# [Shorewall] redirection de port (explication DNAT) [Résolu]

## Aachen_france

Bonjour a tous,

Je me presente en premier, je suis Aachen, je me trouve en france dans le nord est...

J'ai une connection chez wanadoo, avec  une serveur sous Gentoo.

Dans ce serveur il y a deux carte reseau, une brancher sur le moden LAN, et l'autres sur un reseau domestique....

DOnc mon serveur me sert de DHCP, de serveur de stockage et de partage de conextion internet...

Je precise aussi que je m'y connais tres peut un Linux, le configuration du serveur a ete faites pas un colegue...

Voila je voudrais faire 2 chose:

1) ouvrir le ssh au net (accesibilite du ssh a l'exterieur)

2) redirection du port 10001 de l'exterieur vers un machine du reseau qui a l'ip 192.168.0.251

Pour ceci, j'ai mis comme config du shorewall comme ca

```

DNAT net loc:192.168.0.1 tcp ssh

DNAT net fw:192.168.0.1 tcp ssh

DNAT  net loc:192.168.0.251 tcp 10001

REJECT net fw all

```

alors le probleme, c'est que rien ne marche de l'exterieur...

J'ai demande a un camarade de faire un ping de ma machine de l'extereur, il n'a pas eu de reponse.

En interne le ssh fonctionne tres bien...

Vous pourrez m'aider peut etre?

Merci d'avance pour toutes vos reponses...

a+ aachen

----------

## Il turisto

pour le ping c'est simplement parce que ton firewall dtoi dropper les paquets par soucis de sécurité.

Cela est donc très bien.

Si il n'a pas de putty demande lui de faire un telnet:

```

telnet tonip 22

```

Afin de voir si ton firewall est bien config ou pas.

Sinon tu peux toujours regarder dans les logs (/var/log/)

----------

## Aachen_france

Merci de ta reponce,

En effet j'ai putty... et qd je le fait en local sur le reseau, je n'ai pas de probleme...

Cepandant qd je le fait d'un autre poste externe au reseau (c'est a dire de mon boulot par exemple vers ma maison, donc par internet) il ne fonctionne pas...

Mon Firewall est sans aucun doute mal configurer... mais ou?

c'est pourkoi j'ai mon l'extrai de mon rules

a+ aachen

----------

## razer

 *Aachen_france wrote:*   

> 
> 
> Pour ceci, j'ai mis comme config du shorewall comme ca
> 
> ```
> ...

 

Essaye :

```

ACCEPT net fw tcp ssh -

DNAT net loc:192.168.0.1:ssh tcp ssh

DNAT  net loc:192.168.0.251:10001 tcp 10001

REJECT net fw all

```

----------

## Il turisto

Je ne me souviens plus de shorewall mais je pense que ca :

```

DNAT net loc:192.168.0.1 tcp ssh

DNAT net fw:192.168.0.1 tcp ssh

DNAT  net loc:192.168.0.251 tcp 10001

REJECT net fw all 

```

bloque tout du net vers ton fw.

a mon avis ta règle reject devrait être au dessus des autres mais je n'en suis pas sur.

Qu'as tu dans tes logs?

----------

## Aachen_france

Je vous remercie beaucoup de toutes vos reponces, je vais ess et je vous tiendrais au courrant

merci

a+ aachen

----------

## man in the hill

Salut,

Si ton ssh fonctionne en local, tu n'as pas besoin de forwarder le ssh vers les autres machines, il suffit de mettre une régle pour arriver sur ton serveur.

Mes  2 cent...

                                                                     @+

----------

## Aachen_france

bon bien ca marche pas...

une idee? j'ai meme remplacer le therme ssh par le 22 pour le port

a+ aachen

----------

## razer

Bon donne déjà la sortie de :

iptables -L |grep policy

Si elle te donne "DROP" vire ta ligne "REJECT", elle ne sert à rien et risque de mettre le brin

Ensuite,

iptables -t nat -L |grep policy

Cette fois ci tu avoir "ACCEPT", le cas inverse vérifie ton shorewall.conf

----------

## loopx

Salut, j'ai plus ou moins la meme config que toi pour mon serveur @home (stockage, partage du net, service en tout genre pour le local ou l'extérieur).

