[RESOLU] Pb de translation de port

[loberty]

Bonjour,

Je rencontre un souci pour rediriger un paquet entrant provenant de $RED vers une adresse IP de $GREEN en changeant de port.

Ma configuration c'est :
$GREEN en 10.0.0.xxx et $RED sur ADSL PPOE avec adresse dynamique
IPCOP v1.3 avec patch 1 à 9

Depuis internet, je souhaite pouvoir prendre en main par pcAnywhere un PC de $GREEN.
Par défaut pcAnywhere fonctionne en tcp/udp sur 5631 et 5632.
Depuis l'extérieur je souhaite utiliser les ports 5531 et 5532, et que cela soit renvoyé vers l'adresse 10.0.0.88 sur les 5631 et 5632.

Voilà ce que j'ai dans /etc/rc.d/rc.firewall :
/sbin/iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 5531 -j DNAT --to-destination 10.0.0.88:5631
/sbin/iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 5532 -j DNAT --to-destination 10.0.0.88:5632
/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 5531 -j DNAT --to-destination 10.0.0.88:5631
/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 5532 -j DNAT --to-destination 10.0.0.88:5632
/sbin/iptables -A FORWARD -i ppp0 -p tcp --dport 5531 -j ACCEPT
/sbin/iptables -A FORWARD -i ppp0 -p tcp --dport 5532 -j ACCEPT
/sbin/iptables -A FORWARD -i ppp0 -p udp --dport 5531 -j ACCEPT
/sbin/iptables -A FORWARD -i ppp0 -p udp --dport 5532 -j ACCEPT

Mais cela ne fonctionne pas.
Je vois bien le paquet arriver dans les logs du GUI mais rien d'autre.
Rien ne semble arriver sur le pc concerné.
Pour information ce PC accède très bien à internet via le firewall.
De plus, si je modifie les règle et remplace 5531/5532 par 5631/5632, cela fonctionne.
Il semble donc que cela soit le changement de port qui gêne.

Dans mon firewall je fais déjà ce genre d'action, je transfère un flux arrivant en 1510 sur un serveur interne en 80, toujours sur $GREEN.
Tout fonctionne à merveille.

Merci pour votre aide
A+

[Fesch]

Hmmm ... et pourquoi est-ce que tu n'utilise pas l'interface graphique d'IpCOP?

[tomtom]

c'est vrai tu devrais utiliser l'interface, car là tu as fait des erreurs.

N'oublie pas que le PREROUTING passe avant le FORWARD.

Donc, si tu as modifié ton port d'entrée en 5631/5632, c'est eux que tu dois accepter au FORWARD..

t.

[loberty]

Bonjour

Merci pour l'information.
C'est vrai qu'avec la GUI cela passe tout de suite.

Mais je voulais le faire à la main !
Merci de m'avoir indiqué mon erreur.

J'en profite pour vous poser une question qui il est vrai n'a rien à voir avec le présent sujet.
Actuellement, si on veux gérer des restrictions en FORWARD vers $RED il faut le faire à la main.
Y a t'il quelque chose de prévu dans une future version pour que cela soit possible par la GUI comme cela est déjà possible pour le FORWARD qui provient de $RED ?

Sincèrement et bonne journée.

[tomtom]

Je ne pesne pas, car IPCop a comme philosophie le partage de connexions sur un reseau en qui l'on a confiance...

Mais bon, il faut jettre un oeil au roadmap, pourquoi pas...


t.

[koilito]

salut, j'ai exactement le même problème pour rediriger une conection PcAnywhere d'Internet vers un PC du LAN.
[mode newbie on]
Je voudrais savoir ce qu'il configurer dans l'interface graphique
[mode newbie off]

Dans la page des transferts de ports, (http://MONIPCOP/cgi-bin/portfw.cgi), je redirige bien vers ma machine locale :
TCP DEFAULT IP : 5632 >> 192.168.0.253 : 5632 test pc anywhere
UDP DEFAULT IP : 5632 >> 192.168.0.253 : 5632 test 2
UDP DEFAULT IP : 5631 >> 192.168.0.253 : 5631 test 3

Mais cela ne fonctionne pas pour autant.

D'avance merci

[koilito]

Salut,
je m'auto-répond puisque j'ai finalment opté pour une connexion de PCAnywhere via un tunnel SSH.

Si ça peut intéresser quelqu'un, voici un descriptif rapide de ce que j'ai fait :


Pour se connecter avec PCAnywhere à un ordinateur d'un autre réseau via un pare-feu IPCOP.

1. Créer un utilisateur sur le PC Windows élève avec un mot de passe « costaud »
(à moins qu'on en connaisse déjà un)

2. Installer sur l'élève OpenSSH. (pour + d'infos : http://sshwindows.sourceforge.net/ )
Voir le fichier quickstart.txt dans la doc pour la configuration.
Par défaut le serveur SSH écoute sur le port 22, mais on peut modifier sa configuration en tapant
edit sshd_config. On peut également éditer le fichier banner.txt sous \etc pour "personnaliser" sa connexion.
A la fin de l'installation, il faut lancer le serveur SSH : net start sshd.
Le serveur SSH s'installe en tant que service Windows (en démarrage automatique)


3.Sur le firewall IPCOP, on redirige vers le port 22 de notre machine locale.
Exemple :

TCP DEFAULT IP : 39225 >> 192.168.0.253 : 22(SSH) testOpenSSH

4.La connexion SSH fonctionne. De l'autre côté du firewall, si on ouvre Putty et qu'on lui donne l'adresse du firewall avec le port 39225, on tombe bien sur notre machine locale.

On rentre le nom de l'utilisateur Windows crée en 1., puis son mot de passe (« costaud »).
Cela fonctionne. On peut quitter (exit).

Maintenant il faut paramétrer Putty et PCAnywhere pour passer via le tunnel SSH.

5.Sur PcAnywhere :
Dans les paramètres de connexion de la session Eleve, il faut mettre « 127.0.0.1 » comme adresse IP à contacter.


Par défaut, les ports de PCAnywhere sont 5631 et 5632. On va donc laisser ces paramètres.

6.On rajoute le tunnel SSH sous Putty.
Dans la session de Putty, il faut aller dans SSH > Tunnels et configurer comme suit :


Source port : 5631
Destination : mettre l'adresse IP locale de la machine dont on veut prendre le contrôle, suivit du port sur lequel elle attend la connection (5631).Exemple : 192.168.0.253:5631
Idem avec le port 5632.
On sauvegarde.
On ouvre la connexion SSH. On rentre le nom d'utilisateur et le mot de passe.
Il faut laisser ouverte la connexion SSH.
Maintenant, on peut ouvrir PCAnywhere et lancer la connexion avec l'élève.


Voilà....