iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth2 -d
0.0.0.0/0 \
-p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth2 -s 0.0.0.0/0 -o eth0 -d
192.168.2.ccc \
-p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j
ACCEPT
Je souhaîterais aussi rediriger le flux d'un poste local sur
l'interface eth2 pour pouvoir réaliser des tests sur le serveur ssh
comme si le signal venait du net. J'ai tenter quelque règle sans grand
succès.
Je précise que la règle suivante marche bien mais elle n'utilise que les
interfaces locales.
iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth1 -d 192.168.0.loc \
-p tcp --sport 12312 -m state --state ESTABLISHED -j
ACCEPT
iptables -A FORWARD -i eth1 -s 192.168.0.loc -o eth0 -d
192.168.2.ccc \
-p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j
ACCEPT
Une dernière pour la route!! Si je change le port 12312 pour le port 80
mes postes 192.169.0.loc pourront surfer sans problème????
Merci pour vos réponses éclairées
--
La connerie c'est la décontraction de l'intelligence.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal Hambourg
Salut,
gronux a écrit :
Mon reseau est le suivant: internet--(eth2"web.web.web.web.")routeur(eth1"192.168.0.aaa")--switch--poste 192.168.0.loc | | (eth0"192.168.2.bbb")--switch--serveur192.168.2.ccc
J'ai installé sur le serveur ssh sur le port 12312 et je souhaîte savoir si les règles suivantes mise sur le routeur sont correct
Tu peux supprimer le --state qui ne sert à rien : les paquets ESTABLISHED, RELATED et INVALID ne traversent jamais les chaînes de la table nat. Seul le premier paquet NEW d'une connexion passe par ces chaînes.
iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth2 -d 0.0.0.0/0 -p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth2 -s 0.0.0.0/0 -o eth0 -d 192.168.2.ccc -p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
Un peu compliqué, mais ça devrait marcher pour permettre l'accès au serveur SSH depuis l'extérieur.
Je souhaîterais aussi rediriger le flux d'un poste local sur l'interface eth2 pour pouvoir réaliser des tests sur le serveur ssh comme si le signal venait du net. J'ai tenter quelque règle sans grand succès.
D'un poste local sur eth2 ? Impossible : le poste local est sur eth1. Tu ne confondrais pas l'interface et l'adresse ?
Je précise que la règle suivante marche bien mais elle n'utilise que les interfaces locales.
iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth1 -d 192.168.0.loc -p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth1 -s 192.168.0.loc -o eth0 -d 192.168.2.ccc -p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
Bien, que veux-tu faire de plus ? Si tu veux y accéder par l'adresse web.web.web.web, reprends la même règle DNAT qu'au début mais avec eth1.
Une dernière pour la route!! Si je change le port 12312 pour le port 80 mes postes 192.169.0.loc pourront surfer sans problème????
Ils pourront surfer sur le site web du serveur 192.168.2.ccc. Est-ce bien à cela que tu penses ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
gronux a écrit :
Mon reseau est le suivant:
internet--(eth2"web.web.web.web.")routeur(eth1"192.168.0.aaa")--switch--poste
192.168.0.loc |
|
(eth0"192.168.2.bbb")--switch--serveur192.168.2.ccc
J'ai installé sur le serveur ssh sur le port 12312 et je souhaîte savoir
si les règles suivantes mise sur le routeur sont correct
Tu peux supprimer le --state qui ne sert à rien : les paquets
ESTABLISHED, RELATED et INVALID ne traversent jamais les chaînes de la
table nat. Seul le premier paquet NEW d'une connexion passe par ces chaînes.
iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth2 -d 0.0.0.0/0
-p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth2 -s 0.0.0.0/0 -o eth0 -d 192.168.2.ccc
-p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
Un peu compliqué, mais ça devrait marcher pour permettre l'accès au
serveur SSH depuis l'extérieur.
Je souhaîterais aussi rediriger le flux d'un poste local sur
l'interface eth2 pour pouvoir réaliser des tests sur le serveur ssh
comme si le signal venait du net. J'ai tenter quelque règle sans grand
succès.
D'un poste local sur eth2 ? Impossible : le poste local est sur eth1. Tu
ne confondrais pas l'interface et l'adresse ?
Je précise que la règle suivante marche bien mais elle n'utilise que les
interfaces locales.
iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth1 -d 192.168.0.loc
-p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -s 192.168.0.loc -o eth0 -d 192.168.2.ccc
-p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
Bien, que veux-tu faire de plus ? Si tu veux y accéder par l'adresse
web.web.web.web, reprends la même règle DNAT qu'au début mais avec eth1.
