Un petit de coup de main

par **targa** » 17 Juin 2003 17:08

Bonjour, Je viens de mettre mon firewall en production, configuration de base avec des transfert de port du rouge vers mon green ou j'ai un serveur ( je n'ai que 2 interfaces réseaux) je redirige vers les ports 22,3389,80,53. j'arrive à pinguer <a href="http://www.yahoo.fr" target="_blank">www.yahoo.fr</a>, mais je ne peux y accéder avec mon navigateur. Je peux aussi faire un telnet sur le port 25 d'un serveur de mail. Tout fonctionne sauf la navigation sur le web. Est ce que le problème peut venir de mes transferts de port ??

par **tomtom** » 17 Juin 2003 17:17

Bien que je sois etonné, ca peut venir de la... Peux-tu poster un iptables -t nat -L T.

par **targa** » 17 Juin 2003 17:22

Et voila <a href="mailto:root@ipcop:~">root@ipcop:~</a> # iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination CUSTOMPREROUTING all -- anywhere anywhere SQUID all -- anywhere anywhere PORTFW all -- anywhere anywhere Chain POSTROUTING (policy ACCEPT) target prot opt source destination RED all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain CUSTOMPREROUTING (1 references) target prot opt source destination Chain PORTFW (1 references) target prot opt source destination DNAT tcp -- anywhere tracker.thecrmcompany.comtcp dpt:http to:10.0.0.6:80 DNAT tcp -- anywhere tracker.thecrmcompany.comtcp dpt:https to:10.0.0.6:443 DNAT tcp -- anywhere tracker.thecrmcompany.comtcp dpt:3389 to:10.0.0.6:3389 DNAT tcp -- anywhere tracker.thecrmcompany.comtcp dpt:ssh to:10.0.0.6:22 DNAT tcp -- anywhere tracker.thecrmcompany.comtcp dpt:domain to:10.0.0.6:53 DNAT tcp -- anywhere host4.thecrmcompany.comtcp dpt:http to:10.0.0.5:80 DNAT tcp -- anywhere host4.thecrmcompany.comtcp dpt:https to:10.0.0.5:443 DNAT tcp -- anywhere host4.thecrmcompany.comtcp dpt:ssh to:10.0.0.5:22 DNAT tcp -- anywhere host4.thecrmcompany.comtcp dpt:3389 to:10.0.0.5:3389 DNAT tcp -- anywhere host4.thecrmcompany.comtcp dpt:domain to:10.0.0.5:53 DNAT udp -- anywhere host4.thecrmcompany.comudp dpt:domain to:10.0.0.3:53 DNAT tcp -- anywhere host3.thecrmcompany.comtcp dpt:http to:10.0.0.4:80 DNAT tcp -- anywhere host3.thecrmcompany.comtcp dpt:https to:10.0.0.4:443 DNAT tcp -- anywhere host3.thecrmcompany.comtcp dpt:ssh to:10.0.0.4:22 DNAT tcp -- anywhere host3.thecrmcompany.comtcp dpt:3389 to:10.0.0.4:3389 DNAT tcp -- anywhere host3.thecrmcompany.comtcp dpt:domain to:10.0.0.4:53 DNAT udp -- anywhere host3.thecrmcompany.comudp dpt:domain to:10.0.0.4:53 DNAT tcp -- anywhere host2.thecrmcompany.comtcp dpt:http to:10.0.0.3:80 DNAT tcp -- anywhere host2.thecrmcompany.comtcp dpt:https to:10.0.0.3:443 DNAT tcp -- anywhere host2.thecrmcompany.comtcp dpt:ssh to:10.0.0.3:22 DNAT tcp -- anywhere host2.thecrmcompany.comtcp dpt:3389 to:10.0.0.3:3389 DNAT tcp -- anywhere host2.thecrmcompany.comtcp dpt:domain to:10.0.0.3:53 DNAT udp -- anywhere host2.thecrmcompany.comudp dpt:domain to:10.0.0.3:53 DNAT udp -- anywhere tracker.thecrmcompany.comudp dpt:domain to:10.0.0.6:53 Chain RED (1 references) target prot opt source destination MASQUERADE all -- anywhere anywhere Chain SQUID (1 references) target prot opt source destination

par **tomtom** » 17 Juin 2003 17:27

on n'y voit vraiment rien avec ce format... armme secrete : iptables -t nat -n -L -v | grep DNAT Ce sera un peu plus clair <IMG SRC="images/smiles/icon_smile.gif"> merci T.