Déjà, tu as un MODEM LAN ? Donc, un routeur, qui se connecte sur ta carte reso. De ce fait, pour rediriger un port (ex: port 1234 de l'extérieur = port 22 en local sur ton serveur), tu dois configurer ton routeur de manière à ce qu'une connection en TCP sur 1234 de l'extérieur soit redirigé sur ton serveur au port 22.

Si tu veux rediriger un port sur une autre machine que ton serveur, tu dois configurer ton routeur pour renvoyer au serveur (comme indiqué ci dessus) + config iptables sur ton serveur pour qu'il renvoye une connexion en provenance du port X sur l'interface X sur une autre ip à un certain port. Ex: connex(port 1234) => routeur => serveur(port 1234) => ton_ip_de_ton_pc(mon_port_de_destination) 

Heu, c'est pas très claire...

Une fois ton routeur configuré et ton firewall sur ton serveur configuré + iptables configurer pour renvoyer vers un autre pc en local (si tu le souhaites ....) et ben ca doit fonctionner.

EDIT: tu aura surement besoin de ddclient (pour utiliser dyndns, pour que tu avoir un nom de domaine qui pointe ton routeur).

----------

## Aachen_france

loopx: Je n'ai pas de routeur... J'ai un modem Ethernet si tu prefaire.. c'est pas une routeur, il a besions d'un PC lui donnant les praramettres de connection (username, pass.....FAI)

raser: j'ai fait tous se que tu as dit, j'ai bien DROP au premier test, avec ou sans REJECT, et j'ai bien ACCEPT au deuxieme test...

Ca ne viens pas de mon dyndns, mais du shorewall je pense... 

mais qd je coupe le shorewall, je ne peux meme plus surfer de mes postes de travail...

Voila j'ai un probleme

qq1 a une idee?

a+ aachen

----------

## loopx

 *Aachen_france wrote:*   

> loopx: Je n'ai pas de routeur... J'ai un modem Ethernet si tu prefaire.. c'est pas une routeur, il a besions d'un PC lui donnant les praramettres de connection (username, pass.....FAI)

 

Heu, je vois pas trop non. Tu veux dire que la première fois, tu dois brancher ton modem sur ton pc (via un cable réseau) pour le configurer (avec un programme se trouvant sur un cd) ?

Si tu t'y connecte via l'ethernet, surement que tu devrais avoir une ip sur ton "modem" pour pouvoir envoyer les packets vers internet (ip de la passerelle). Donc, si oui, faut bien configurer le "modem" pour rediriger le traffic externe vers le réseau interne.

Maintenant, peut etre qu'il y a un truc que j'ai jamais pigé ... Explique moi parce que j'ai encore jamais vu un "appareil" qui se branche via un cable réseau et qui ne possède pas d'ip  (donc, qui ne peux etre configuré pour faire du DNAT). Ceci rendrait donc impossible l'accès à un pc en local de l'extérieur...

----------

## CryoGen

Connexion PPPoE non ?

----------

## Aachen_france

Bonjour,

Mon modem c'est une speedtouch en ethernet. il fonctionne comme un modem en usb.

http://www.priceminister.com/offer/buy/5177490/Modem-Thomson-Speed-Touch-510-Ethernet-Accessoire.html

ou pppeo ca me dit qqch je crois que c'est ca...

Sur mon modem je n'ai pas la possibilite de faire firewall... il fait juste le connection au net...

a+ aachen

----------

## Aachen_france

```
Action         Source       Destination                  Protocole       Source ports     Destination ports

ACCEPT         Zone ipv4   Firewall                       TCP               Tous                  ssh      

DNAT          Zone ipv4   Machine(s): 

                                   192.168.0.1:22

                                   de la zone ipv4            TCP               Tous                  22       

DNAT          Zone ipv4   Machine(s): 

                                   192.168.0.251:10001

                                   de la zone ipv4            TCP               Tous                  10001 
```

Ceci est se que j'ai comme regle sur shorewall... d'apres le webmin....

si ca peut vous aider?

