Posté par nullard3d .
En réponse au message DMZ.
Évalué à 1.
flûte, j'étais plutôt fier de moi :-)
Pour essayer, on pourrait simplifier en :
iptables -t nat -A PREROUTING -d 213.44.97.210 -p tcp --dport 80 -j DNAT --to-destination [IP apache]
iptables -A FORWARD -d [IP apache] -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s [IP apache] -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
Bien sûr, tu ne peux pas essayer cela depuis l'intérieur de ton LAN (peut-être sur la partie Wifi mais je garantie pas) puisque le serveur apache renverrait alors le paquet directement au destinataire sans repasser par le NAT et ton navigateur verrait revenir une connexion avec une IP source différente de celle demandée (en fait, il ne verra rien du tout, le noyau laissera tomber le paquet ou enverra un ICMP error/reset au serveur apache)
Pour comprendre à quel niveau ça peut bloquer, il faudrait essayer de faire des 'netstat -taupen' sur le poste client et le serveur. On verrait alors si le serveur reçoit le SYN ou non (pas de trace de connexion ou ACK sent ou même TIME_WAIT), puis si le client reçoit le ACK (SYN_SENT, ...), ou, encore mieux, tcpdump.
Vérifie bien dans ton 'iptables-save' que les règles ont bien été acceptées et qu'il n'y a pas un effet de précédence qui les rendraient inutiles.
Ceci dit, le conseil de Rapsys est bon car si tu établis les règles toi-même, il faudra penser à les charger au démarrage du routeur, alors que c'est sans doute pris en charge par un paquet Debian officiel.
[^] # Re: ca marche pas
Posté par nullard3d . En réponse au message DMZ. Évalué à 1.
Pour essayer, on pourrait simplifier en :
iptables -t nat -A PREROUTING -d 213.44.97.210 -p tcp --dport 80 -j DNAT --to-destination [IP apache]
iptables -A FORWARD -d [IP apache] -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s [IP apache] -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
Bien sûr, tu ne peux pas essayer cela depuis l'intérieur de ton LAN (peut-être sur la partie Wifi mais je garantie pas) puisque le serveur apache renverrait alors le paquet directement au destinataire sans repasser par le NAT et ton navigateur verrait revenir une connexion avec une IP source différente de celle demandée (en fait, il ne verra rien du tout, le noyau laissera tomber le paquet ou enverra un ICMP error/reset au serveur apache)
Pour comprendre à quel niveau ça peut bloquer, il faudrait essayer de faire des 'netstat -taupen' sur le poste client et le serveur. On verrait alors si le serveur reçoit le SYN ou non (pas de trace de connexion ou ACK sent ou même TIME_WAIT), puis si le client reçoit le ACK (SYN_SENT, ...), ou, encore mieux, tcpdump.
Vérifie bien dans ton 'iptables-save' que les règles ont bien été acceptées et qu'il n'y a pas un effet de précédence qui les rendraient inutiles.
Ceci dit, le conseil de Rapsys est bon car si tu établis les règles toi-même, il faudra penser à les charger au démarrage du routeur, alors que c'est sans doute pris en charge par un paquet Debian officiel.