Pb de portforwarding [ssh et gnomemeeting]

[Landry]

Bjr a tous !!

Bon, le probleme a été maintes fois retourné ici, je sais tres bien comment fonctionne le portforwarding sous linux, mais je n'arrive pas a le faire fonctionner sur ma SME.

Mon archi : [workstation]===[SME]===Internet

Je veux acceder au service SSH de ma workstation (port 22), ainsi que recevoir les appels de gnomemeeting (port 1720).

Donc via la contrib e-smith-portforwarding-0.1.0-20, j'ai défini ces regles :

SME : TCP24 ===> 10.246.200.66:22
SME : TCP1720 ===> 10.246.200.66:1720

Ainsi , si je fais ssh mondyndns -p 24, logiquement je dois tomber sur le sshd de ma workstation. Et je dois recevoir des appels gnomemeeting (d'apres la faq gnomemeeting, il n'y a que le port 1720 a forwarder qd on est derriere une NAT). Je n'ai pas de firewall sur ma workstation bloquant quoi que ce soit.

j'ai regardé la config de masq : voici un extrait

Code: Tout sélectionner

iptables -t nat -L:
<snip>
Chain PortForwarding (1 references)
target     prot opt source               destination         
PortForwarding_32479  all  --  anywhere             81.185.152.100     

Chain PortForwarding_32479 (1 references)
target     prot opt source               destination         
DNAT       tcp  --  anywhere             anywhere            tcp dpt:24 to:10.246.200.66:22
DNAT       tcp  --  anywhere             anywhere            tcp dpt:1720 to:10.246.200.66:1720
<snip>


Donc les 2 ports sont bien sensés etre forwardés.

Code: Tout sélectionner

iptables -L :
<snip>
Chain InboundTCP_32479 (1 references)
target     prot opt source               destination         
denylog    all  --  anywhere            !81.185.152.100     
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4661
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4662
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:auth
denylog    tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap2
denylog    tcp  --  anywhere             anywhere            tcp dpt:ldap
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:1723
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
denylog    tcp  --  anywhere             anywhere            tcp dpt:telnet
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:24
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:1720
<snip>


Enfin la contrib ajoute bien les ports 24 et 1720 au ports 'ouverts' (enfin, a ne pas rejeter direct quoi)

Mes services tournent bien sur ma workstation, et ecoutent sur la bonne interface reseau.
Et pourtant, de l'exterieur, nada, rien, oualou, kedal. que ce soit avec nc, nmap, telnet, ssh mon_serveur, je n'arrive pas a voir les services tournant sur ces ports. nc,ssh et telnet ne repondent pas, nmap ne me dit pas que les ports 24 et 1720 sont ouverts (alors que les services de SME, oui) .....

J'ai bien cherché partout, et pas moyen de trouver un debut d'aide. la contrib portforwarding marche bien chez vous ?????

Merci de votre aide

[Muzo]

Salut,

première chose quelle est ta version de SME?

Si c'est la > 6.0 alors, tu as mis u contribs qui et incompatible avec ta version de sme.

Car la contrib de port forwarding n'est valable que pour la 5.6.

Le portforwarding étant intégré dans la 6.0

[Landry]

Hum, ben c la 6.0 Mitel unsupported release

Code: Tout sélectionner

root@spud[root]$more /etc/e-smith-release
Mitel Networks server 6.0

Le rpm pour cette version est e-smith-portforwarding-0.2.0-02.

Et il n'y a pas de probleme d'incompatibilité (je sais que la 5.6 etait en ipchains et la 6.0 en iptables, j'ai bien verifié dans les templates...)


Je viens d'essayer avec un autre rpm, celui qui sera integré dans la 6.5:

http://ftp.nluug.nl/ftp/pub/os/Linux/di ... noarch.rpm

Et enfin, j'ai reinstallé le rpm d'origine de la 6.0Mitel

Mais ca donne toujours rien..

[guytou]

Salut

si tu prends une sme 6.0.1-01 le port forwarding est integre et il marche tres bien.
pour les rpms cites + haut je ne sais pas.

A+

[Landry]

Je n'ai pas l'impression que ca soit un probleme de RPM (les regles sont bien creees ...) , plutot de iptables lui-meme qui ne forwarde pas ce qu'il devrait forwarder...

[guytou]

arrglllll a suis pas d'accord
je persiste et signe le port forwarding fonctionne parfaitement bien sur la sme.

je l'ai en fonction sur plein de sites.

par contre je l'utilise tel que (sans ajout de rpm autre que l'install de base).

[sibsib]

Salut,

Tout a fait d'accord avec guytou : le portforwarding de SME 6.0(01) marche parfaitement, il n'y a rien à ajouter.

A+,
Pascal

[Muzo]

Oui, la contrib que tu as installé est pour 5.6 exclusivement, qui plus est tu as tord car la 5.6 intègre Iptables.

La différences est que le script de firewall est totalement différent (je le sais pour m'y être cassé les dents à développer masq-manager).

[Landry]

Arg.
Bon. Désolé.

Mais bon, je persiste et signe (aussi), apres avoir tout remis dequerre (viré les contribs, et remis le rpm standard Mitel/Sme6), fait moult service masq restart, et re-re verifié ma config, c'est toujours pareil : iptables me dit toujours la meme chose (cf mon post du haut), et il n'y a toujours rien qui traverse ma SME.

Je suis un boulet ou quoi ?

[Muzo]

Fais tu le port forwarding avec ce panel là :
http://www.sme-fr.homelinux.net/manager.php#renvoi

[Landry]

Oui, bien sur, vu que j'ai remis le panel standard livré avec la 6.0

[sibsib]

Salut,

Ce que je tenterais : Si tu as une machine avec un serveur WEB sur ton LAN, essayes de rediriger n'importe quel port externe (libre sur SME ) vert l'ip et le port 80 de ce serveur.

Pourquoi le HTTP ? Parce que le serveur HTTP est dispo quasi partout est qu'il passe particulièrement bien a travers ce genre de config.

Après, de l'extérieur, tu testes. Si cette redirection fonctionne, il te reste à trouver pourquoi celles qui t'intéressent te font devenir chèvre.

Si çà ne marche pas (déjà vu...) c'est qu'un morceau de la contrib 'port-forwarding' est resté sur ta machine... Et là, bon courage !

A+,
Pascal