----------

## Aachen_france

Bonjour,

Je remonte un peu le sujet car je n'ai toujours pas de solution...

Peut etre ce concentrer dans une premier tps d'ouvir le ssh au net...

merci

a+ aachen

----------

## Aachen_france

Je parle tout seul maintenant... que ce passe t'il?

a+ aachen

----------

## Il turisto

Désolé mais je n'ai pas de solutions à te fournir.

----------

## man in the hill

Salut,

Un lien: 

http://www.shorewall.net/FAQ_fr.html#faq1a

Il me semble que tes règles sont bonnes...et que l'aide  de Razer et  Il_Turisto sont ds le bon sens...

Je sais qu'il y a firestarter qui est aussi une interface  graphique d'iptables (que je n'ai pas utilisé). Si tu as le temps écris toi ton parfeu, un ex du mien qui est assez simple mais très efficace :

http://www.guidelinux.org/phpBB/viewtopic.php?t=256&start=30

Regarde les lien qui y sont , pour plus d'info et il y a aussi une adresse pour tester tes ports...

Je n'ai pas de DNAT ds mon script mais tu peux le rajouter facilement en t'inspirant des liens cités. 

Si tu veux faire plus complexe :

http://pasdou.info/index.php?option=com_content&task=view&id=26&Itemid=35

                                                                        @+

----------

## Il turisto

Ici tu utilises shorewall et c'est ton droit mais il est vrai que si tu ne maîtrises pas bien tout cela une interface graphique telle que fwbuilder (gui over iptables) serait peut être utile.

ps : @man in the hill : Il turisto et non Il_Turisto  :Wink: 

----------

## Aachen_france

Bonjour,

CA MARCHE une peu!!!

Je vous remercie pour tous les conseils que vous m'avait donne...

J'ai mis des ligne hier sur mon shorewall, ca a l'air de marcher comme je veux...

```

DNS/ACCEPT loc $FW

DNS/ACCEPT $FW net

SSH/ACCEPT loc $FW

SSH/ACCEPT $FW net

DNAT net loc:192.168.0.251 tcp 10001

#REJECT net fw all
```

Il me reste un petit soucis, je crois que mon DynDNS ne ce m'ai pas a jour automatiquement....

Wanadoo, force le changement d'IP une fois par jour, mais le DynDNS ne suis pas... je suis obliger de la faire manuellement par le site...

Une idee de ce cote?

merci

a+ aachen

----------

## Il turisto

ton routeur peut peut-être le mettre à jour sinon sur leur site il doit exister des programmes.

Perso je suis chez dynu (dynu.com) et ils fournissent des scripts linux.

----------

## Aachen_france

Salut,

merci pour votre soutien, et vos reponces

oui il y a bien ca sur leur site... https://www.dyndns.com/support/clients/unix.html

mais c'est lequel le script qui fait le maj????? c'est la la question....

Comme wanadoo coupe le connection au moins 1 fois par jour, on a mis un script qui verifier la connection au net toutes les minutes, et la retablie en cas de perte... c'est peut etre la ou il faut regarder, ou dans le adsl-start peut etre!

Bon je vrai creuse le probleme...

a+ aachen

----------

## Aachen_france

Bonjour,

Ne cherche plus je crois avoir trouver le probleme...

Comme je ne connais plus le mots de pas etc... je l'avais redemander, mais il en redonner un autre, qu'il fallait mettre a jour... hors je n'avais plus le bon... donc j'ai changer...

Je pense que ca va marcher maintenant

En tous cas merci a vous tous, et continuer ainsi, c'est super pour de nul comme moi...

a+ aachen

PS: en fait je me suis monter un PC avec VDR (Live bien sur) et une carte sat dedans... ca marche vraiment du tonner pour un mediacenter complet... je recommende

----------

