• Serveurs

  • Iptables et FORWARD : un petit coup de main ?

Bien le bonjour !

J'aurais besoin de petits conseils au niveau d'iptables. Je viens de remonter LXC et iptables du coup.

Pour le moment, cela ressemble à ça :

Je souhaite qu'iptables se comporte de la façon suivante (Juste pour le FORWARD, le reste ça va) :

  • FORWARD de base DROP
  • On accepte les connexions FORWARD établies
  • On accepte br0 --> eth1 : NTP, DNS, HTTP (Pratique pour pouvoir faire des MAJ)
  • On accepte eth1 --> br0 à destination de 192.168.10.3 le port 80 443 en NEW
  • On accepte eth1 --> br0 à destination de 192.168.10.1 sur le port 43
  • On accepte br0 --> br0 source 192.168.10.3 à destination de 192.168.10.4 sur le port 3306
  • Cacher les adresses des machines 192.168.10.0/24 avec MASQUERADE

Pour le moment les règles iptables sont les suivantes (si j'en ai pas oublié) :

iptables -A FORWARD -p tcp -i br0 -o br0 -s 192.168.10.3 -d 192.168.10.4 --dport 3306 -j FWDACCEPT

iptables -A FORWARD -p tcp -i br0 -o eth1 -s 192.168.10.0/24 --dport 443 -j FWDACCEPT
iptables -A FORWARD -p tcp -i eth1 -o br0 -s 192.168.1.0/24 -d 192.168.10.3 --dport 443 -j FWDACCEPT

iptables -A FORWARD -p tcp -i br0 -o eth1 -s 192.168.10.0/24 --dport 80 -j FWDACCEPT
iptables -A FORWARD -p tcp -i eth1 -o br0 -s 192.168.1.0/24 -d 192.168.10.3 --dport 80 -j FWDACCEPT

iptables -A FORWARD -p udp --dport domain -j FWDACCEPT

iptables -t nat -A PREROUTING -i eth1 -d 192.168.1.253 -p tcp -m tcp --dport 8080 -m comment --comment http -j DNAT --to-destination 192.168.10.2:80
iptables -t nat -A PREROUTING -i eth1 -d 192.168.1.253 -p tcp -m tcp --dport 80 -m comment --comment http -j DNAT --to-destination 192.168.10.3:80

iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE

Pour le moment j'ai de fonctionnelle :

Depuis les contenaires
- Requête DNS depuis un contenaire --> OK
- Mise à jour des contenaires --> OK
- Requête MYSQL <--> WWW --> NOK

Depuis le réseau 1.0/24
Requête DNS vers 192.168.10.1 --> OK
Requête HTTP vers 192.168.10.3 --> OK

Je pense que le soucis avec mysql est dû au masquerade, parce qu'au niveau des logs iptables cela parait pas mal

[IPTABLES FORWARD ACCEPT] : IN=br0 OUT=br0 PHYSIN=www PHYSOUT=mysql MAC=aa:40:7a:14:a6:ef:7a:ea:6e:b8:b1:65:08:00 SRC=192.168.10.3 DST=192.168.10.4 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=24394 DF PROTO=TCP SPT=46362 DPT=3306 WINDOW=29200 RES=0x00 SYN URGP=0 
[IPTABLES FORWARD ACCEPT] : IN=br0 OUT=br0 PHYSIN=mysql PHYSOUT=www MAC=7a:ea:6e:b8:b1:65:aa:40:7a:14:a6:ef:08:00 SRC=192.168.10.4 DST=192.168.10.3 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=3306 DPT=46362 WINDOW=28960 RES=0x00 ACK SYN URGP=0

Si je retire l'ip masquerade, ça fonctionne bien pour la connexion mysql depuis le serveur web vers le serveur mysql, par contre c'est les requêtes DNS du pc portable vers le contenaire DNS qui ne fonctionne plus.

Auriez-vous des petites suggestions pour moi ? 🙂

Et bon début de journée à tout le monde

Répondre…