Bonjour à tous,
Je viens vers vous car je n'arrive pas à m'en sortir avec la configuration d'IPtables sur un poste debian dans un environnement réseau pas franchement conventionnel.
Actuellement ce poste sert de modem pour une connexion Internet. La connexion est redirigée de l'interface eth0, disposant d'une IP publique (appelons-la IP_pub), vers l'interface eth1, ouverte sur le LAN.
Le pb est que j'aurais besoin d'accéder depuis l'extérieur à un serveur FTP qui est sur le VLAN 200, sur une autre interface physique : eth2.
Mon premier problème, déjà, est de réussir à transférer le port 21 (et uniquement celui-ci) de l'IP publique sur l'interface eth0 vers l'IP locale du serveur 10.200.5.92 sur le vlan 200, soit eth2.200.
J'ai essayé l'ajout de la règle suivante dans la table nat :
Code :
- -A PREROUTING -p tcp -i eth0 -d [IP_pub] --dport 21 -j DNAT --to-destination 10.200.5.92
|
Eh ben ça marche pas. Le test que j'utilise : tenter de me connecter en SSH via le port redirigé, en ayant bien évidemment changé la config du serveur SSH de la machine pour qu'il écoute sur le port redirigé.
Ci-dessous l'ensemble de la config qui est chargée au démarrage :
Code :
- *filter
- #
- # Interfaces de confiance
- #
- -A INPUT -i lo -j ACCEPT
- -A INPUT -i eth1 -j ACCEPT
- -A INPUT -i eth2.200 -j ACCEPT
- -A INPUT -p tcp --dport 21 -j ACCEPT
- -A FORWARD -i eth1 -j ACCEPT
- -A FORWARD -i eth2.200 -j ACCEPT
- #
- # ACCEPT en connexion directe
- #
- -A INPUT -p icmp -j ACCEPT
- -A INPUT -p udp -m udp -m state --state RELATED,ESTABLISHED -j ACCEPT
- -A INPUT -p tcp -m tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
- #
- # NAT
- #
- -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
- COMMIT
- *mangle
- :PREROUTING ACCEPT [0:0]
- :INPUT ACCEPT [0:0]
- :FORWARD ACCEPT [0:0]
- :OUTPUT ACCEPT [0:00]
- COMMIT
- *nat
- :PREROUTING ACCEPT [0:0]
- :POSTROUTING ACCEPT [0:0]
- :OUTPUT ACCEPT [0:0]
- #
- # NAT
- #
- -A PREROUTING -p tcp -i eth0 -d [IP_pub] --dport 21 -j DNAT --to-destination 10.200.5.92
- -A POSTROUTING -o eth0 -j MASQUERADE
- COMMIT
|
Quelqu'un a-t-il une idée de ce qui bloque ?
En vous remerciant,
minuscheri