La Fibre

Datacenter et équipements réseaux => Routeurs => Routeur => Discussion démarrée par: DamienC le 24 mai 2016 à 12:02:27

Titre: Problème basique IPTABLES
Posté par: DamienC le 24 mai 2016 à 12:02:27

Bonjour,

Je rencontre un petit problème assez embêtant avec mon routeur/firewall sous Linux.

J'expose le contexte:
Je dispose d'un ESXi avec deux IPs WAN, l'une sert au management de l'ESXi (ça fonctionne parfaitement) et l'autre est une Fail-Over appliquée sur l'eth1 de mon Firewall.
Le Firewall a donc deux cartes réseaux;
1 - eth0 IP WAN
2 - eth1 IP LAN sur un vswitch (192.168.0.1)

Je veux partager cette IP FO avec mon LAN, avec mon routeur sous Linux (Debian).
J'ai réussi à le faire, ça fonctionnait très bien jusqu'à présent et maintenant aucune de mes VM sur le vswitch LAN n'arrive à aller sur Internet. En revanche, le ICMP passent sans problème.
Avez-vous une solution à mon problème? Je pense que ça doit être évident mais je n'ai toujours pas réussi à comprendre d'où venait l'erreur.

Titre: Problème basique IPTABLES
Posté par: butler_fr le 24 mai 2016 à 12:19:20

tu peux nous donner la sortie de la commande :
iptables -L -n -v

regarde aussi si la résolution DNS est ok (a priori oui mais juste pour vérifier) genre:
dig google.fr depuis les différents postes
faut ouvrir mes yeux visiblement c'est ok ;)

Titre: Problème basique IPTABLES
Posté par: DamienC le 24 mai 2016 à 12:24:09

root@vm-firewall:~# iptables -L -n -v
Chain INPUT (policy ACCEPT 241 packets, 30617 bytes)
 pkts bytes target     prot opt in     out     source               destination                                           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                                           
13505 1558K ACCEPT     all  --  *      eth1    0.0.0.0/0            0.0.0.0/0                                             
10026 3884K ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0                                             

Chain OUTPUT (policy ACCEPT 167 packets, 22414 bytes)
 pkts bytes target     prot opt in     out     source               destination                                           
root@vm-firewall:~#

Titre: Problème basique IPTABLES
Posté par: butler_fr le 24 mai 2016 à 14:10:44

tu fais du nat dessus or not? (je vois pas de règles qui correspondraient dans l'iptables)

Titre: Problème basique IPTABLES
Posté par: DamienC le 25 mai 2016 à 13:26:26

Oui effectivement, pour autoriser le RDP et le Web


#VM 192.168.0.100 LB NGINX
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.100:80
iptables -t nat -A POSTROUTING -p tcp --dport 80 -d -h SNAT --to 192.168.0.1
iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 192.168.0.100:443
iptables -t nat -A POSTROUTING -p tcp --dport 443 -d -h SNAT --to-destination 192.168.0.1
#VM 192.168.0.3 W12 RDP
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.3:3389
iptables -t nat -A POSTROUTING -p tcp --dport 3389 -d -j SNAT --to 192.168.0.1