« LINUX:Firewall » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 324 : | Ligne 324 : | ||
Évidemment, il faut redémarrer le service "rsyslog.service" ou la machine pour que cette modification entre en action. | Évidemment, il faut redémarrer le service "rsyslog.service" ou la machine pour que cette modification entre en action. | ||
=Accès à notre serveur WEB à partir de notre réseau privé= | |||
Un autre problème courant consiste à accéder à notre serveur WEB à partir de notre réseau avec son nom de machine connu des serveurs DNS mondiaux (exemple: www.adbweb.gslb.be). | |||
Une solution consiste à avoir son propre serveur DNS interne et d'y ajouter son nom DNS public pointant vers l'adresse IP privée du serveur WEB, ici 192.168.2.2. | |||
La seconde solution est d'agir directement dans le firewall du routeur. Une explication complète peut se trouver à l'URL <nowiki>https://inetdoc.net/guides/iptables-tutorial/dnattarget.html</nowiki>. | |||
Divers cas sont à considérer: | |||
* à partir du routeur | |||
* à partir d'une machine du réseau | |||
Nous nous basons sur le second schéma. | |||
==A partir du routeur== | |||
En premier lieu, il faut ouvrir notre routeur au port HTTP vers notre serveur WEB, ce qui n'est pas encore permis. | |||
Ceci se passe dans la table FILTER sous la chaîne "OUTPUT". | |||
---- | |||
# WEB interne | |||
-A OUTPUT -o enp4s2 -p tcp -m tcp -d 192.168.2.2 --dport 80 -m conntrack --ctstate NEW -j ACCEPT | |||
---- | |||
En second lieu, il faut introduire dans la table NAT, une action DNAT proche de celle déjà introduite mais non sur la chaîne PREROUTING mais la chaîne OUTPUT comme il se doit. | |||
---- | |||
-A OUTPUT -p tcp --dport 80 -j DNAT --to-destination 192.168.2.2:80 | |||
---- | |||
==A partir d'une machine de notre réseau== | |||
Ici on agit au niveau de la table NAT. | |||
En premier lieu, on ouvre l'action DNAT pour la chaîne POSTROUTING aux autres interfaces ou au moins à l'interface désiré. Si on suprime l'option "-i"", on l'ouvre à tous les interfaces réseaux. | |||
---- | |||
-A PREROUTING -i enp4s2 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.2:80 | |||
-A PREROUTING -i enp4s0 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.2:80 | |||
---- | |||
Ensuite on effecture dans la tabke NAT sous la chaîne POSTROUTING (et non PREROUTING), une action SNAT ayant l'option "--to-source" vers une des adresses IP privées du routeur. Notre routeur a deux interfaces réseaux ayant une adresse IP privées: 192.168.1.33 pour "enp4s0" et 192.168.2.1 pour "enp4s2". | |||
---- | |||
-A POSTROUTING -p tcp --dst 192.168.2.2 --dport 80 -j SNAT --to-source 192.168.2.1 | |||
---- | |||
ou | |||
---- | |||
-A POSTROUTING -p tcp --dst 192.168.2.2 --dport 80 -j SNAT --to-source 192.168.1.33 | |||
---- | |||
==Test== | |||
Pour tester en ligne de commande sous Linux, on peut utiliser la commande "wget" | |||