Recettes de cuisine pour IPtables

25/05/2007, 07h43

Bonjour,

Loin de moi l'idée de ne pas me pencher sérieusement sur le sujet (que
je trouve fort intéressant par ailleurs) et de ne pas lire vraiment la
doc pour comprendre ce que je fais, mais là, j'ai un besoin relativement
urgent (c'est pour faire une maquette vite fait sur un coin de bureau...)

Je voudrais que toutes les requêtes arrivant sur le port 99 de l'adresse
128.197.15.10, attachée à eth0, et provenant du domaine cowabonga.tmnt
(si si, c'est résolu sur la maquette :-P ) soient renvoyées sur le port
4321 du même serveur.

Je vais demander à mon pote Google, mais si l'un d'entre vous
connaissait un site avec des recettes de cuisine (cookbook pour les
anglophones) qui me permette de faire ça avec un minimum de lecture, je
suis preneur.

J'ai trouvé jusqu'à présent pas mal de tutoriaux, mais rien qui me
permette jusqu'à présent de concrétiser ce besoin sans plusieurs heures
de lecture...

Merci d'avance!

A+
JF

25/05/2007, 08h02

Précédemment, Cumbalero a écrit :
> Bonjour,
>
>
>
> Loin de moi l'idée de ne pas me pencher sérieusement sur le sujet (que
> je trouve fort intéressant par ailleurs) et de ne pas lire vraiment la
> doc pour comprendre ce que je fais, mais là, j'ai un besoin relativement
> urgent (c'est pour faire une maquette vite fait sur un coin de bureau...)
>
> Je voudrais que toutes les requêtes arrivant sur le port 99 de l'adresse
> 128.197.15.10, attachée à eth0, et provenant du domaine cowabonga.tmnt
> (si si, c'est résolu sur la maquette :-P ) soient renvoyées sur le port
> 4321 du même serveur.
>
> Je vais demander à mon pote Google, mais si l'un d'entre vous
> connaissait un site avec des recettes de cuisine (cookbook pour les
> anglophones) qui me permette de faire ça avec un minimum de lecture, je
> suis preneur.
>
> J'ai trouvé jusqu'à présent pas mal de tutoriaux, mais rien qui me
> permette jusqu'à présent de concrétiser ce besoin sans plusieurs heures
> de lecture...
>
> Merci d'avance!
>
> A+
> JF
>

Bonjour,

Avec le domaine DNS, ça va être dur mais avec une adresse IP, une plage
d'adresses IP ou un sous-réseau xxx.xxx.xxx.xxx/aa c'est déjà plus
faisable avec du préroutage :

iptables -t nat -A PREROUTING -i eth0 -s xxx.xxx.xxx.xxx/aa -p tcp --dport
99 -j REDIRECT --to-ports 4321

Si tu as plusieurs adresses, tu fais autant de lignes que d'adresse (tu
changes l'arguement du -s)

Il faut que tu aies à minima chargé le module iptable_nat

Lolotte

--
(enlever pasdespam pour répondre)
http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups,
recherche whois, les codes postaux, des jeux et plein d'autres bêtises...

25/05/2007, 09h47

Bonjour

voici un site aussi qui survole également le sujet
http://www.labo-linux.org/cours/modu...4-firewalling/

"Cumbalero" <cumbalero@NOSPAM.yahoo.fr> a écrit dans le message de news:
f35uq7$6e3$1@reader1.imaginet.fr...
Bonjour,

Loin de moi l'idée de ne pas me pencher sérieusement sur le sujet (que
je trouve fort intéressant par ailleurs) et de ne pas lire vraiment la
doc pour comprendre ce que je fais, mais là, j'ai un besoin relativement
urgent (c'est pour faire une maquette vite fait sur un coin de bureau...)

Je voudrais que toutes les requêtes arrivant sur le port 99 de l'adresse
128.197.15.10, attachée à eth0, et provenant du domaine cowabonga.tmnt
(si si, c'est résolu sur la maquette :-P ) soient renvoyées sur le port
4321 du même serveur.

