[Résolu] Faire du NAT -- Règle IPTABLE

fabdunet1313 · Mai 5, 2017, 2:49pm

Bonjour,

Je loue actuellement un serveur chez ONLINE avec des VM que je virtualise.

j’ai créé des règles NAT pour joindre mes VM depuis Internet, je souhaiterais faire une DMZ sur une VM spécialement dédié a un PAREFEUX Linux IPCOP, (ouvrir tous les ports sur cette VM),

Pour ouvrir les port TSE sur ma VM Windows Serveur, j’utilise cette règles IPTABLE :

iptables -t nat -A PREROUTING -p tcp -d 65,xxx,2xx,210 --dport 3389 -i vmbr0 -j DNAT --to-destination 192.168.100.3:3389

Simplement je ne connais pas la syntaxe exacte pour autoriser tout les port sur l’adresse IP 192.168.100.3

Auriez vous une solutions ?

En vous remerciant par avance

PascalHambourg · Mai 8, 2017, 2:49pm

Je ne vois qu’une règle.
La destination initiale “65,xxx,2xx,210” est invalide. Cela doit être un nom d’hôte ou une adresse IP.

Il suffit de supprimer les références à des ports dans la règle.

iptables -t nat -A PREROUTING -p tcp -d <destination> -i vmbr0 -j DNAT --to-destination 192.168.100.3

Pour rediriger tous les protocoles et pas seulement TCP, il faut en plus supprimer les références au protocole.

iptables -t nat -A PREROUTING -d <destination> -i vmbr0 -j DNAT --to-destination 192.168.100.3

Notes :
Les règles de NAT n’ouvrent ni n’autorisent rien du tout. Elles ne font que modifier la destination des connexions.

Il ne faut pas oublier que de telles règles redirigent aussi les connexions comme SSH destinées au pare-feu lui-même.

Es-tu vraiment sûr(e) de vouloir rediriger toutes les connexions entrantes vers un serveur Windows ? S’il y a des règles de filtrage derrière (chaîne FORWARD de la table filter), il vaut mieux créer des règles de NAT correspondant aux ports/protocoles autorisés.

fabdunet1313 · Mai 5, 2017, 2:39pm

C’est exactement ça, je veux modifier la destination des connexions.
Concernant le TSE de windows c’était pour l’exemple que j’ai mis le TSE du Windows,

Je voudrais faire une règle NAT qui redirige tous les ports de mon hyperviseur (sous Linux avec une adresse publique) vers mon FIREWALL qui à pour adresse IP 19.168.1°°.254 et en suite depuis l’interface WEB de mon FIREWALL, ouvrir mes ports sur mes VM (ça je sais faire),

fabdunet1313 · Mai 5, 2017, 2:48pm

ça fonctionne,

MERCI de ton aide précieuse

Cordialement,

rodrigue7000 · Mai 6, 2017, 5:01pm

tu joues comme toi est seule parlant

ipcop fini et remplacait un ipfire !!!

fabdunet1313 · Mai 8, 2017, 2:51pm

Je savait pas, Merci, je prend notes et j’analyse