- Accueil
- » Forum
- » Serveurs
- » [Résolu]Iptables
Pages : 1
#1 Le 08/08/2013, à 14:34
- jonas39
[Résolu]Iptables
Bonjours, voici une partie de ma topologie réseau -->[doc]http://jonathan-jeanniard.fr/images/topologie[/doc]
Comment faire du nat, du forward ou autre, sans modifier l'adresse source.
Pourquoi, sur le serveur web j'ai remarque, que l'ip du client qui ce connecter est l'ip du serveur qui route le packet.
Le problème et que je ne peu pas bannir l'ip du serveur qui route:
[Thu Aug 08 02:40:08 2013] [error] [client 192.168.1.11] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.Win32:)
[Thu Aug 08 14:29:58 2013] [error] [client 192.168.1.11] File does not exist: /home/web/www/meta-release-ltsComment faire pour avoir l'ip source réel du client sur le serveur web et non l'ip source du serveur qui le route?
Les règles iptables que j'utilise:
$IPT -A FORWARD -i $INT -p tcp --dport 80 -d 192.168.1.13 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp --dport 80 -i $INT -j DNAT \
--to 192.168.1.13Solution:
$IPT -A FORWARD -i $INT -o $INT -p tcp --dport 80 -d 192.168.1.13 -j ACCEPT
$IPT -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
$IPT -t nat -A PREROUTING -s 0/0 -d 192.168.1.11 -p tcp --dport 80 -j DNAT --to 192.168.1.13Attention:
Si vous avez un serveur vpn et que vous avez inclue dans iptables:
$IPT -A FORWARD -i $INT2 -o $INT -j ACCEPT
$IPT -t nat -A POSTROUTING -o $INT -j MASQUERADE <-- commenter la ligne
$IPT -t nat -A POSTROUTING -s 10.8.0.0/24 -o $INT -j MASQUERADEIl faut un masquerade plus précise.
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
MASQUERADE all -- 10.8.0.0/24 anywhere
MASQUERADE all -- 192.168.1.0/24 anywhere Deviens:
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.8.0.0/24 anywhere
MASQUERADE all -- 192.168.1.0/24 anywhereDernière modification par jonas39 (Le 08/08/2013, à 15:50)
Hors ligne
Pages : 1