Une dernière pour la route!! Si je change le port 12312 pour le port 80
mes postes 192.169.0.loc pourront surfer sans problème????
Ils pourront surfer sur le site web du serveur 192.168.2.ccc. Est-ce
bien à cela que tu penses ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Mon reseau est le suivant: internet--(eth2"web.web.web.web.")routeur(eth1"192.168.0.aaa")--switch--poste 192.168.0.loc | | (eth0"192.168.2.bbb")--switch--serveur192.168.2.ccc
J'ai installé sur le serveur ssh sur le port 12312 et je souhaîte savoir si les règles suivantes mise sur le routeur sont correct
Tu peux supprimer le --state qui ne sert à rien : les paquets ESTABLISHED, RELATED et INVALID ne traversent jamais les chaînes de la table nat. Seul le premier paquet NEW d'une connexion passe par ces chaînes.
iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth2 -d 0.0.0.0/0 -p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth2 -s 0.0.0.0/0 -o eth0 -d 192.168.2.ccc -p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
Un peu compliqué, mais ça devrait marcher pour permettre l'accès au serveur SSH depuis l'extérieur.
Je souhaîterais aussi rediriger le flux d'un poste local sur l'interface eth2 pour pouvoir réaliser des tests sur le serveur ssh comme si le signal venait du net. J'ai tenter quelque règle sans grand succès.
D'un poste local sur eth2 ? Impossible : le poste local est sur eth1. Tu ne confondrais pas l'interface et l'adresse ?
Je précise que la règle suivante marche bien mais elle n'utilise que les interfaces locales.
iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth1 -d 192.168.0.loc -p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth1 -s 192.168.0.loc -o eth0 -d 192.168.2.ccc -p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
Bien, que veux-tu faire de plus ? Si tu veux y accéder par l'adresse web.web.web.web, reprends la même règle DNAT qu'au début mais avec eth1.
Une dernière pour la route!! Si je change le port 12312 pour le port 80 mes postes 192.169.0.loc pourront surfer sans problème????
Ils pourront surfer sur le site web du serveur 192.168.2.ccc. Est-ce bien à cela que tu penses ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
gronux
On Mon, Oct 09, 2006 at 12:09:40AM +0200, Pascal Hambourg wrote :
Salut,
gronux a écrit : >Mon reseau est le suivant: >internet--(eth2"web.web.web.web.")routeur(eth1"192.168.0.aaa")--switch--poste >192.168.0.loc | > | > (eth0"192.168.2.bbb")--switch--serveur192.168.2.ccc > >J'ai installé sur le serveur ssh sur le port 12312 et je souhaîte savoir > si les règles suivantes mise sur le routeur sont correct
Tu peux supprimer le --state qui ne sert à rien : les paquets ESTABLISHED, RELATED et INVALID ne traversent jamais les chaînes de la table nat. Seul le premier paquet NEW d'une connexion passe par ces chaînes.
Merci pour l'info
> iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth2 -d 0.0.0.0/0 > -p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT > iptables -A FORWARD -i eth2 -s 0.0.0.0/0 -o eth0 -d 192.168.2.ccc > -p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
Un peu compliqué, mais ça devrait marcher pour permettre l'accès au serveur SSH depuis l'extérieur.
>Je souhaîterais aussi rediriger le flux d'un poste local sur >l'interface eth2 pour pouvoir réaliser des tests sur le serveur ssh >comme si le signal venait du net. J'ai tenter quelque règle sans grand >succès.
D'un poste local sur eth2 ? Impossible : le poste local est sur eth1. Tu ne confondrais pas l'interface et l'adresse ?
>Je précise que la règle suivante marche bien mais elle n'utilise que les >interfaces locales. > >iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth1 -d 192.168.0.loc >-p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT >iptables -A FORWARD -i eth1 -s 192.168.0.loc -o eth0 -d 192.168.2.ccc > -p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
Bien, que veux-tu faire de plus ? Si tu veux y accéder par l'adresse web.web.web.web, reprends la même règle DNAT qu'au début mais avec eth1.
Exact mais ce n'est pas ce que je veux faire. Je veux tester la règle de DNAT de chez moi car je n'ai pas d'acces internet au boulot à cause d'un proxy nouvellement installé qui me casse les c.......
