Il y a qq temps, j'avais grâce à ce forum, eu la commande iptables me permettant du rediriger le port 23 vers le 6667.
càd : > iptables -A PREROUTING -t nat -p tcp -d 212.68.xx.xx --dport 23 -j DNAT --to 212.68.xx.xx:6667
Cette commande marche encore avec tous les ports sauf le 23.
J'ai pourtant pas de serveur telnet installé !
Je me demande donc ce qui peut bien bloqué ce port 23 ?
Quand je tappe la commande, il ne fait pas d'erreur mais ca marche qd même pas...
Merci pour vos idées et/ou solutions

Si c'est sur la même machine tu dois utiliser  
iptables -A PREROUTING -t nat -p tcp -d 212.68.xx.xx --dport 23 -j REDIRECT --to-port 6667
 
sinon fais bien attention qu'une fois passé les règles de prérouting, les chaines INPUT sont appliquées !
Donc dans les chaines input  
- tu dois accepter les connections vers le port 23  
- tu dois accepter les connections vers le port 6667

Marche pas, en plus j'ai encore rien bloqué...

[edtdd]--Message édité par die488--[/edtdd]

heu...pour voir tes règles de prérouting tu dois taper
iptables -L -t nat
mais bon ... sinon je ne vois pas trop pour l'instant.

en tapant cette commande j'ai 50* la même ligne :  
DNAT       tcp  --  anywhere             baomic.candiulb.be tcp dpt:ircd to:212.68.xx.xx:6667
 
Ca doit être dû au fait que j'ai réessayé la même commande plusieurs fois...
Mais je ne vois rien concernant mon port 23 ...
J'ai exécuté la commande avec le port 19 et ca marche mais je ne sais pas où le vérifier ! Ca me permettrait ptet de savoir pkoi le 23 marche pas.
Merci pour vos réponses éclairées

fuser -n tcp 23
si c'est deja utilise tu auras le PID de l'occupant

 
hummm ...
quel interet des regles INPUT sur le 23 apres le PREROUTING ?
si on peut forwarder le 23 sur le  6667 (franchement louche comme idée mais bon ...) a quoi peut servir les INPUT ensuite ... Et meme si on PREROUTAIS sur le 23 d'une cliente , ca signie qu'on peut telneté sur la passerrelle si ya pas de regle INPUT ensuite ?  
 
bizarre ....

fuser -n tcp 23 ne donne rien mais fuser -n tcp 19 ne donne rien non plus alors que ca marche...

nicotine a écrit a écrit :     hummm ... quel interet des regles INPUT sur le 23 apres le PREROUTING ? si on peut forwarder le 23 sur le  6667 (franchement louche comme idée mais bon ...) a quoi peut servir les INPUT ensuite ... Et meme si on PREROUTAIS sur le 23 d'une cliente , ca signie qu'on peut telneté sur la passerrelle si ya pas de regle INPUT ensuite ?     bizarre ....

bha tu peux appliquer des critères du genre pas de spoof, pas certains ports sources, d'autres critères quoi...
Il est aussi vrai que tu pourraient les faire en PREROUTING.  Là je n'ai pas encore tout compris
Je ne pense pas que tu puisse quand même telneter la machine firewall puisque le prerouting a été effectué.
Il subsiste donc un grand doute chez moi, mais on m'a assuré sur la mailing liste de netfilter (netfilter@lists.samba.org) que les chaines de PREROUTING étaient suivient des chaines INPUT.
Quand j'ai demandé l'usage préférable du PREROUTING, ils sont restés assez silencieux....
 
Quand au problème de 50 la même déclaration, pense à mettre  
iptables -F  
iptables -t nat -F
iptables -t mangle -F
iptables -F INPUT
...
pour vider les chaines existantes, et tout devrait rentrer dans l'ordre.

J'ai fait tout ca malheureusement celà ne résout rien...
Pkoi ca marche avec le port 19 et pas avec le 23 ?
Si je savais où il avait inscrit ce 19, je pourrais ptet rajouter le 23 non ?

moi j'ai fait un PREROUTING du port 80 vers le 8050 sur la même machine et ça fct très bien.
d'ou viennent tes connexion sur le port 23/6667 ? d'internet ou du réseau interne ? teste d'abord du réseau interne (adapte la chaine PREroutING si besoin est).
 
ton serveur écoute bien sur le port 6667 ? (on sait jamais)  
-> "netstat -tapun"
ensuite vide bien toutes tes chaines et met bien toutes tes règles en accept, puis le prerouting comme je t'ai dis.
 
liste le contenu d'iptables
"iptables -L >liste.txt"
et regarde le contenu d'iptables à ton aise, éventuellement poste le ici pour voir.

ouai je vois que je me répète .. sorry

Normalement, c'est pour les connections venant d'internet mais en intranet ca marche pas non plus...

Je reviens à la charge car ca fctionne toujours pas...

 
J'ai ca après avoir tapé les commandes suivantes :

Ce qui m'inquiète c'est qu'avec iptables -L -t nat ,on ne parle pas de ce port 23 ?
 
Merci pour vos conseils avisés

je crois que la questin n'est pas nécessaire au vu de ce qui a déjà été posté, mais bon...
en input tu as drop par défaut ?
donc tu dois accepter les connections sur le port 6667  
- venant d'internet : à ce moment là c'est une chaine FORWARD
- venant du réseau interne : chaine INPUT
 
ensuite  
- c'est koi le ircd de  
... baomic.candiulb.be tcp dpt:ircd to:212.68.xx.xx:6667
tape iptables -n -L -t nat pour avoir les numéros de ports et les adresses ip numériques.
Théoriquement le port 23 est telnet et pas ircd...
Tu aurais pas modifié ton /etc/hosts ? Est-ce que ça a un rapport avec ton problème, j'en sais rien.
En fait je suis pas sûr qu'iptables soit ton problème, mais bien le serveur qui n'écoute pas sur le port 6667 ou qui n'écoute que sur des ip internes ou un problème du genre.
 
Tu vois apparaître le port 19 avec iptables -L -t nat uniquement pcq le port 19 ne correspond à aucun service défini et donc il ne le remplace pas par un nom de service.
 
--> iptables -n -L -t nat

Merci de ta réponse !
J'essaye tout ca dès que possible