par **targa** » 17 Juin 2003 17:29

Désolé pour la première version je n'ai pas regardé ce que ca donné. Et revoila <a href="mailto:root@ipcop:~">root@ipcop:~</a> # iptables -t nat -n -L -v | grep DNAT 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.150 tcp dpt:80 to:10.0.0.6:80 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.150 tcp dpt:443 to:10.0.0.6:443 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.150 tcp dpt:3389 to:10.0.0.6:3389 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.150 tcp dpt:22 to:10.0.0.6:22 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.150 tcp dpt:53 to:10.0.0.6:53 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.149 tcp dpt:80 to:10.0.0.5:80 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.149 tcp dpt:443 to:10.0.0.5:443 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.149 tcp dpt:22 to:10.0.0.5:22 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.149 tcp dpt:3389 to:10.0.0.5:3389 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.149 tcp dpt:53 to:10.0.0.5:53 0 0 DNAT udp -- * * 0.0.0.0/0 212.11.45.149 udp dpt:53 to:10.0.0.3:53 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.148 tcp dpt:80 to:10.0.0.4:80 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.148 tcp dpt:443 to:10.0.0.4:443 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.148 tcp dpt:22 to:10.0.0.4:22 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.148 tcp dpt:3389 to:10.0.0.4:3389 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.148 tcp dpt:53 to:10.0.0.4:53 0 0 DNAT udp -- * * 0.0.0.0/0 212.11.45.148 udp dpt:53 to:10.0.0.4:53 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.147 tcp dpt:80 to:10.0.0.3:80 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.147 tcp dpt:443 to:10.0.0.3:443 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.147 tcp dpt:22 to:10.0.0.3:22 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.147 tcp dpt:3389 to:10.0.0.3:3389 0 0 DNAT tcp -- * * 0.0.0.0/0 212.11.45.147 tcp dpt:53 to:10.0.0.3:53 0 0 DNAT udp -- * * 0.0.0.0/0 212.11.45.147 udp dpt:53 to:10.0.0.3:53 0 0 DNAT udp -- * * 0.0.0.0/0 212.11.45.150 udp dpt:53 to:10.0.0.6:53

par **remi** » 17 Juin 2003 17:32

Ne serait ce pas plutot un probleme de configuration du client... le proxy est il démarré, .... cela m'etonnerai bocou que cela vienne des regles iptables

par **tomtom** » 17 Juin 2003 17:38

Exact Remi puisque l'adresse de destination est bien spécifiée pour le prerouting, les règles de redirection ne devraient pas alterer le fonctionnement classique. Il faut verifier au niveau d'IE que tu ne lui as pas dit d'utiliser un proxy ni un script de detection auto.... Si tu as hping quelquepart sur ton lan on peut faire 1 petit test pour verifier que le port 80 est bien ouvert..... T.

par **targa** » 17 Juin 2003 17:38

Je suis en train de remplacer un firewall matériel par ipcop, l'installation fonctionnait avant le changement, des postes clients on peut pinguer par exemple yahoo.fr, ou faire un telnet sur un serveur de mail sur le port 25 mais on ne peut pas naviguer. Un telnet sur le port 80 de yahoo ne marche pas.

par **tomtom** » 17 Juin 2003 17:40

D'apres les regles le proxy n'est pas activé...... Je ne pige pas trop ce qui bloque.. Au fait tu devrais effacer tes ip publiques dans les posts ! T.

par **remi** » 17 Juin 2003 17:42

As tu bien mis les DNS de ton FAI....

par **targa** » 17 Juin 2003 17:45

Une question, j'ai installé dansguard avec l'interface graphique, sur celle ci il me met les ports d'écoutes 8080 et le port du proxy 800 est ce que c'est ca le problème

par **tomtom** » 17 Juin 2003 17:48

Les DNS ont l'air bons puisqu'il ping... J'ai pas l'impression que le proxy soit activé en transparent, donc je ne vois pas pourquoi le port d'ecoute du procy changerait le problème.... Tu peux me faire un iptables -n -L -V Peut-etre qu'il y a un truc ailleurs... T.

par **remi** » 17 Juin 2003 17:49

Et ben voila... le probleme est la solution est la ! Je ne connait pas dansguardian, mais a mon avis il faut que tu passe par le port 8080, donc le proxy doit etre enclenché...

par **targa** » 17 Juin 2003 17:55

Voila iptables v1.2.7a Sinon le dansguardian n'est pas enclenché.

par **tomtom** » 17 Juin 2003 17:58

oups ct un petit v <IMG SRC="images/smiles/icon_rolleyes.gif"> iptables -n -L -v

Un petit de coup de main

Qui est en ligne ?