>Une dernière pour la route!! Si je change le port 12312 pour le port 80 >mes postes 192.169.0.loc pourront surfer sans problème????
Ils pourront surfer sur le site web du serveur 192.168.2.ccc. Est-ce bien à cela que tu penses ?
Non, j'aimerais rediriger les connexions entrantes depuis le net sur le serveur ssh et pouvoir surfer tranquiles sur les autres postes. J'ai peur que la règle de PREROUTING balance tout le flux sur le serveur. En fait c'est pour pouvoir passer le proxy du taf sur le port 80 ou 443 sans passer par httptunel.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-- La connerie c'est la décontraction de l'intelligence.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Mon, Oct 09, 2006 at 12:09:40AM +0200, Pascal Hambourg wrote :
Salut,
gronux a écrit :
>Mon reseau est le suivant:
>internet--(eth2"web.web.web.web.")routeur(eth1"192.168.0.aaa")--switch--poste
>192.168.0.loc |
> |
> (eth0"192.168.2.bbb")--switch--serveur192.168.2.ccc
>
>J'ai installé sur le serveur ssh sur le port 12312 et je souhaîte savoir
> si les règles suivantes mise sur le routeur sont correct
Tu peux supprimer le --state qui ne sert à rien : les paquets
ESTABLISHED, RELATED et INVALID ne traversent jamais les chaînes de la
table nat. Seul le premier paquet NEW d'une connexion passe par ces chaînes.
Merci pour l'info
> iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth2 -d 0.0.0.0/0
> -p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT
> iptables -A FORWARD -i eth2 -s 0.0.0.0/0 -o eth0 -d 192.168.2.ccc
> -p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
Un peu compliqué, mais ça devrait marcher pour permettre l'accès au
serveur SSH depuis l'extérieur.
>Je souhaîterais aussi rediriger le flux d'un poste local sur
>l'interface eth2 pour pouvoir réaliser des tests sur le serveur ssh
>comme si le signal venait du net. J'ai tenter quelque règle sans grand
>succès.
D'un poste local sur eth2 ? Impossible : le poste local est sur eth1. Tu
ne confondrais pas l'interface et l'adresse ?
>Je précise que la règle suivante marche bien mais elle n'utilise que les
>interfaces locales.
>
>iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth1 -d 192.168.0.loc
>-p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT
>iptables -A FORWARD -i eth1 -s 192.168.0.loc -o eth0 -d 192.168.2.ccc
> -p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
Bien, que veux-tu faire de plus ? Si tu veux y accéder par l'adresse
web.web.web.web, reprends la même règle DNAT qu'au début mais avec eth1.
Exact mais ce n'est pas ce que je veux faire. Je veux tester la règle
de DNAT de chez moi car je n'ai pas d'acces internet au boulot à cause
d'un proxy nouvellement installé qui me casse les c.......
>Une dernière pour la route!! Si je change le port 12312 pour le port 80
>mes postes 192.169.0.loc pourront surfer sans problème????
Ils pourront surfer sur le site web du serveur 192.168.2.ccc. Est-ce
bien à cela que tu penses ?
Non, j'aimerais rediriger les connexions entrantes depuis le net sur le
serveur ssh et pouvoir surfer tranquiles sur les autres postes. J'ai
peur que la règle de PREROUTING balance tout le flux sur le serveur.
En fait c'est pour pouvoir passer le proxy du taf sur le port 80 ou 443
sans passer par httptunel.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
--
La connerie c'est la décontraction de l'intelligence.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Mon, Oct 09, 2006 at 12:09:40AM +0200, Pascal Hambourg wrote :
Salut,
gronux a écrit : >Mon reseau est le suivant: >internet--(eth2"web.web.web.web.")routeur(eth1"192.168.0.aaa")--switch--poste >192.168.0.loc | > | > (eth0"192.168.2.bbb")--switch--serveur192.168.2.ccc > >J'ai installé sur le serveur ssh sur le port 12312 et je souhaîte savoir > si les règles suivantes mise sur le routeur sont correct
Tu peux supprimer le --state qui ne sert à rien : les paquets ESTABLISHED, RELATED et INVALID ne traversent jamais les chaînes de la table nat. Seul le premier paquet NEW d'une connexion passe par ces chaînes.
Merci pour l'info
> iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth2 -d 0.0.0.0/0 > -p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT > iptables -A FORWARD -i eth2 -s 0.0.0.0/0 -o eth0 -d 192.168.2.ccc > -p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
Un peu compliqué, mais ça devrait marcher pour permettre l'accès au serveur SSH depuis l'extérieur.
>Je souhaîterais aussi rediriger le flux d'un poste local sur >l'interface eth2 pour pouvoir réaliser des tests sur le serveur ssh >comme si le signal venait du net. J'ai tenter quelque règle sans grand >succès.
D'un poste local sur eth2 ? Impossible : le poste local est sur eth1. Tu ne confondrais pas l'interface et l'adresse ?
>Je précise que la règle suivante marche bien mais elle n'utilise que les >interfaces locales. > >iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth1 -d 192.168.0.loc >-p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT >iptables -A FORWARD -i eth1 -s 192.168.0.loc -o eth0 -d 192.168.2.ccc > -p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
Bien, que veux-tu faire de plus ? Si tu veux y accéder par l'adresse web.web.web.web, reprends la même règle DNAT qu'au début mais avec eth1.
Exact mais ce n'est pas ce que je veux faire. Je veux tester la règle de DNAT de chez moi car je n'ai pas d'acces internet au boulot à cause d'un proxy nouvellement installé qui me casse les c.......
>Une dernière pour la route!! Si je change le port 12312 pour le port 80 >mes postes 192.169.0.loc pourront surfer sans problème????
Ils pourront surfer sur le site web du serveur 192.168.2.ccc. Est-ce bien à cela que tu penses ?
Non, j'aimerais rediriger les connexions entrantes depuis le net sur le serveur ssh et pouvoir surfer tranquiles sur les autres postes. J'ai peur que la règle de PREROUTING balance tout le flux sur le serveur. En fait c'est pour pouvoir passer le proxy du taf sur le port 80 ou 443 sans passer par httptunel.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-- La connerie c'est la décontraction de l'intelligence.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
gronux a écrit :
J'ai installé sur le serveur ssh sur le port 12312 et je souhaîte savoir si les règles suivantes mise sur le routeur sont correct
Correctes pour quoi faire ?
Administration de mes futurs serveurs
En fait cette question s'entendait en terme de flux IP, parce que "administration de serveur", ça lui parle pas des masses à iptables. ;-)
Je souhaîterais aussi rediriger le flux d'un poste local sur l'interface eth2 pour pouvoir réaliser des tests sur le serveur ssh comme si le signal venait du net. J'ai tenter quelque règle sans grand succès.
iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth1 -d 192.168.0.loc -p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth1 -s 192.168.0.loc -o eth0 -d 192.168.2.ccc -p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
Bien, que veux-tu faire de plus ? Si tu veux y accéder par l'adresse web.web.web.web, reprends la même règle DNAT qu'au début mais avec eth1.
Exact mais ce n'est pas ce que je veux faire. Je veux tester la règle de DNAT de chez moi car je n'ai pas d'acces internet au boulot à cause d'un proxy nouvellement installé qui me casse les c.......
Tu ne peux pas tester une règle qui fait intervenir l'interface d'entrée eth2 avec du trafic qui entre par eth1. C'est comme ça, on n'y peut rien. Mais tu peux tester une règle similaire avec eth1 et supposer sans trop de risque qu'elle se comportera de la même manière avec le trafic venant de l'extérieur en remplaçant eth1 par eth2.
Non, j'aimerais rediriger les connexions entrantes depuis le net sur le serveur ssh et pouvoir surfer tranquiles sur les autres postes. J'ai peur que la règle de PREROUTING balance tout le flux sur le serveur.
Aucun risque, une règle bien écrite n'attrape que le trafic concerné.
En fait c'est pour pouvoir passer le proxy du taf sur le port 80 ou 443 sans passer par httptunel.
Ah. Si tes règles de NAT font la distinction entre les connexions entrantes et sortantes, pas de souci.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
gronux a écrit :
J'ai installé sur le serveur ssh sur le port 12312 et je souhaîte savoir
si les règles suivantes mise sur le routeur sont correct
Correctes pour quoi faire ?
Administration de mes futurs serveurs
En fait cette question s'entendait en terme de flux IP, parce que
"administration de serveur", ça lui parle pas des masses à iptables. ;-)
Je souhaîterais aussi rediriger le flux d'un poste local sur
l'interface eth2 pour pouvoir réaliser des tests sur le serveur ssh
comme si le signal venait du net. J'ai tenter quelque règle sans grand
succès.
iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth1 -d 192.168.0.loc
-p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -s 192.168.0.loc -o eth0 -d 192.168.2.ccc
-p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
Bien, que veux-tu faire de plus ? Si tu veux y accéder par l'adresse
web.web.web.web, reprends la même règle DNAT qu'au début mais avec eth1.
