tunnel ssh et forward d'IP

[MalMok42]

Bonjour, <BR>J'ai un petit probleme... <BR> <BR> <BR>Derriere un FireWall Mandrake MNF, j'ai ma station sous Win2k. <BR>Notre tendre admin sys a ajouter un systemes qui filtre le port 3328 (Proxy http) et qui nous envoie des beau "Page Denied" sur, normalement, les sites pornographiques, etc. <BR> <BR>Seulement je ne peux meme plus lire certain de mes mais par le webmail !!!! <BR> <BR>D'ou mon idee de faire passer le http dans un tunnel ssh vers ma machine (Debian Woodie kernel 2.4.x) puis de balancer le tout sur le net... <BR> <BR>Seulement ca marche pas !!!!!!!!!!! <BR> <BR>Bref voila le truc : <BR>J'ouvre mon putty a partir du Win 2k. Dans Tunelling j ajoute l'ip de ma debian suivi du port. <BR> ca donne : R80 XXX.XXX.XXX.XXX:80 <BR> <BR>Bon, je configure iptable. <BR>Je precise que j'ai un serveur apache qui tourne sur ma debian. <BR>Bref, tout fonctionne jusqu au moment quelque soit la page que j'interroge sur mon navigateur sur le win 2k, c'est ma page de debian qui apparait.... <IMG SRC="images/smiles/icon_cussing.gif"> <BR> <BR>au fait, j ai bien fait un echo "1" dans /proc/sys/net/ipv4/ip_forward <BR>Voila mes regles de iptables. Je pense que ca viens de la mais je vois pas pourquoi en fait.... <BR> <BR>----- debut ----- <BR># REMISE ? ZERO des r?gles de filtrage <BR>iptables -F <BR>iptables -t nat -F <BR>iptables -P INPUT ACCEPT <BR>iptables -P FORWARD ACCEPT <BR>iptables -P OUTPUT ACCEPT <BR> <BR># DEBUT des r?gles de FIREWALLING <BR> <BR># DEBUT des politiques par d?faut <BR> <BR># Je veux que les connexions entrantes soient bloqu?es par d?faut <BR>iptables -P INPUT DROP <BR> <BR># Je veux que les connexions destin?es ? ?tre forward?es <BR># soient accept?es par d?faut <BR>iptables -P FORWARD ACCEPT <BR> <BR># Je veux que les connexions sortantes soient accept?es par d?faut <BR>iptables -P OUTPUT ACCEPT <BR> <BR># FIN des politiques par d?faut <BR> <BR># J'accepte les packets entrants relatifs ? des connexions d?j? ?tablies <BR>iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT <BR> <BR># J'autorise les connexions TCP entrantes sur les ports 20 et 21 <BR># (pour que mon serveur FTP soit joignable de l'ext?rieur) <BR>iptables -A INPUT -p tcp --dport 20 -j ACCEPT <BR>iptables -A INPUT -p tcp --dport 21 -j ACCEPT <BR> <BR># J'autorise les connexions TCP entrantes sur le port 22 <BR># (pour que mon serveur SSH soit joignable de l'ext?rieur) <BR>iptables -A INPUT -p tcp --dport 22 -j ACCEPT <BR> <BR># J'autorise les connexions TCP entrantes sur le port 25 <BR># (pour que mon serveur de mail soit joignable de l'ext?rieur) <BR>iptables -A INPUT -p tcp --dport 25 -j ACCEPT <BR> <BR># J'autorise les connexions TCP et UDP entrantes sur le port 53 <BR># (pour que mon serveur DNS soit joignable de l'ext?rieur) <BR>iptables -A INPUT -p tcp --dport 53 -j ACCEPT <BR>iptables -A INPUT -p udp --dport 53 -j ACCEPT <BR> <BR># J'autorise les connexions TCP entrantes sur le port 80 <BR># (pour que mon serveur HTTP soit joignable de l'ext?rieur) <BR>iptables -A INPUT -p tcp --dport 80 -j ACCEPT <BR> <BR> <BR># J'autorise les flux UDP entrants sur le port 1234 <BR># (pour pourvoir re?evoir les flux VideoLAN) <BR>#iptables -A INPUT -p udp --dport 1234 -j ACCEPT <BR> <BR> <BR># J'accepte le protocole ICMP (i.e. le "ping") <BR>iptables -A INPUT -p icmp -j ACCEPT <BR> <BR># Pas de filtrage sur l'interface de "loopback" <BR>iptables -A INPUT -i lo -j ACCEPT <BR> <BR> <BR># La r?gle par d?faut pour la chaine INPUT devient "REJECT" <BR># (il n'est pas possible de mettre REJECT comme politique par d?faut) <BR>#iptables -A INPUT -j REJECT <BR>iptables -A INPUT -j ACCEPT <BR> <BR># FIN des r?gles de FIREWALLING <BR> <BR> <BR># DEBUT des r?gles pour le PARTAGE DE CONNEXION (i.e. le NAT) <BR> <BR># Je veux que mon syst?me fasse office de "serveur NAT" <BR># (Rempla?ez "eth0" par votre interface connect?e ? Internet) <BR>iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE <BR> <BR># FIN des r?gles pour le PARTAGE DE CONNEXION (i.e. le NAT) <BR> <BR> <BR># DEBUT des r?gles de PORT FORWARDING <BR> <BR># Je veux que les requ?tes TCP re?ues sur le port 80 soient forward?es <BR># ? la machine dont l'IP est 192.168.0.3 sur son port 80 <BR># (la r?ponse ? la requ?te sera forward?e au client) <BR>iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1:80 <BR> <BR># FIN des r?gles de PORT FORWARDING <BR> <BR> <BR> <BR> <BR> <BR>

[West]

Si c'est par le ssh, c'est de le fichier de config de ce dernier que tu dois activer le forward, il doit y avoir un parametre ds le fichier de config à yes, par contre je ne me rappelle plus du paramaetre, liste le fichier de conf ssh, il y a le mot forward ds le paramatre . <BR>Ensuite tu fais une connextion local avec le port en R80 : <!-- BBCode auto-link start --><a href="http://localhost:80" target="_blank">http://localhost:80</a><!-- BBCode auto-link end --> <BR> <BR>

[Breizh-Tux]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-08-27 14:34, MalMok42 a écrit: <BR>Bonjour, <BR>Voila mes regles de iptables. Je pense que ca viens de la mais je vois pas pourquoi en fait.... <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Peut-etre faut-il adapté les scripts que tu trouves sur le net, celui-ci ressemblant à deux gouttes d'eau près à celui D'Alexis de Lattre. <BR>que chacun peut trouver <!-- BBCode u2 Start --><A HREF="http://www.via.ecp.fr/~alexis/formation-linux/config/iptables.sh" TARGET="_blank">ici</A><!-- BBCode u2 End --> <BR>