Je vais demander à mon pote Google, mais si l'un d'entre vous
connaissait un site avec des recettes de cuisine (cookbook pour les
anglophones) qui me permette de faire ça avec un minimum de lecture, je
suis preneur.

J'ai trouvé jusqu'à présent pas mal de tutoriaux, mais rien qui me
permette jusqu'à présent de concrétiser ce besoin sans plusieurs heures
de lecture...

Merci d'avance!

A+
JF

26/05/2007, 10h58

Salut,

Lolotte a écrit :
>>
>> Je voudrais que toutes les requêtes arrivant sur le port 99 de
>> l'adresse 128.197.15.10, attachée à eth0, et provenant du domaine
>> cowabonga.tmnt (si si, c'est résolu sur la maquette :-P ) soient
>> renvoyées sur le port 4321 du même serveur.
[...]
> iptables -t nat -A PREROUTING -i eth0 -s xxx.xxx.xxx.xxx/aa -p tcp
> --dport 99 -j REDIRECT --to-ports 4321

Si je lis bien l'énoncé, le critère de correspondance porte sur
l'adresse de destination et non sur l'interface d'entrée. En toute
rigueur il faudrait donc utiliser "-d 128.197.15.10" au lieu de "-i
eth0". En toute rigueur toujours, il faudrait utiliser la cible "-j DNAT
--to-destination 128.197.15.10:4321" au lieu de REDIRECT car cette
dernière remplace l'adresse de destination par l'adresse de l'interface
d'entrée, modifiant l'adresse destination si le paquet arrive par une
autre interface que eth0. D'autre part, on ne sait pas si le port 99 est
en TCP ou UDP.

On voit bien avec cet exemple d'apparence simple qu'il n'y a pas de
recette de cuisine universelle. La règle que tu proposes fonctionnera
dans certains cas, mais pas dans d'autres, et l'OP ne nous a pas donné
tous les détails.

> Il faut que tu aies à minima chargé le module iptable_nat

Ça dépend des fonctions qui ont été compilées en module ou en dur. Si
les fonctions de Netfilter sont en modules, il en faut bien d'autres que
iptable_nat pour que cette règle fonctionne. Mais de toute façon si tout
est bien configuré les modules nécessaires devraient être chargés
automatiquement à la création de la règle.

29/05/2007, 19h59

Bonjour,

Connais tu http://www.shorewall.net/

Il s'agit d'une application permettant d'administrer plus facilement iptable
Les règles me semblent plus claires
Tu peux lui adjoindre une couche graphique avec webmin qui propose en
standard un module d'administration

Tu peux ainsi bâtir et administrer très facilement ton firewall Iptable.

Bon courage

christian

"Cumbalero" <cumbalero@NOSPAM.yahoo.fr> a écrit dans le message de news:
f35uq7$6e3$1@reader1.imaginet.fr...
Bonjour,

Loin de moi l'idée de ne pas me pencher sérieusement sur le sujet (que
je trouve fort intéressant par ailleurs) et de ne pas lire vraiment la
doc pour comprendre ce que je fais, mais là, j'ai un besoin relativement
urgent (c'est pour faire une maquette vite fait sur un coin de bureau...)

Je voudrais que toutes les requêtes arrivant sur le port 99 de l'adresse
128.197.15.10, attachée à eth0, et provenant du domaine cowabonga.tmnt
(si si, c'est résolu sur la maquette :-P ) soient renvoyées sur le port
4321 du même serveur.

Je vais demander à mon pote Google, mais si l'un d'entre vous
connaissait un site avec des recettes de cuisine (cookbook pour les
anglophones) qui me permette de faire ça avec un minimum de lecture, je
suis preneur.

J'ai trouvé jusqu'à présent pas mal de tutoriaux, mais rien qui me
permette jusqu'à présent de concrétiser ce besoin sans plusieurs heures
de lecture...

Merci d'avance!

