivement je trouve bizarre de pouvoir pinguer sans probleme mais de ne pas pouvoir faire autre chose alors même que le firewall de win est arreté     Je vais essayé de fermé tous les programmes qui tournent pour voir on ne sait jamais. Merci énormément pour ton aide en tout cas c'est sympa de voir que la communauté Linux n'est pas aussi fermée vis à vis des newbies comme on l'entend/voit souvent

 
sinon, tu peux pinguer dans le sens windows-> linux ?
 
PS : oui, en fait on est juste fermé vis-à-vis des cons, mais pas du tout des newbies. évidemment, y-a des cons aussi sous linux, mais j'ai pas eu à me plaindre quand j'ai commencé
le seul truc que tu risque d'entendre souvent, et c'est normal, c'est fait une recherche, quand la réponse est trop simple à trouver

 
Oui le ping est ok dans les 2 sens    
 
Je comprends parfaitement que l'on demande de lire des docs (c'est pareil sous win) mais là j'ai lu tout ce que je pouvais lire grâce aux liens que l'on ma donné plus haut et c'est parceque malgres ces lectures je ne m'en sort pas
 
En tout cas je suis quasiment sur que c mon windows qui déconne.
En tout cas c'est clair que depuis que j'utilise Linux je ne l'ai jamais vu planter malgrès toutes les conneries que j'ai pu faire dessus et ça c'est plutot bien

Bon et bien après une petite vérification sur mon windows il s'averait que j'avais le soft Winroute qui poser problème malgrès que j'étais sur de l'avoir désinstaller.
 
Une fois supprimer totalement j'arrive à nouveau à monter mes partages et tout le reste    
 
J'arrive bien entendu à ouvrir désormais mon remote desktop avec juste une seule règles sur le PREROUTING :
 
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j
DNAT --to-destination 192.168.0.2:3389
 
Et contrairement à ce que j'avais vu sur différent site ce n'est pas de l'UDP mais du TCP    
 
En tout cas merci à tous ceux qui m'ont aider dans ma recherche car au moins j'ai appris plus de choses que si je n'avais pas eu ce problème

BeFree a écrit a écrit : Bon et bien après une petite vérification sur mon windows il s'averait que j'avais le soft Winroute qui poser problème malgrès que j'étais sur de l'avoir désinstaller.   Une fois supprimer totalement j'arrive à nouveau à monter mes partages et tout le reste       J'arrive bien entendu à ouvrir désormais mon remote desktop avec juste une seule règles sur le PREROUTING :   iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389   Et contrairement à ce que j'avais vu sur différent site ce n'est pas de l'UDP mais du TCP       En tout cas merci à tous ceux qui m'ont aider dans ma recherche car au moins j'ai appris plus de choses que si je n'avais pas eu ce problème

 
 
raaah ! winroute, zone alarm ... tous ces petits logiciels  à la con, qui continuent à foutre la merde même après les avoir désinstallé !  nan franchement, tu devrais passer competement à linux, tu serais moins emmerdé  

djoh a écrit a écrit :       raaah ! winroute, zone alarm ... tous ces petits logiciels  à la con, qui continuent à foutre la merde même après les avoir désinstallé !  nan franchement, tu devrais passer competement à linux, tu serais moins emmerdé

 
Malheureusement je ne peux pas passer en tout Linux car j'utilise des softs de musiques que ne fonctionne que sur Windows et dont j'ai absolument besoin professionnellement parlant.
 
Mais si ça ne tenait qu'à moi je n'hesiterai plus une seconde car au moins je n'aurai pas peur de voir planter ma machine en pleine soirée