Reroutage avec iptables PREROUTING POSTROUTING help!

Demande d'aide : c'est ici.
Répondre
crashcoq
Membre
Membre
Messages : 22
Enregistré le : 07 oct. 2018, 21:50
Status : Hors ligne

Bonjour

Jai 2 serveurs avec les 2 qui ont des accès WAN.
Mon problème est qu'un serveur est en debian 7 avec Asterisk qui n'est plus à jour de longue date, le programme utilisé ne passe pas les versions au delà.
Je cherche donc à le sécuriser pour éviter les accès internet.
Le but après est de mettre en place DNSMasq car cela sera opérationnel.

Il faut donc que je reroute le traffic WAN via mon serveur 2 et lui même le renvoie vers le serveur 1.

J'ai essayé IPTABLES avec PREROUTING, la règle a l'air de fonctionner car je vois les paquets dans le log mais les paquets émis par le serveur 1 vers le serveur 2 sont vides

Code : Tout sélectionner

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5058 -j DNAT --to 192.168.1.242:5058
Voici le schéma que je souhaite
Image

Pouvez vous m'aider ?
Il y a une règle en POSTROUTING que je ne maîtrise pas dans le système.
Et le top du top, je souhaiterai conserver les adresses IP externe pour les bloquer en cas de probleme
Vous n’avez pas les permissions nécessaires pour voir les fichiers joints à ce message.
crashcoq
Membre
Membre
Messages : 22
Enregistré le : 07 oct. 2018, 21:50
Status : Hors ligne

Résolu

Je me réponds à moi même

A mettre dans le serveur 192.168.1.240

Code : Tout sélectionner

sudo iptables -A INPUT -p tcp --dport 8082 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 8082 -j ACCEPT
sudo iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 192.168.1.242:5058
sudo iptables -t nat -A PREROUTING -p udp --dport 8082 -j DNAT --to-destination 192.168.1.242:5058
sudo iptables -t nat -A POSTROUTING -j MASQUERADE
il faut fermer les ports 5058 et 5059 et ouvrir les ports 8081 et 8081 (ou autre selon son choix)
rien ne change dans le serveur 192.168.1.242
PascalHambourg
Contributeur
Contributeur
Messages : 638
Enregistré le : 05 août 2016, 20:25
Status : Hors ligne

En quoi le PC1 est-il "sécurisé" dans la nouvelle configuration ? Dans le schéma de droite, il est toujours directement relié au routeur WAN, et les flux provenant de l'extérieur lui parviennent toujours via le PC2.

Que vient faire dnsmasq là-dedans ?

Les deux règles de la chaîne INPUT sont inutiles. Les paquets redirigés vers le PC1 ne passent pas dans cette chaîne mais dans la chaîne FORWARD.
Répondre