A+
JF

25/05/2007, 07h43	#1
Cumbalero Messages: n/a Hébergeur:	Recettes de cuisine pour IPtables Bonjour, Loin de moi l'idée de ne pas me pencher sérieusement sur le sujet (que je trouve fort intéressant par ailleurs) et de ne pas lire vraiment la doc pour comprendre ce que je fais, mais là, j'ai un besoin relativement urgent (c'est pour faire une maquette vite fait sur un coin de bureau...) Je voudrais que toutes les requêtes arrivant sur le port 99 de l'adresse 128.197.15.10, attachée à eth0, et provenant du domaine cowabonga.tmnt (si si, c'est résolu sur la maquette :-P ) soient renvoyées sur le port 4321 du même serveur. Je vais demander à mon pote Google, mais si l'un d'entre vous connaissait un site avec des recettes de cuisine (cookbook pour les anglophones) qui me permette de faire ça avec un minimum de lecture, je suis preneur. J'ai trouvé jusqu'à présent pas mal de tutoriaux, mais rien qui me permette jusqu'à présent de concrétiser ce besoin sans plusieurs heures de lecture... Merci d'avance! A+ JF

25/05/2007, 08h02	#2
Lolotte Messages: n/a Hébergeur:	Re: Recettes de cuisine pour IPtables Précédemment, Cumbalero a écrit : > Bonjour, > > > > Loin de moi l'idée de ne pas me pencher sérieusement sur le sujet (que > je trouve fort intéressant par ailleurs) et de ne pas lire vraiment la > doc pour comprendre ce que je fais, mais là, j'ai un besoin relativement > urgent (c'est pour faire une maquette vite fait sur un coin de bureau...) > > Je voudrais que toutes les requêtes arrivant sur le port 99 de l'adresse > 128.197.15.10, attachée à eth0, et provenant du domaine cowabonga.tmnt > (si si, c'est résolu sur la maquette :-P ) soient renvoyées sur le port > 4321 du même serveur. > > Je vais demander à mon pote Google, mais si l'un d'entre vous > connaissait un site avec des recettes de cuisine (cookbook pour les > anglophones) qui me permette de faire ça avec un minimum de lecture, je > suis preneur. > > J'ai trouvé jusqu'à présent pas mal de tutoriaux, mais rien qui me > permette jusqu'à présent de concrétiser ce besoin sans plusieurs heures > de lecture... > > Merci d'avance! > > A+ > JF > Bonjour, Avec le domaine DNS, ça va être dur mais avec une adresse IP, une plage d'adresses IP ou un sous-réseau xxx.xxx.xxx.xxx/aa c'est déjà plus faisable avec du préroutage : iptables -t nat -A PREROUTING -i eth0 -s xxx.xxx.xxx.xxx/aa -p tcp --dport 99 -j REDIRECT --to-ports 4321 Si tu as plusieurs adresses, tu fais autant de lignes que d'adresse (tu changes l'arguement du -s) Il faut que tu aies à minima chargé le module iptable_nat Lolotte -- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...

25/05/2007, 09h47	#3
fabrice Messages: n/a Hébergeur:	Re: Recettes de cuisine pour IPtables Bonjour voici un site aussi qui survole également le sujet http://www.labo-linux.org/cours/modu...4-firewalling/ "Cumbalero" <cumbalero@NOSPAM.yahoo.fr> a écrit dans le message de news: f35uq7$6e3$1@reader1.imaginet.fr... Bonjour, Loin de moi l'idée de ne pas me pencher sérieusement sur le sujet (que je trouve fort intéressant par ailleurs) et de ne pas lire vraiment la doc pour comprendre ce que je fais, mais là, j'ai un besoin relativement urgent (c'est pour faire une maquette vite fait sur un coin de bureau...) Je voudrais que toutes les requêtes arrivant sur le port 99 de l'adresse 128.197.15.10, attachée à eth0, et provenant du domaine cowabonga.tmnt (si si, c'est résolu sur la maquette :-P ) soient renvoyées sur le port 4321 du même serveur. Je vais demander à mon pote Google, mais si l'un d'entre vous connaissait un site avec des recettes de cuisine (cookbook pour les anglophones) qui me permette de faire ça avec un minimum de lecture, je suis preneur. J'ai trouvé jusqu'à présent pas mal de tutoriaux, mais rien qui me permette jusqu'à présent de concrétiser ce besoin sans plusieurs heures de lecture... Merci d'avance! A+ JF

26/05/2007, 10h58	#4
Pascal Hambourg Messages: n/a Hébergeur:	Re: Recettes de cuisine pour IPtables Salut, Lolotte a écrit : >> >> Je voudrais que toutes les requêtes arrivant sur le port 99 de >> l'adresse 128.197.15.10, attachée à eth0, et provenant du domaine >> cowabonga.tmnt (si si, c'est résolu sur la maquette :-P ) soient >> renvoyées sur le port 4321 du même serveur. [...] > iptables -t nat -A PREROUTING -i eth0 -s xxx.xxx.xxx.xxx/aa -p tcp > --dport 99 -j REDIRECT --to-ports 4321 Si je lis bien l'énoncé, le critère de correspondance porte sur l'adresse de destination et non sur l'interface d'entrée. En toute rigueur il faudrait donc utiliser "-d 128.197.15.10" au lieu de "-i eth0". En toute rigueur toujours, il faudrait utiliser la cible "-j DNAT --to-destination 128.197.15.10:4321" au lieu de REDIRECT car cette dernière remplace l'adresse de destination par l'adresse de l'interface d'entrée, modifiant l'adresse destination si le paquet arrive par une autre interface que eth0. D'autre part, on ne sait pas si le port 99 est en TCP ou UDP. On voit bien avec cet exemple d'apparence simple qu'il n'y a pas de recette de cuisine universelle. La règle que tu proposes fonctionnera dans certains cas, mais pas dans d'autres, et l'OP ne nous a pas donné tous les détails. > Il faut que tu aies à minima chargé le module iptable_nat Ça dépend des fonctions qui ont été compilées en module ou en dur. Si les fonctions de Netfilter sont en modules, il en faut bien d'autres que iptable_nat pour que cette règle fonctionne. Mais de toute façon si tout est bien configuré les modules nécessaires devraient être chargés automatiquement à la création de la règle.

29/05/2007, 19h59	#5
Christian SKARNIAK Messages: n/a Hébergeur:	Re: Recettes de cuisine pour IPtables Bonjour, Connais tu http://www.shorewall.net/ Il s'agit d'une application permettant d'administrer plus facilement iptable Les règles me semblent plus claires Tu peux lui adjoindre une couche graphique avec webmin qui propose en standard un module d'administration Tu peux ainsi bâtir et administrer très facilement ton firewall Iptable. Bon courage christian "Cumbalero" <cumbalero@NOSPAM.yahoo.fr> a écrit dans le message de news: f35uq7$6e3$1@reader1.imaginet.fr... Bonjour, Loin de moi l'idée de ne pas me pencher sérieusement sur le sujet (que je trouve fort intéressant par ailleurs) et de ne pas lire vraiment la doc pour comprendre ce que je fais, mais là, j'ai un besoin relativement urgent (c'est pour faire une maquette vite fait sur un coin de bureau...) Je voudrais que toutes les requêtes arrivant sur le port 99 de l'adresse 128.197.15.10, attachée à eth0, et provenant du domaine cowabonga.tmnt (si si, c'est résolu sur la maquette :-P ) soient renvoyées sur le port 4321 du même serveur. Je vais demander à mon pote Google, mais si l'un d'entre vous connaissait un site avec des recettes de cuisine (cookbook pour les anglophones) qui me permette de faire ça avec un minimum de lecture, je suis preneur. J'ai trouvé jusqu'à présent pas mal de tutoriaux, mais rien qui me permette jusqu'à présent de concrétiser ce besoin sans plusieurs heures de lecture... Merci d'avance! A+ JF

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email