port redirect mais pas 23 avec iptables

port redirect mais pas 23 avec iptables - Linux et OS Alternatifs

Marsh Posté le 13-09-2001 à 15:03:29    

Il y a qq temps, j'avais grâce à ce forum, eu la commande iptables me permettant du rediriger le port 23 vers le 6667.
càd : > iptables -A PREROUTING -t nat -p tcp -d 212.68.xx.xx --dport 23 -j DNAT --to 212.68.xx.xx:6667
Cette commande marche encore avec tous les ports sauf le 23.
J'ai pourtant pas de serveur telnet installé !
Je me demande donc ce qui peut bien bloqué ce port 23 ?
Quand je tappe la commande, il ne fait pas d'erreur mais ca marche qd même pas...
Merci pour vos idées et/ou solutions ;)

Reply

Marsh Posté le 13-09-2001 à 15:03:29   

Reply

Marsh Posté le 13-09-2001 à 15:09:35    

Si c'est sur la même machine tu dois utiliser  
iptables -A PREROUTING -t nat -p tcp -d 212.68.xx.xx --dport 23 -j REDIRECT --to-port 6667
 
sinon fais bien attention qu'une fois passé les règles de prérouting, les chaines INPUT sont appliquées !
Donc dans les chaines input  
- tu dois accepter les connections vers le port 23  
- tu dois accepter les connections vers le port 6667

Reply

Marsh Posté le 13-09-2001 à 15:19:43    

Code :
  1. [root@baomic /root]# iptables -A PREROUTING -t nat -p tcp -d 212.68.xx.xx --dp
  2. ort 23 -j REDIRECT --to-port 6667
  3. [root@baomic /root]# iptables -L
  4. Chain INPUT (policy ACCEPT)
  5. target     prot opt source               destination
  6. ACCEPT     udp  --  anywhere             anywhere           udp spt:bootpc dpt:b
  7. ootps
  8. ACCEPT     tcp  --  anywhere             anywhere           tcp spt:bootpc dpt:b
  9. ootps
  10. ACCEPT     udp  --  anywhere             anywhere           udp spt:bootps dpt:b
  11. ootpc
  12. ACCEPT     tcp  --  anywhere             anywhere           tcp spt:bootps dpt:b
  13. ootpc
  14. ACCEPT     udp  --  anywhere             anywhere           udp dpt: domain
  15. ACCEPT     tcp  --  anywhere             anywhere           tcp dpt: domain
  16. Chain FORWARD (policy ACCEPT)
  17. target     prot opt source               destination
  18. ACCEPT     all  --  192.168.0.0/24       anywhere
  19. Chain OUTPUT (policy ACCEPT)
  20. target     prot opt source               destination


Marche pas, en plus j'ai encore rien bloqué...

 

[edtdd]--Message édité par die488--[/edtdd]

Reply

Marsh Posté le 13-09-2001 à 15:31:31    

heu...pour voir tes règles de prérouting tu dois taper
iptables -L -t nat
mais bon ... sinon je ne vois pas trop pour l'instant.

Reply

Marsh Posté le 13-09-2001 à 20:17:20    

en tapant cette commande j'ai 50* la même ligne :  
DNAT       tcp  --  anywhere             baomic.candiulb.be tcp dpt:ircd to:212.68.xx.xx:6667
 
Ca doit être dû au fait que j'ai réessayé la même commande plusieurs fois...
Mais je ne vois rien concernant mon port 23 ...
J'ai exécuté la commande avec le port 19 et ca marche mais je ne sais pas où le vérifier ! Ca me permettrait ptet de savoir pkoi le 23 marche pas.
Merci pour vos réponses éclairées

Reply

Marsh Posté le 13-09-2001 à 20:44:46    

fuser -n tcp 23
si c'est deja utilise tu auras le PID de l'occupant

Reply

Marsh Posté le 13-09-2001 à 21:21:01    

ethernal a écrit a écrit :

Si c'est sur la même machine tu dois utiliser  
iptables -A PREROUTING -t nat -p tcp -d 212.68.xx.xx --dport 23 -j REDIRECT --to-port 6667  
 
sinon fais bien attention qu'une fois passé les règles de prérouting, les chaines INPUT sont appliquées !  
Donc dans les chaines input  
- tu dois accepter les connections vers le port 23  
- tu dois accepter les connections vers le port 6667  




 
hummm ...
quel interet des regles INPUT sur le 23 apres le PREROUTING ?
si on peut forwarder le 23 sur le  6667 (franchement louche comme idée mais bon ...) a quoi peut servir les INPUT ensuite ... Et meme si on PREROUTAIS sur le 23 d'une cliente , ca signie qu'on peut telneté sur la passerrelle si ya pas de regle INPUT ensuite ?  
 
bizarre [:num] ....


---------------
Do androïds dream of electric sheep ?
Reply

Marsh Posté le 13-09-2001 à 22:34:19    

fuser -n tcp 23 ne donne rien mais fuser -n tcp 19 ne donne rien non plus alors que ca marche...

Reply

Marsh Posté le 14-09-2001 à 01:05:17    

nicotine a écrit a écrit :

 
 
hummm ...
quel interet des regles INPUT sur le 23 apres le PREROUTING ?
si on peut forwarder le 23 sur le  6667 (franchement louche comme idée mais bon ...) a quoi peut servir les INPUT ensuite ... Et meme si on PREROUTAIS sur le 23 d'une cliente , ca signie qu'on peut telneté sur la passerrelle si ya pas de regle INPUT ensuite ?  
 
bizarre [:num] ....  




bha tu peux appliquer des critères du genre pas de spoof, pas certains ports sources, d'autres critères quoi...
Il est aussi vrai que tu pourraient les faire en PREROUTING.  Là je n'ai pas encore tout compris :(
Je ne pense pas que tu puisse quand même telneter la machine firewall puisque le prerouting a été effectué.
Il subsiste donc un grand doute chez moi, mais on m'a assuré sur la mailing liste de netfilter (netfilter@lists.samba.org) que les chaines de PREROUTING étaient suivient des chaines INPUT.
Quand j'ai demandé l'usage préférable du PREROUTING, ils sont restés assez silencieux....
 
Quand au problème de 50 la même déclaration, pense à mettre  
iptables -F  
iptables -t nat -F
iptables -t mangle -F
iptables -F INPUT
...
pour vider les chaines existantes, et tout devrait rentrer dans l'ordre.

Reply

Marsh Posté le 14-09-2001 à 11:45:42    

J'ai fait tout ca malheureusement celà ne résout rien...
Pkoi ca marche avec le port 19 et pas avec le 23 ?
Si je savais où il avait inscrit ce 19, je pourrais ptet rajouter le 23 non ?

Reply

Marsh Posté le 14-09-2001 à 11:45:42   

Reply

Marsh Posté le 14-09-2001 à 13:37:53    

moi j'ai fait un PREROUTING du port 80 vers le 8050 sur la même machine et ça fct très bien.
d'ou viennent tes connexion sur le port 23/6667 ? d'internet ou du réseau interne ? teste d'abord du réseau interne (adapte la chaine PREroutING si besoin est).
 
ton serveur écoute bien sur le port 6667 ? (on sait jamais)  
-> "netstat -tapun"
ensuite vide bien toutes tes chaines et met bien toutes tes règles en accept, puis le prerouting comme je t'ai dis.
 
liste le contenu d'iptables
"iptables -L >liste.txt"
et regarde le contenu d'iptables à ton aise, éventuellement poste le ici pour voir.

Reply

Marsh Posté le 14-09-2001 à 13:39:12    

ouai je vois que je me répète .. sorry

Reply

Marsh Posté le 15-09-2001 à 16:53:34    

Normalement, c'est pour les connections venant d'internet mais en intranet ca marche pas non plus...

Reply

Marsh Posté le 29-09-2001 à 13:52:17    

Je reviens à la charge car ca fctionne toujours pas...

Code :
  1. [root@candiulb rc.d]# iptables -L -t nat
  2. Chain PREROUTING (policy ACCEPT)
  3. target     prot opt source               destination
  4. DNAT       tcp  --  anywhere             baomic.candiulb.be tcp dpt:ircd to:212.68.xx.xx:6667
  5. DNAT       tcp  --  anywhere             baomic.candiulb.be tcp dpt:ircd to:212.68.xx.xx:6667
  6. Chain POSTROUTING (policy ACCEPT)
  7. target     prot opt source               destination
  8. MASQUERADE  all  --  192.168.0.0/24       anywhere
  9. Chain OUTPUT (policy ACCEPT)
  10. target     prot opt source               destination


 
J'ai ca après avoir tapé les commandes suivantes :

Code :
  1. [root@candiulb rc.d]# iptables -A PREROUTING -t nat -p tcp -d 212.68.xx.xx --dport 23 -j DNAT --to 212.68.xx.xx:6667
  2. [root@candiulb rc.d]# iptables -A PREROUTING -t nat -p tcp -d 212.68.xx.xx --dport 23 -j REDIRECT --to-port 6667


Ce qui m'inquiète c'est qu'avec iptables -L -t nat ,on ne parle pas de ce port 23 ?
 
Merci pour vos conseils avisés

Reply

Marsh Posté le 29-09-2001 à 20:21:03    

je crois que la questin n'est pas nécessaire au vu de ce qui a déjà été posté, mais bon...
en input tu as drop par défaut ?
donc tu dois accepter les connections sur le port 6667  
- venant d'internet : à ce moment là c'est une chaine FORWARD
- venant du réseau interne : chaine INPUT
 
ensuite  
- c'est koi le ircd de  
... baomic.candiulb.be tcp dpt:ircd to:212.68.xx.xx:6667
tape iptables -n -L -t nat pour avoir les numéros de ports et les adresses ip numériques.
Théoriquement le port 23 est telnet et pas ircd...
Tu aurais pas modifié ton /etc/hosts ? Est-ce que ça a un rapport avec ton problème, j'en sais rien.
En fait je suis pas sûr qu'iptables soit ton problème, mais bien le serveur qui n'écoute pas sur le port 6667 ou qui n'écoute que sur des ip internes ou un problème du genre.
 
Tu vois apparaître le port 19 avec iptables -L -t nat uniquement pcq le port 19 ne correspond à aucun service défini et donc il ne le remplace pas par un nom de service.
 
--> iptables -n -L -t nat

Reply

Marsh Posté le 29-09-2001 à 21:12:49    

Merci de ta réponse !
J'essaye tout ca dès que possible

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed