dyox a écrit : ↑jeu. 28 juin 2018 10:42
Bonjour,
Avez-vous résolu votre problème de route qui ne passe pas par le firewall ?
Mon firewall étant en DMZ sur ma box internet, tous les flux entrants passent donc par le firewall...
Et le forward fait bien son job : rediriger vers le serveur adéquate selon le port spécifié arrivant sur le firewall...
dyox a écrit : ↑jeu. 28 juin 2018 10:42
n'autoriser QUE des macadresses précises à y accéder
On peut voir la commande ?
iptables -A FORWARD -p tcp -d @IPSERVER --dport xxx -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
dyox a écrit : ↑jeu. 28 juin 2018 10:42
lorsque je passe la chaîne "forward" à "drop" au lieu de "accept" (iptables -P FORWARD DROP), et malgré que je fasse un "accept" pour le forward (iptables -A FORWARD -p tcp -d XX.XX.XX.XX --dport XX -j ACCEPT), je n'accède plus à rien... si je la repasse à "accept", ça fonctionne
Ne voyant pas le script et ne croyant pas à un bug, je dirais une mauvaise configuration
Voici ce que le script fait au "start" :
'start')
sysctl -w net.ipv4.ip_forward=1
$0 stop
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport XXX -j DNAT --to-destination @IPSERVER:XXX
iptables -A FORWARD -p tcp -d @IPSERVER --dport XXX -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE
iptables -N SSHIn
iptables -A SSHIn -d @IPSERVER -p tcp -m mac --mac-source XX:XX:XX:XX:XX:XX --dport XXX -j ACCEPT
iptables -I INPUT -j SSHIn
Le script fait ceci au "stop" :
'stop')
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -N EstablishedConn
iptables -A EstablishedConn -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I OUTPUT -j EstablishedConn
iptables -I INPUT -j EstablishedConn
AUTORISE LA BOUCLE LOCALE
Si je laisse "iptables -P FORWARD DROP", le forward ne se fait pas. Si je fais "iptables -P FORWARD ACCEPT", il se fait.
Et si je laisse "FORWARD" à "ACCEPT", les filtres ne filtrent pas...
Dans le script j'ai, dans l'ordre :
- les redirections
- les filtres
Les filtres doivent-ils être avant les redirections ?
J'ai pourtant essayé mais rien n'y fait !!!