Exact mais ce n'est pas ce que je veux faire. Je veux tester la règle
de DNAT de chez moi car je n'ai pas d'acces internet au boulot à cause
d'un proxy nouvellement installé qui me casse les c.......
Tu ne peux pas tester une règle qui fait intervenir l'interface d'entrée
eth2 avec du trafic qui entre par eth1. C'est comme ça, on n'y peut
rien. Mais tu peux tester une règle similaire avec eth1 et supposer sans
trop de risque qu'elle se comportera de la même manière avec le trafic
venant de l'extérieur en remplaçant eth1 par eth2.
Non, j'aimerais rediriger les connexions entrantes depuis le net sur le
serveur ssh et pouvoir surfer tranquiles sur les autres postes. J'ai
peur que la règle de PREROUTING balance tout le flux sur le serveur.
Aucun risque, une règle bien écrite n'attrape que le trafic concerné.
En fait c'est pour pouvoir passer le proxy du taf sur le port 80 ou 443
sans passer par httptunel.
Ah. Si tes règles de NAT font la distinction entre les connexions
entrantes et sortantes, pas de souci.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
J'ai installé sur le serveur ssh sur le port 12312 et je souhaîte savoir si les règles suivantes mise sur le routeur sont correct
Correctes pour quoi faire ?
Administration de mes futurs serveurs
En fait cette question s'entendait en terme de flux IP, parce que "administration de serveur", ça lui parle pas des masses à iptables. ;-)
Je souhaîterais aussi rediriger le flux d'un poste local sur l'interface eth2 pour pouvoir réaliser des tests sur le serveur ssh comme si le signal venait du net. J'ai tenter quelque règle sans grand succès.
iptables -A FORWARD -i eth0 -s 192.168.2.ccc -o eth1 -d 192.168.0.loc -p tcp --sport 12312 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth1 -s 192.168.0.loc -o eth0 -d 192.168.2.ccc -p tcp --dport 12312 -m state --state NEW,ESTABLISHED -j ACCEPT
Bien, que veux-tu faire de plus ? Si tu veux y accéder par l'adresse web.web.web.web, reprends la même règle DNAT qu'au début mais avec eth1.
Exact mais ce n'est pas ce que je veux faire. Je veux tester la règle de DNAT de chez moi car je n'ai pas d'acces internet au boulot à cause d'un proxy nouvellement installé qui me casse les c.......
Tu ne peux pas tester une règle qui fait intervenir l'interface d'entrée eth2 avec du trafic qui entre par eth1. C'est comme ça, on n'y peut rien. Mais tu peux tester une règle similaire avec eth1 et supposer sans trop de risque qu'elle se comportera de la même manière avec le trafic venant de l'extérieur en remplaçant eth1 par eth2.
Non, j'aimerais rediriger les connexions entrantes depuis le net sur le serveur ssh et pouvoir surfer tranquiles sur les autres postes. J'ai peur que la règle de PREROUTING balance tout le flux sur le serveur.
Aucun risque, une règle bien écrite n'attrape que le trafic concerné.
En fait c'est pour pouvoir passer le proxy du taf sur le port 80 ou 443 sans passer par httptunel.
Ah. Si tes règles de NAT font la distinction entre les connexions entrantes et sortantes, pas de souci.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
gronux
Merci pour les infos que tu m'as transmises et le temps passer à appréhender mes questions. L'ensemble des solutions proposées ont réglés la totalité de mes problèmes. Fini les soirées sur iptables à essayer de rediriger des flux irréductibles ...
-- La connerie c'est la décontraction de l'intelligence.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Merci pour les infos que tu m'as transmises et le temps passer à
appréhender mes questions. L'ensemble des solutions proposées ont réglés
la totalité de mes problèmes.
Fini les soirées sur iptables à essayer de rediriger des flux
irréductibles ...
--
La connerie c'est la décontraction de l'intelligence.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Merci pour les infos que tu m'as transmises et le temps passer à appréhender mes questions. L'ensemble des solutions proposées ont réglés la totalité de mes problèmes. Fini les soirées sur iptables à essayer de rediriger des flux irréductibles ...
-- La connerie c'est la décontraction de l'intelligence.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact