Reroutage avec iptables PREROUTING POSTROUTING help!

Demande d'aide : c'est ici.
Répondre
crashcoq
Membre
Membre
Messages : 22
Inscription : 07 oct. 2018, 21:50
Status : Hors-ligne

Bonjour

Jai 2 serveurs avec les 2 qui ont des accès WAN.
Mon problème est qu'un serveur est en debian 7 avec Asterisk qui n'est plus à jour de longue date, le programme utilisé ne passe pas les versions au delà.
Je cherche donc à le sécuriser pour éviter les accès internet.
Le but après est de mettre en place DNSMasq car cela sera opérationnel.

Il faut donc que je reroute le traffic WAN via mon serveur 2 et lui même le renvoie vers le serveur 1.

J'ai essayé IPTABLES avec PREROUTING, la règle a l'air de fonctionner car je vois les paquets dans le log mais les paquets émis par le serveur 1 vers le serveur 2 sont vides

Code : Tout sélectionner

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5058 -j DNAT --to 192.168.1.242:5058
Voici le schéma que je souhaite
Image

Pouvez vous m'aider ?
Il y a une règle en POSTROUTING que je ne maîtrise pas dans le système.
Et le top du top, je souhaiterai conserver les adresses IP externe pour les bloquer en cas de probleme
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
crashcoq
Membre
Membre
Messages : 22
Inscription : 07 oct. 2018, 21:50
Status : Hors-ligne

Résolu

Je me réponds à moi même

A mettre dans le serveur 192.168.1.240

Code : Tout sélectionner

sudo iptables -A INPUT -p tcp --dport 8082 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 8082 -j ACCEPT
sudo iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 192.168.1.242:5058
sudo iptables -t nat -A PREROUTING -p udp --dport 8082 -j DNAT --to-destination 192.168.1.242:5058
sudo iptables -t nat -A POSTROUTING -j MASQUERADE
il faut fermer les ports 5058 et 5059 et ouvrir les ports 8081 et 8081 (ou autre selon son choix)
rien ne change dans le serveur 192.168.1.242
PascalHambourg
Contributeur
Contributeur
Messages : 642
Inscription : 05 août 2016, 20:25
Status : Hors-ligne

En quoi le PC1 est-il "sécurisé" dans la nouvelle configuration ? Dans le schéma de droite, il est toujours directement relié au routeur WAN, et les flux provenant de l'extérieur lui parviennent toujours via le PC2.

Que vient faire dnsmasq là-dedans ?

Les deux règles de la chaîne INPUT sont inutiles. Les paquets redirigés vers le PC1 ne passent pas dans cette chaîne mais dans la chaîne FORWARD.
Répondre