iptables: forward de port sans acces externe

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

iptables: forward de port sans acces externe

Messagepar schlouf » 16 Mai 2005 02:30

Bonjour!

Petite question concernat le forwarding de port: commment puis-je forwarder un port (vers une machine sur le green) sans ouvrir le port pour autant au niveau de ipcop? La version 1.3 (qui fontionnait avec ipchains) necessitait 2 etapes pour le forwarding: il fallait forwarder le port ET autoriser l'acces dans 'external access'.

En somme, a l'analogie du 1.3, j'aimerais seulement forwarder le port mais ne pas ouvrir l'acces externe. Comment faire?

Merci d'avance!
Avatar de l’utilisateur
schlouf
Major
Major
 
Messages: 72
Inscrit le: 29 Jan 2002 01:00
Localisation: QC, Canada

Messagepar Mister-Magoo » 16 Mai 2005 07:10

Ta question n'est pas très claire (il est tôt, je suis peut être pas encore bien réveillé) ...

Si tu fais un forward vers une machine sur green, forcement, le port en question sera ouvert coté red, ou fermé si la machine coté green est éteinte :?
Par contre, tu n'as aucune liaison entre red et IPcop à ce moment là, la règle est du type FORWARD entre red et green ...

Précise un peu ta question :)
Dis-moi de quoi tu as besoin, va visiter le support technique de Mister Magoo et tu apprendras comment t'en passer
Avatar de l’utilisateur
Mister-Magoo
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 21 Avr 2005 11:31
Localisation: Leyrieu

Messagepar schlouf » 16 Mai 2005 07:44

Si tu fais un forward vers une machine sur green, forcement, le port en question sera ouvert coté red, ou fermé si la machine coté green est éteinte
Par contre, tu n'as aucune liaison entre red et IPcop à ce moment là, la règle est du type FORWARD entre red et green ...


Ben le but est de gerer l'acces avec une chaine INPUT et pas une chaine FORWARD. J'aimerais que le FORWARD soit en place au niveau de ipcop mais sans acces externe. Par apres, j'aimerais permettre l'acces externe a la demande avec une regle INPUT.

La regle INPUT serait qqchose du style: iptables -D INPUT -j ACCEPT -p tcp -i ppp0 -s adresse_source -d adresse_ipcop_wan --dport numero_port

Ainsi, la question est de savoir comment je dois modifier dans rc.firewall la ligne
Code: Tout sélectionner
   /sbin/iptables -A FORWARD -m state --state NEW -j PORTFWACCESS
de facon a ce que juste ipcop puisse acceder le port qui est forwarde et que la regle INPUT envisagee plus haut fonctionne comme souhaite.
Avatar de l’utilisateur
schlouf
Major
Major
 
Messages: 72
Inscrit le: 29 Jan 2002 01:00
Localisation: QC, Canada

Messagepar Mister-Magoo » 16 Mai 2005 09:41

Je suis pas très calé en commandes iptables, mais INPUT c'est vers IPCop lui-même et FORWARD, c'est d'une interface à une autre.
Donc, je comprends pas bien comment tu veux faire un transfert de red vers green avec une règle INPUT :shock:
Dis-moi de quoi tu as besoin, va visiter le support technique de Mister Magoo et tu apprendras comment t'en passer
Avatar de l’utilisateur
Mister-Magoo
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 21 Avr 2005 11:31
Localisation: Leyrieu

Re: iptables: forward de port sans acces externe

Messagepar Gandalf » 16 Mai 2005 10:02

schlouf a écrit: La version 1.3 (qui fontionnait avec ipchains) necessitait 2 etapes pour le forwarding: il fallait forwarder le port ET autoriser l'acces dans 'external access'.


Non, tu confonds 2 choses bien différentes : le transfert de port et l'ouverture de port ! Il n'a jamais fallut ouvrir un port pour le forwarder sur la 1.3 !!!!!!! ???? !!!! Un simple forward suffit dans ce cas là ! Dans accès externe, tu ouvres des ports sur le firewall pour diverses raisons, notamment pour des raisons de maintenance à distance ( ssh, telnet .... ) !

PS : sur la version 1.3 il me semble que c'était iptables déjà !
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar schlouf » 16 Mai 2005 10:53

Non, tu confonds 2 choses bien différentes : le transfert de port et l'ouverture de port ! Il n'a jamais fallut ouvrir un port pour le forwarder sur la 1.3 !!!!!!! ???? !!!! Un simple forward suffit dans ce cas là ! Dans accès externe, tu ouvres des ports sur le firewall pour diverses raisons, notamment pour des raisons de maintenance à distance ( ssh, telnet .... ) !

PS : sur la version 1.3 il me semble que c'était iptables déjà !


...non non, pas de stress, je ne confonds pas le transfer et l'ouverture, c'est juste que je ne me souviens pas bien! :D C'est la 1.2 qui etait en ipchains et c'est dans la 1.3 que les choses ont change! Dans la 1.2, il fallait faire 2 choses pour forwarder un port: le definir dans port forwarding ET ouvrir le port en external access! C'est exactement la meme choses que j'aimerais faire sauf que j'ouvrirais le port dans moi meme dans un script....

Bon, qui est-ce qui a une idee?
Avatar de l’utilisateur
schlouf
Major
Major
 
Messages: 72
Inscrit le: 29 Jan 2002 01:00
Localisation: QC, Canada

Messagepar m2nis » 16 Mai 2005 11:03

schlouf a écrit:C'est exactement la meme choses que j'aimerais faire sauf que j'ouvrirais le port dans moi meme dans un script....

Bon, qui est-ce qui a une idee?


Activer / désactiver le forward dans un script?
Michaël.
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar schlouf » 16 Mai 2005 11:12

Activer / désactiver le forward dans un script?


Non, malheureusement pas une bonne option pour moi: j'aimerais controler de la meme facon l'acces vers les services qui tournent sur ipcop (ssh, web, etc...) et les services qui tournent en arriere de ipcop (rdp, impression, etc...). Le controle devrait se faire avec la chaine INPUT!
Avatar de l’utilisateur
schlouf
Major
Major
 
Messages: 72
Inscrit le: 29 Jan 2002 01:00
Localisation: QC, Canada


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron