Iptables + DNAT + tunnel ssh

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Publier une réponse

Iptables + DNAT + tunnel ssh

Messagepar Francky2 » 02 Mars 2006 16:05

Bonjour,

je dispose de l'architecture suivante :

Code: Tout sélectionner
PC Client                     Passerelle                  Proxy
192.168.1.10 ]===============[ 192.168.1.1 ]-------------[ IP_PROXY ]
   Putty       Tunnel SSH      Srv dropbear


Mon PC client établit une connexion SSH avec la passerelle et doit ensuite utiliser le proxy pour ses connexions HTTP. Le tunneling SSH tel que décrit ici :http://people.via.ecp.fr/~dragon/tunnelingssh.htm fonctionne très bien, mais j'ai une contrainte supplémentaire : mon PC client ne doit pas connaitre l'IP du proxy.

J'ai donc créé un tunnel SSH qui forwarde le port 8080 du client vers '127.0.0.1:8080' sur la passerelle. J'ai ensuite ajouté une règle de DNAT sur la passerelle pour rediriger ce flux vers le proxy :

Code: Tout sélectionner
itpables -t nat -A OUTPUT  -p tcp --dport 8080 -j DNAT --to IP_PROXY:3128


Lorsque je règle 127.0.0.1:8080 comme proxy sur mon client, toutes les requetes finissent en timeout.

Si au contraire j'utilise cette règle sur ma passerelle :

Code: Tout sélectionner
itpables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to IP_PROXY:3128


... et 192.168.1.1:8080 comme proxy sur mon client, alors tout fonctionne correctement, mais je n'utilise pas le tunnel SSH.

Quelqu'un sait il comment modifier ma première règle pour obtenir la redirection ?
Francky2
Matelot
Matelot
 
Messages: 2
Inscrit le: 02 Mars 2006 15:33
Haut

Messagepar tomtom » 03 Mars 2006 00:09

Salut !

A mon avis, il faut que tu ajoutes exactement ta deuxième règle (avec le PREROUTING) mais que tu continues d'utiliser 127.1 comme proxy !

Le principe est le suivant :

le connexion est transmise dans le tunnel ssh, puis ssh se connecte sur 127.1 port 8080.
Il faut faire ici une redirection d'adresse pour envoyer ça vers l'adresse du proxy au lieu de la loopback.
Ca devrait fonctionner (pas teste)

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris
Haut

Messagepar Francky2 » 06 Mars 2006 12:59

Merci pour ta réponse.
Avec le prerouting sur l'interface lo, j'obtiens toujours un timeout du navigateur.

J'ai également essayé d'utiliser comme proxy une IP bidon (10.10.10.10) et d'ajouter une règle de forward sur la passerelle similaire à celle ci :

Code: Tout sélectionner
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 -j DNAT --to IP_PROXY:3128


... sans plus d'effet.

NB : Pour être certain que d'autres règles iptables n'entrent pas en conflit j'avais fait un flush de toutes les règles, puis remis uniquement une règle de masquerading sur l'interface WAN.
Francky2
Matelot
Matelot
 
Messages: 2
Inscrit le: 02 Mars 2006 15:33
Haut
Publier une réponse

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

Powered by boolaz
cron