Wan vers Lan iptables ipcop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Wan vers Lan iptables ipcop

Messagepar ownez » 15 Mars 2011 23:28

Bonjour à tous !

Ma question est assez spéciale et sort des sentiers conseillés, mais j'ai besoin d'y arriver.

Voilà le topo :

J'ai besoin d'ouvrir 3 ports sur mon pare feu ipcop (bot). Jusque là, rien de bien compliqué. Le problème c'est que c'est dans le sens WAN -> LAN, et pour cette configuration, bot me l'interdit (plutôt logique me direz vous).

Il ne s'agit pas de port forwarding car c'est à destination de plusieurs clients dans le LAN (à moins qu'on puisse spécifier plusieurs destination lors du PATing mais il ne me semble pas).

Je me suis donc dis que j'allais rajouter mes règles à la main avec iptables.

Première question : Est ce bien dans la chaine "FORWARD" qu'il faut les rajouter ou alors c'est uniquement pour la sortie ?

Deuxième question : est ce que ma règle est correcte " iptables -I FORWARD -p tcp -source 192.168.2.252 -dest 192.168.136.0 --sport 80 (exemple) -J ACCEPT " ?

Troisième question : Pouvez vous m'éclairer quand à --sport et --dport ? En effet je suis un peu confus entre source et destination...


Merci à tous et dites moi si je n'ai pas été très clair, j'approfondirais les points qui posent problème.


P.S. : Je viens de voir qu'il y avait aussi la chaine "RED_FORWARD". C'est peut être dans celle la que je dois ajouter mes règles non ? A moins que ce soit dans "BOT_FORWARD"...
ownez
Matelot
Matelot
 
Messages: 2
Inscrit le: 15 Mars 2011 23:04

Re: Wan vers Lan iptables ipcop

Messagepar jdh » 16 Mars 2011 00:18

Avant de rentrer dans la technique, l'objectif doit être parfaitement clair, net et lumineux.

Je ne comprends pas "ouvrir 3 ports", "à destination de plusieurs clients" et "Il ne s'agit pas de port forwarding".

Il semble très clair qu'il est impossible de transférer un flux identique vers plusieurs cibles internes !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Wan vers Lan iptables ipcop

Messagepar ccnet » 16 Mars 2011 00:32

WAN -> LAN, et pour cette configuration, bot me l'interdit (plutôt logique me direz vous)

BOT signifier Block OUT Trafic. Or vous souhaitez gérer des flux entrants.

Je ne comprend pas non plus votre besoin fonctionnel. Si vous commenciez par expliquer, sans induire de solution (c'est à dire sans vous préoccuper d'iptables) , ce dont vous avez besoin, peut être serons nous capable de vous aider.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: Wan vers Lan iptables ipcop

Messagepar Franck78 » 16 Mars 2011 00:42

Ma question est assez spéciale et sort des sentiers conseillés, mais j'ai besoin d'y arriver.
alors non pas du tout du tout... Ta question montre simplement que tu n'as pas saisi le problème reglé par la béquille nat/pat !

Par contre tu auscultes le coeur d'ipcop, les tables iptables. C'est bien mais compliqué car une ribambelle d'utilitaire vient s'accrocher sur ces tables. Et l'un de ces utilitaires est le GUI/port forwarding !

Un tour chez Christian Caleca s'impose..... pour revoir la base du client cherchant son serveur ;-)
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Re: Wan vers Lan iptables ipcop

Messagepar ownez » 16 Mars 2011 01:11

Donc pour être clair :

Message par jdh » 15 Mars 2011 23:18
Avant de rentrer dans la technique, l'objectif doit être parfaitement clair, net et lumineux.

Je ne comprends pas "ouvrir 3 ports", "à destination de plusieurs clients" et "Il ne s'agit pas de port forwarding".

Il semble très clair qu'il est impossible de transférer un flux identique vers plusieurs cibles internes !


C'est ce que je disais, il ne s'agit pas de faire du PATing.


Message par ccnet » 15 Mars 2011 23:32

WAN -> LAN, et pour cette configuration, bot me l'interdit (plutôt logique me direz vous)


BOT signifier Block OUT Trafic. Or vous souhaitez gérer des flux entrants.

Je ne comprend pas non plus votre besoin fonctionnel. Si vous commenciez par expliquer, sans induire de solution (c'est à dire sans vous préoccuper d'iptables) , ce dont vous avez besoin, peut être serons nous capable de vous aider.


C'est ce que je disais, je ne peut pas le faire par BOT et c'est pour ca que je vais rajouter une règle dans iptables



Message par Franck78 » 15 Mars 2011 23:42

Ma question est assez spéciale et sort des sentiers conseillés, mais j'ai besoin d'y arriver.

alors non pas du tout du tout... Ta question montre simplement que tu n'as pas saisi le problème reglé par la béquille nat/pat !


Je ne veux pas faire de PATing



Ma question est simple : pouvez vous m'éclairer sur --sport et --dport, et dans quelle chaine est géré le traffic WAN -> LAN.
ownez
Matelot
Matelot
 
Messages: 2
Inscrit le: 15 Mars 2011 23:04

Re: Wan vers Lan iptables ipcop

Messagepar Franck78 » 16 Mars 2011 01:48

A la limite, on se fout de ce que tu ne veux pas faire.

Par contre ce que tu cherches n'existe pas

dans quelle chaine est géré le traffic WAN -> LAN.


DANS AUCUNE CAR UN CLIENT TRAINANT SUR INTERNET(RED) NE PEUT ATTEINDRE UNE MACHINE INTERNE DU LAN(GREEN/ORANGE) QUE PAR LE TRUCHEMENT DU NAT.

Va lire Christian Caleca et reviens


Donc pour être clair :
Tu n'as strictement rien éclairci. CCNET t'as lui CLAIREMENT demandé de décrire ton ojtectif pour que l'on t'aide.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron